首页
学习
活动
专区
工具
TVP
发布

浅析 DNS 反射放大攻击

DNS 反射放大攻击分析 前阵子业务上碰到了 DDOS 攻击,正好是 DNS 反射型的,之前只是听过,没自己处理过,仔细学习了一番之后做点记录。...简介 DNS 反射放大攻击主要是利用 DNS 回复包比请求包大的特点,放大流量,伪造请求包的源 IP 地址为受害者 IP,将应答包的流量引入受害的服务器。...简单对比下正常的 DNS 查询和攻击者的攻击方式: 正常 DNS 查询: 源 IP 地址 -----DNS 查询----> DNS 服务器 -----DNS 回复包----> 源 IP 地址 DNS...攻击: 伪造 IP 地址 -----DNS 查询----> DNS 服务器 -----DNS 回复包----> 伪造的 IP 地址(攻击目标) 分析 从服务器上抓了一些攻击包,根据这些数据包可以来看看这种攻击都是什么特点...大量的流量都来自正常的 DNS 服务器 攻击者通过伪造 IP 向正常的 DNS 服务器发送这些恶意的查询请求,将流量引入受害者的服务器,受害者查不到攻击者的真实 IP。

4.7K40

Memcached DDoS反射攻击如何防御

下图为监测到Memcached攻击态势。...美国东部时间28日下午,GitHub透露其可能遭受了有史最强的DDoS攻击,专家称攻击者采用了放大攻击的新方法Memcached反射攻击,可能会在未来发生更大规模的分布式拒绝服务(DDoS)攻击。...据CNCERT3月3日消息,监测发现Memcached反射攻击在北京时间3月1日凌晨2点30分左右峰值流量高达1.94Tbps。...用高防IP充足的带宽资源应对可能的大流量攻击行为,并根据业务特点制定个性化的防护策略,被DDoS攻击时才能保证业务可用性,从容处理。...---- 参考文献: 《放大倍数超5万倍的Memcached DDoS反射攻击,怎么破?》 《How To Secure Memcached by Reducing Exposure》

2.4K40
您找到你想要的搜索结果了吗?
是的
没有找到

Memcache UDP反射放大攻击实验

无耻的接受了p猫的py交易,自己也想实验下memcached这个放大攻击 0x01 前言 近日,一种利用Memcached缓存服务器来作为放大器的DRDOS攻击来势汹汹,多家安全机构检测到了这种反射放大攻击...,其利用memcached协议,发送大量带有被害者IP地址的UDP数据包给放大器主机,然后放大器主机对伪造的IP地址源做出大量回应,形成分布式拒绝服务攻击,从而形成DRDoS反射。...攻击者随时可以通过代理或者控制程序同时向所有肉鸡发送大量攻击指令。 3. 所有肉鸡在接受指令后,同时大量并发,同时向受害者网络或者主机发起攻击行为。 DRDoS要完成一次反射放大攻击: 1....攻击者,必须提前需要把攻击数据存放在所有的在线肉鸡或者反射服务器之上。 2. 攻击者,必须伪造IP源头。发送海量伪造IP来源的请求。当然这里的IP就是受害者的IP地址。 3....反射服务器,必须可以反射数据,运行良好稳定。最好是请求数据少,返回数据成万倍增加。 如此不断循环,就可以大规模攻击其带宽网络,增加占用率和耗损目标机的硬件资源。

2.8K100

基于TCP反射DDoS攻击分析

众所周知,现网黑客热衷的反射攻击,无论是传统的NTP、DNS、SSDP反射,近期大火的Memcached反射,还是近期出现的IPMI反射,无一例外的都是基于UDP协议。...0x02 TCP反射攻击 与UDP反射攻击思路类似,攻击者发起TCP反射攻击的大致过程如下: 1、 攻击者通过IP地址欺骗方式,伪造目标服务器IP向公网上的TCP服务器发起连接请求(即syn包); 2、...其实这种攻击手法的厉害之处,不在于流量是否被放大,而是以下三点: 1、 利用TCP反射攻击者可以使攻击流量变成真实IP攻击,传统的反向挑战防护技术难以有效防护; 2、 反射的syn/ack报文存在协议栈行为...为此,TCP反射攻击相比传统伪造源的TCP攻击手法,具有隐蔽性更强、攻击手法更难防御的特点。...综上所述:黑客利用互联网上的TCP服务器发起TCP反射攻击,相比常见的随机伪造源攻击,TCP反射攻击有着更为隐蔽,防护难度更大等特点,对DDoS安全防护将是一个新的挑战。

1.2K50

研发:认识反射攻击放大效果

对于大规模DDoS,长期以来存在一个误解:很多人甚至包括大量IT从业人员都觉得组建一个僵尸网络技术要求很高、非常困难,因此大规模DDoS攻击是很少见的。...发动一次中等规模的DDoS攻击数千美金即可实现。 二、 流量放大技术 流量放大是DDoS中常用的技术手段,基本原理相对简单。...图 1 典型DDos流量放大 表 1列举了一些经常用于反射型DDoS攻击的协议及其放大倍数。...表1 常见反射性DDoS攻击的放大倍数 三、 NTP反射式DDoS攻击 迄今为止最大规模的DDoS攻击来自于NTP协议反射式DDoS攻击,本节将通过一些细节来说明如何发动NTP反射式DDoS攻击...如Cisco Linksys TCP-32764后门,它允许攻击者绕过认证间接控制目标,这个漏洞影响范围非常的广,并且网上都有现成的poc[2]和exploit[3]。

85230

Memcache UDP反射放大攻击技术分析

Memcache UDP 反射放大攻击(以下简称 Memcache DRDoS)在最近的一周里吸引了安全社区的较多注意。以下介绍我们对该类型攻击观察到的情况。...在这份文档中,作者指出这种攻击的特点: memcache 放大倍数超高,至少可以超过50k; memcache 服务器(案例中的反射点)数量较多,2017-11时估算全球约有 60k 服务器可以被利用,...基于以上特点,作者认为该攻击方式可以被利用来发起大规模的DDoS攻击,某些小型攻击团队也可能因此获得原先没有的大流量攻击能力。...即使在反射类DDoS中,也只占 1% 以下(按攻击事件计),排在 DNS、CLDAP、NTP、SSDP、CharGen、L2TP、BitTorrent、Portmap、SNMP的后面。 ?...图2 我们在现网中对 Memcache DRDoS 攻击方式的测试结果 我们对现网实际环境做了测试,结合分析我们捕获的实际攻击载荷,有以下内容值得关注: 这种反射攻击的放大比率,在理想的测试环境中,可以稳定的测得

1.1K30

Memcached反射放大DDoS攻击威胁分析

2018年2月27日,多国CERT和多家网络和云运营商报告称,恶意攻击者正在使用不安全配置的Memcached服务器来借力放大DDoS攻击。...根据报告,Memcached的带宽放大因子(Bandwidth Amplification Factor)能达到10000-51000,远超过之前广泛使用的NTP协议的556.9,刷新了UDP协议反射放大...DDoS攻击的新记录,测试显示15byte的请求能触发750KB的响应,即51200的放大倍数,Memcached对互联网开放的无需验证的UDP 11211端口为成为了主要利用的DDoS反射器, Memcached...如果看到非空有内容输出的响应(如上所示),表示Memcached服务器容易受到攻击,特别是暴露在互联网上的主机。 ? Memcached安全配置建议 ?...同时建议网络运营商实施源地址验证(BCP38/BCP84)标准,以防止其网络和最终用户的网络受到反射/放大DDoS攻击的影响。

1.3K50

反射的跨站点脚本(XSS)攻击

因此,攻击者绕过了浏览器的同源策略,并能够窃取与网站相关联的受害者的私人信息。 什么是反射XSS攻击 当恶意脚本从Web应用程序反射到受害者的浏览器时,反射XSS攻击也称为非持久性攻击。...因此,反映和存储的XSS攻击之间存在许多重要差异,其中包括: 反映的攻击更为常见。 反射攻击与存储的XSS攻击的覆盖范围并不相同。 警惕的用户可以避免反射攻击。...通过反射XSS,犯罪者通过向尽可能多的用户发送恶意链接来玩“数字游戏”,从而提高他成功执行攻击的几率。...反射XSS攻击示例 在访问需要用户登录其帐户的论坛网站时,执行者执行此搜索查询 alert('xss'); 导致发生以下事情...他们将被带到论坛的网站,恶意脚本将被反射回他们的浏览器,使犯罪者窃取他们的会话cookie并劫持他们的论坛账户。 反映XSS攻击预防和缓解 有几种有效的方法来预防和缓解反射的XSS攻击

2.2K20

浅谈拒绝服务攻击的原理与防御(5) | NTP反射攻击复现

0×01 故事起因 前两天以为freebuf上的网友stream(年龄、性别不详)私信我说他在阿里云上的服务器被NTP攻击了,流量超过10G,希望我帮忙一起分析一下,复现一下攻击。...我这当代雷锋当然非常乐意了,于是我就和stream联系(勾搭)上了,今天我就详细讲一下我们一起复现NTP反射攻击的过程。...0×02 分析攻击数据 stream大兄弟把当时抓到的包发给了我,数据包不大只有31.4M ? 当我打开数据包看了下时间才知道这数据包可不小啊!...然后我修改了上次发的那个攻击脚本,把NTP的payload加了180个00,做了一下测试,攻击了一下stream的阿里云服务器 ? 看看攻击效果 ?...能打出2.2G的峰值,但是跟攻击者的10G 20G差很多,可能是我带宽的原因,当然也可能是攻击脚本不完美,日后还需要继续改进才行。

3.4K50

利用Memcached的反射型DDOS攻击技术分析

基于Memcached的反射攻击技术分析 利用Memcache的反射攻击最初由360信息安全部0kee Team在2017年6月发现,并于当年11月在 PoC 2017 会议上做了公开报告,详细报告可参见参考链接...要完成一次UDP反射放大攻击,需要满足以下几个基本条件: 作为攻击者,需要能伪造IP,并发送海量伪造来源的请求。...作为反射服务器,上面需要运行着容易放大反射攻击的服务,而运行了设计不当的UDP协议的服务是最佳的选择。 反射服务器的响应包最好远远大于请求包,这样才能使用较小的攻击流量进行高流量的DDOS攻击。...反射服务器对应的协议或服务在互联网上有一定的使用量,比如本次攻击中的Memcached。...攻击流程 完成一次针对Memcached的UDP反射放大攻击,基本攻击流程如下: 扫描端口和服务,抓取协议指纹,获取未认证的Memcached。

1.2K40

小隐隐于野:基于TCP反射DDoS攻击分析

众所周知,现网黑客热衷的反射攻击,无论是传统的NTP、DNS、SSDP反射,近期大火的Memcached反射,还是近期出现的IPMI反射,无一例外的都是基于UDP协议。...0x02 TCP反射攻击 与UDP反射攻击思路类似,攻击者发起TCP反射攻击的大致过程如下: 1、 攻击者通过IP地址欺骗方式,伪造目标服务器IP向公网上的TCP服务器发起连接请求(即syn包); 2、...其实这种攻击手法的厉害之处,不在于流量是否被放大,而是以下三点: 1、 利用TCP反射攻击者可以使攻击流量变成真实IP攻击,传统的反向挑战防护技术难以有效防护; 2、 反射的syn/ack报文存在协议栈行为...为此,TCP反射攻击相比传统伪造源的TCP攻击手法,具有隐蔽性更强、攻击手法更难防御的特点。...综上所述:黑客利用互联网上的TCP服务器发起TCP反射攻击,相比常见的随机伪造源攻击,TCP反射攻击有着更为隐蔽,防护难度更大等特点,对DDoS安全防护将是一个新的挑战。

71720

小隐隐于野:基于TCP反射DDoS攻击分析

众所周知,现网黑客热衷的反射攻击,无论是传统的NTP、DNS、SSDP反射,近期大火的Memcached反射,还是近期出现的IPMI反射,无一例外的都是基于UDP协议。...image.png 0x02 TCP反射攻击 与UDP反射攻击思路类似,攻击者发起TCP反射攻击的大致过程如下: 1、 攻击者通过IP地址欺骗方式,伪造目标服务器IP向公网上的TCP服务器发起连接请求(...其实这种攻击手法的厉害之处,不在于流量是否被放大,而是以下三点: 1、 利用TCP反射攻击者可以使攻击流量变成真实IP攻击,传统的反向挑战防护技术难以有效防护; 2、 反射的syn/ack报文存在协议栈行为...为此,TCP反射攻击相比传统伪造源的TCP攻击手法,具有隐蔽性更强、攻击手法更难防御的特点。...综上所述:黑客利用互联网上的TCP服务器发起TCP反射攻击,相比常见的随机伪造源攻击,TCP反射攻击有着更为隐蔽,防护难度更大等特点,对DDoS安全防护将是一个新的挑战。

10.3K200

OpenV**服务被利用于UDP反射放大DDoS攻击

概述 2019年09月10日, 华为AntiDDoS8000设备某荷兰数据中心局点捕获新型UDP反射放大攻击反射源端口为1194。...客户在AntiDDoS8000清洗设备上配置硬件过滤规则有效阻断了攻击。华为未然实验室通过对攻击流量深入分析,很快发现攻击流量来自在网络中开放的OpenV**服务。...根据该特性,结合UDP反射攻击手法,即可实现UDP反射放大攻击。为了更高效的利用反射源,客户端需要将每次请求的源端口设置为不一样,如果是同一个源端口,在30秒有效期内,将被忽略。...攻击风险 通过shodan网络空间搜索引擎查询,可以发现在网络空间有将近70万个对外开放的OpenV**服务。...如果攻击者利用这些OpenV**服务进行UDP反射放大攻击,将会对被攻击者造成严重影响。

1.3K10
领券