又一種DDoS攻擊，服務(wù)器管理員需要做更多工作。

2012年，網(wǎng)絡(luò)罪犯?jìng)兿氤隽巳绾螢E用DNS來(lái)進(jìn)行大規(guī)模DDoS反射攻擊，我們可以將其理解為利用非常少的輸入創(chuàng)造大量流量。2013年，他們轉(zhuǎn)而利用網(wǎng)絡(luò)時(shí)間協(xié)議(Network Time Protocol，NTP)和簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol，SNMP)，其次不久則使用了簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議(Simple Service Discovery Protocol，SSDP)。

[[147411]]

發(fā)現(xiàn)規(guī)律了沒(méi)?DDoS攻擊涌入那些配置失當(dāng)?shù)姆?wù)器，情景十分壯觀，也讓人擔(dān)憂。管理員趕忙修復(fù)漏洞，但網(wǎng)絡(luò)犯罪分子每次都會(huì)從某個(gè)新的協(xié)議或服務(wù)上發(fā)現(xiàn)可趁之機(jī)，讓過(guò)程重演。

DDoS攻擊防御公司現(xiàn)在會(huì)定期警告所有使用普遍、但很少被管理員考慮到的協(xié)議。如今又出現(xiàn)了另一個(gè)不起眼的服務(wù)，Portmapper，它現(xiàn)在也加入了被濫用的列表中。

發(fā)生了什么?美國(guó)主力通訊運(yùn)營(yíng)商Level 3注意到某種新型的DDoS攻擊，它會(huì)濫用Portmapper(也即RPCbind)服務(wù)。這種攻擊已經(jīng)存在了一段時(shí)間，但其數(shù)量最近則有戲劇性的增加。

數(shù)量高峰出現(xiàn)的時(shí)間：6月下旬到8月中旬。

RCS(遠(yuǎn)程控制系統(tǒng)，Remote Control System) Portmapper是什么?基本可以將其理解為經(jīng)典的Unix目錄服務(wù)，可以讓如PC等平臺(tái)上運(yùn)行的程序?qū)ζ渌恢玫挠?jì)算機(jī)發(fā)起遠(yuǎn)程過(guò)程調(diào)用(Remote Procedure Call，RPC)。它已經(jīng)存在好幾年了。

攻擊者做什么?他們偽造指向DDoS目標(biāo)的地址，將UDP包發(fā)送給公共Portmapper服務(wù)。Portmapper會(huì)幫助攻擊者返回一個(gè)大得多的響應(yīng)。如果有足夠多的查詢服務(wù)器，其管理人員也沒(méi)有意識(shí)到，那么這次攻擊就將被放大，壓倒攻擊目標(biāo)。

濫用有多么容易?Portmapper應(yīng)當(dāng)是內(nèi)部局域網(wǎng)使用的服務(wù)，不應(yīng)該從外部訪問(wèn)到。顯然很多服務(wù)器都遺留了這一漏洞。

是不是很嚴(yán)重?允許外部方接觸到Portmapper不是好事，可能會(huì)讓服務(wù)器在不經(jīng)意間被用于DDoS攻擊第三方。

檢測(cè)到了多少攻擊流量?和其它被濫用協(xié)議進(jìn)行比較，很少。但Level 3公司希望人們?cè)诰謩?shì)惡化前注意到它。如果不提醒，這類威脅通常會(huì)被忽略。

有補(bǔ)丁嗎?并不存在特定的軟件漏洞：Portmapper服務(wù)只是完成了其原本的設(shè)計(jì)功能。解決方案是禁止該服務(wù)，或者阻止對(duì)該服務(wù)的外部訪問(wèn)。

其它被濫用的協(xié)議：DNS、NTP、Chargen、Netbios、SNMP、SSDP。

Levels3的話：“為了避免你的組織在未來(lái)成為DDoS攻擊的幫兇，我們建議在開(kāi)放互聯(lián)網(wǎng)上禁用Portmapper和NFS、NIS以及所有其它RPC服務(wù)，這是最優(yōu)方案。在必須保證開(kāi)啟服務(wù)的情況下，應(yīng)該對(duì)所有能接觸到服務(wù)的IP地址開(kāi)啟防火墻，隨后切換到TCP-only。”