阿裡雲安全團隊于2018年9月14日0:10分監控到一起大規模攻擊事件,當天近3000台的Portmap伺服器被利用來進行反射DDoS攻擊,平均反射放大比均值在7.X。阿裡雲平台30秒完成從檢測識别到自動攔截,并第一時間通知到使用者。
事發當日,僅阿裡雲安全團隊攔截的從平台流出的對外Portmap攻擊流量最高或可達到57G,預計全網該反射的攻擊流量更是一個天文數字,危害極大。同時,被利用來反射的伺服器将會出現網絡滿負載,甚至有CPU滿載的情況,進而影響伺服器上的正常業務應用的運作,嚴重情況下甚至會導緻業務中斷。
阿裡雲安全團隊建議使用者關注伺服器上是否有開啟RPCBind服務,如果業務中并沒有使用RPCBind,可直接關閉,避免您的伺服器被利用導緻的業務受影響。
詳細分析如下:
Portmap反射DDOS的成因:
Portmap RPCBind服務在TCP或UDP的111端口上運作,對該服務發起一個普通查詢需要68位元組,伺服器響應包486位元組,反射放大比為7.14。
一般反射DDOS攻擊原理如下圖所示:
反射DDOS實施的2個必備條件:
1. 可以僞造源IP。
2. UDP協定無需連接配接,伺服器響應包的大小遠大于請求包大小,攻擊以小博大。
針對以上資料流,我們認為限制并阻止違造源IP資料包發送到網絡上,可以從根本上杜絕反射DDOS發生。
軟體在伺服器上的分發使用,我們認為:
a. 對“軟體開發者”在設計服務時,需要有安全考慮,UDP協定存在放大時,可以加入鑒權機制。
b.對“鏡像提供者”,在打包軟體進入鏡像時,預設鏡像應審計其安全,不安全的打包安全政策。
c. 對“使用者”,在使用優先使用需要建立連接配接的TCP的服務,禁用UDP,以免在未建連接配接情況下僞造IP被以小博大。
全網情況
在shodan上搜尋,整個網際網路上潛在被利用的攻擊主機數量近兩百萬,如下圖:
(資料引用自shodan)
Portmap反射DDOS的危害:
- 使用者雲主機的CPU占用率會比日常高出幾倍
- 使用者雲主機帶寬全部被占滿,下圖為一台3M的主機:
阿裡雲平台對反射DDOS自動管控:
處理時間快:9月14日首次Portmap攻擊事件在00:10發生,全天共發現Portmap事件4000餘起,涉及IP數2700餘個,30s内完成檢測并自動進行管控。
使用者影響小:平台不關停使用者雲主機,對攻擊流量進行管控,基本對使用者正常業務無影響。
檢測類型廣:包含Portmap在内,平台檢測并處置9種反射DDOS類型。
UDP各種服務的反射放大比如下圖,引用自美國CERT公布的資料
https://www.us-cert.gov/ncas/alerts/TA14-017A: