端口映射:新的DDoS放大攻击

昨日， 锤子发布会出现一些问题， 据悉是其官网服务器遭遇了数十G流量DDoS攻击， 这种大流量的DDoS攻击行为， 恰恰印证了《2015 H1绿盟科技DDoS威胁报告》中的观点， 大流量攻击呈现增长趋势。  

　　DDoS大流量攻击威胁互联网安全

报告中指出2015上半年中发现的大流量攻击流量， 其种类以UDP混合流量为主（72%）。 报告还指出有两种客观的因素为大流量攻击创造了条件， 1随着“宽带中国”战略实施方案的推进， 城市和农村家庭宽带接入能力逐步达到20兆比特每秒（Mbps）和4Mbps， 部分发达城市达到100Mbps， 同时连接速度也在上升；2智能路由器等智能设备普遍存在安全性问题， 它们常被利用成为放大攻击的源头， 最高放大系数可达75。 而从2014到2015 H1， 这些问题并未得到好转。

　　新的DDoS放大攻击形式 端口映射

而今天Level 3 Threat Research Labs发现了一种新的DDoS放大攻击形式， 放大系数最高可达28.4， 这就是Portmapper。 Portmapper（也称rpcbind、portmap或RPCPortmapper）是一种端口映射功能， 常用于将内部网络中的服务端口发布到互联网。 Portmapper可以视为一项RPC目录服务。 当客户端寻求合适的服务时， 可在Portmapper中查找。 针对这些查询,Portmapper返回的响应大小不一， 主要取决于主机上运行的是哪项RPC服务。

Portmapper可在TCP或UDP 111端口上运行。 UDP端口就常常用来伪造的UDP请求， 以便进行放大式攻击。 正常情况下该响应包是比较小的， 只有486字节， 对比其查询请求（68字节）， 放大系数为7.1x。 在广谱平台上， 我们看到最高响应包高达1930字节， 放大系数为28.4x。

我们统计了网络中前300名查询者的流量， 并计算平均响应包大小。 计算结果表明， 平均响应包大小为1241字节（放大系数为18.3x）如果是DDoS攻击， 我们发现， 平均响应包大小为1348字节（放大系数为19.8x）显然， Portmapper作为DDoS攻击形式时， 这些放大系数十分可怕。

　　端口映射放大式攻击增长迅猛

其他反射攻击方法在过去几周内表现平稳， 而这个特殊的攻击向量却迅速增长。

　　与6月最后7天内的全局portmap流量相比， 8月12日前7天的流量增长了22倍。 显然， 成功利用这种方法的攻击正在大肆增长。 而与其他流行的UDP服务相比， Portmapper的全局流量仍然很小。

　　Portmapper的全局流量是如此之小， 它几乎被标注在图表的底部红线位置。 但要启动请求过滤并从互联网上移除反射主机， 以预防更大规模的攻击和造成更多的损害， 尚需时日。

　　建议防范UDP

Portmapper在互联网上成为反射型和放大型DDoS攻击的新形式。 各机构或组织， 如果需要在其环境中继续使用Portmapper提供端口映射服务， 就需要对这些端口及流量展开清洗。 但是Portmapper只是一种攻击形式， 在许多的服务器上， 还存在大量的RPC服务调用， 它们也都使用UDP端口， 这些服务也存在DDoS反射或放大攻击的可能。 必要的情况下， 可以考虑禁用这些RPC服务调用。

　　所以我们建议， 需要在开放的互联网上严格审查Portmapper、NFS、NIS以及所有其他RPC服务。 在服务必须开启的情况下， 配置防火墙决定哪些IP地址可以访问这些服务， 之后只允许这些IP地址发送TCP请求， 以避免这些IP地址在不知情的情况下参与DDoS攻击。

　　以上Portmapper的相关内容， 引自Level 3 Threat Research Labs发布的研究成果。 需要了解2015年DDoS威胁发展态势