0×01 故事起因 前两天以为freebuf上的网友stream(年龄、性别不详)私信我说他在阿里云上的服务器被NTP攻击了,流量超过10G,希望我帮忙一起分析一下,复现一下攻击。...我这当代雷锋当然非常乐意了,于是我就和stream联系(勾搭)上了,今天我就详细讲一下我们一起复现NTP反射攻击的过程。...我用的是kali,上面已经安装好了这个工具,这个工具的作用就是能发出想要的ntp报文,我用它发一个ntp monlist请求先看看情况,用 ntpdc -c monlist *.*.*.* 命令查看...然后我修改了上次发的那个攻击脚本,把NTP的payload加了180个00,做了一下测试,攻击了一下stream的阿里云服务器 ? 看看攻击效果 ?...能打出2.2G的峰值,但是跟攻击者的10G 20G差很多,可能是我带宽的原因,当然也可能是攻击脚本不完美,日后还需要继续改进才行。
DNS 反射放大攻击分析 前阵子业务上碰到了 DDOS 攻击,正好是 DNS 反射型的,之前只是听过,没自己处理过,仔细学习了一番之后做点记录。...简介 DNS 反射放大攻击主要是利用 DNS 回复包比请求包大的特点,放大流量,伪造请求包的源 IP 地址为受害者 IP,将应答包的流量引入受害的服务器。...简单对比下正常的 DNS 查询和攻击者的攻击方式: 正常 DNS 查询: 源 IP 地址 -----DNS 查询----> DNS 服务器 -----DNS 回复包----> 源 IP 地址 DNS...攻击: 伪造 IP 地址 -----DNS 查询----> DNS 服务器 -----DNS 回复包----> 伪造的 IP 地址(攻击目标) 分析 从服务器上抓了一些攻击包,根据这些数据包可以来看看这种攻击都是什么特点...大量的流量都来自正常的 DNS 服务器 攻击者通过伪造 IP 向正常的 DNS 服务器发送这些恶意的查询请求,将流量引入受害者的服务器,受害者查不到攻击者的真实 IP。
下图为监测到Memcached攻击态势。...美国东部时间28日下午,GitHub透露其可能遭受了有史最强的DDoS攻击,专家称攻击者采用了放大攻击的新方法Memcached反射攻击,可能会在未来发生更大规模的分布式拒绝服务(DDoS)攻击。...据CNCERT3月3日消息,监测发现Memcached反射攻击在北京时间3月1日凌晨2点30分左右峰值流量高达1.94Tbps。...用高防IP充足的带宽资源应对可能的大流量攻击行为,并根据业务特点制定个性化的防护策略,被DDoS攻击时才能保证业务可用性,从容处理。...---- 参考文献: 《放大倍数超5万倍的Memcached DDoS反射攻击,怎么破?》 《How To Secure Memcached by Reducing Exposure》
无耻的接受了p猫的py交易,自己也想实验下memcached这个放大攻击 0x01 前言 近日,一种利用Memcached缓存服务器来作为放大器的DRDOS攻击来势汹汹,多家安全机构检测到了这种反射放大攻击...,其利用memcached协议,发送大量带有被害者IP地址的UDP数据包给放大器主机,然后放大器主机对伪造的IP地址源做出大量回应,形成分布式拒绝服务攻击,从而形成DRDoS反射。...攻击者随时可以通过代理或者控制程序同时向所有肉鸡发送大量攻击指令。 3. 所有肉鸡在接受指令后,同时大量并发,同时向受害者网络或者主机发起攻击行为。 DRDoS要完成一次反射放大攻击: 1....攻击者,必须提前需要把攻击数据存放在所有的在线肉鸡或者反射服务器之上。 2. 攻击者,必须伪造IP源头。发送海量伪造IP来源的请求。当然这里的IP就是受害者的IP地址。 3....反射服务器,必须可以反射数据,运行良好稳定。最好是请求数据少,返回数据成万倍增加。 如此不断循环,就可以大规模攻击其带宽网络,增加占用率和耗损目标机的硬件资源。
众所周知,现网黑客热衷的反射攻击,无论是传统的NTP、DNS、SSDP反射,近期大火的Memcached反射,还是近期出现的IPMI反射,无一例外的都是基于UDP协议。...0x02 TCP反射攻击 与UDP反射攻击思路类似,攻击者发起TCP反射攻击的大致过程如下: 1、 攻击者通过IP地址欺骗方式,伪造目标服务器IP向公网上的TCP服务器发起连接请求(即syn包); 2、...其实这种攻击手法的厉害之处,不在于流量是否被放大,而是以下三点: 1、 利用TCP反射,攻击者可以使攻击流量变成真实IP攻击,传统的反向挑战防护技术难以有效防护; 2、 反射的syn/ack报文存在协议栈行为...为此,TCP反射攻击相比传统伪造源的TCP攻击手法,具有隐蔽性更强、攻击手法更难防御的特点。...综上所述:黑客利用互联网上的TCP服务器发起TCP反射攻击,相比常见的随机伪造源攻击,TCP反射攻击有着更为隐蔽,防护难度更大等特点,对DDoS安全防护将是一个新的挑战。
本文的关键发现如下: - 自WSD反射攻击在今年2月被百度安全研究人员披露以来,今年下半年利用WSD进行反射攻击的事件明显增多。...DDoS反射攻击。...今年2月,百度的安全研究人员[1]发布了一篇关于WSD反射攻击①的文章。这是我们发现的关于WSD反射攻击的最早的新闻报道。...从反射攻击的角度来看,攻击者并非只针对ONVIF设备。虽然百度并没有提WSD反射攻击,但我们认为这是对于WSD反射攻击的首次报道。...这样的话,WSD反射攻击、SSDP反射攻击则将不再存在。 03 作为电信运营商: 需要对自己所管理的网络中的DDoS攻击进行治理。
图 1 典型DDos流量放大 表 1列举了一些经常用于反射型DDoS攻击的协议及其放大倍数。...表1 常见反射性DDoS攻击的放大倍数 三、 NTP反射式DDoS攻击 迄今为止最大规模的DDoS攻击来自于NTP协议反射式DDoS攻击,本节将通过一些细节来说明如何发动NTP反射式DDoS攻击...l NTP流量放大 NTP(Network Time Protocol)是一个常见的协议,用于提供时间同步服务。...从表1我们看到NTP可以实现556.9倍的放大效果,这来自于NTP的monlist命令。...图 4 NTP流量放大 如图4所示,Server端提供NTP服务,Attacker发送了一个NTP monlist Request给Server,但其源IP地址不是自己的IP地址,而是攻击对象Target
2018年2月27日,多国CERT和多家网络和云运营商报告称,恶意攻击者正在使用不安全配置的Memcached服务器来借力放大DDoS攻击。...根据报告,Memcached的带宽放大因子(Bandwidth Amplification Factor)能达到10000-51000,远超过之前广泛使用的NTP协议的556.9,刷新了UDP协议反射放大...DDoS攻击的新记录,测试显示15byte的请求能触发750KB的响应,即51200的放大倍数,Memcached对互联网开放的无需验证的UDP 11211端口为成为了主要利用的DDoS反射器, Memcached...如果看到非空有内容输出的响应(如上所示),表示Memcached服务器容易受到攻击,特别是暴露在互联网上的主机。 ? Memcached安全配置建议 ?...同时建议网络运营商实施源地址验证(BCP38/BCP84)标准,以防止其网络和最终用户的网络受到反射/放大DDoS攻击的影响。
Google安全研究人员最近发现,NTP协议(网络时间协议)出现了一些新的严重漏洞,NTP 4.2.8之前的版本均受影响,黑客可以利用这些漏洞展开远程攻击。...NTP漏洞的历史攻击案例 在之前的攻击事件中,攻击者往往利用NTP协议漏洞进行DDoS攻击,比如在2013年圣诞节就曾出现过一系列NTP反射型DDoS攻击案例。...因此攻击者通过伪造受害主机的IP地址,向全网的NTP服务器发送monlist请求,NTP服务器进而向受害主机返回大量的数据包,造成其网络拥塞。这是一种典型的分布式反射拒绝服务(DRDoS)攻击方式。...在下图中我们可以看到,约有15000个IP地址使用了NTP协议进行反射型攻击,它们似乎属于一个僵尸网络。 NTP反射攻击的放大系数高达1000,因此深受黑客们喜爱。...攻击者能在成本较低的情况下取得极为良好的攻击效果。
但这都是基于一个条件:确保不会通过反射机制调用私有的构造器。 这里举个例子,通过JAVA的反射机制来“攻击”单例模式: ?...运行结果:false 可以看到,通过反射获取构造函数,然后调用setAccessible(true)就可以调用私有的构造函数,所有e1和e2是两个不同的对象。...如果要抵御这种攻击,可以修改构造器,让它在被要求创建第二个实例的时候抛出异常。 经修改后: ? 测试代码: ? 运行结果: ? 可以看到,成功的阻止了单例模式被破坏。...由此可见这种写法也可以防止单例模式被“攻击”。
payload: 【 ';})</script><script>alert(1)</script> 】
图3: 利用NTP服务器发起反射攻击 反射拒绝服务攻击又称DRDoS攻击(Distributed Reflection Denial of Service),或分布式反射拒绝服务攻击。...一般来说,可以被利用来做放大反射攻击的服务包括DNS服务、NTP服务、SNMP服务、Chargen服务等。 ...,利用NTP协议的反射放大效果最好,超过500倍。...也就是说攻击者只需要发起100Mbps的请求流量,经过NTP服务器的反射放大,可以换来5Gbps的攻击流量。...2014年2月,在国外某云计算服务提供商遭受的400Gbps DDoS攻击中,黑客就采用了NTP 反射放大攻击。
基于Memcached的反射型攻击技术分析 利用Memcache的反射型攻击最初由360信息安全部0kee Team在2017年6月发现,并于当年11月在 PoC 2017 会议上做了公开报告,详细报告可参见参考链接...要完成一次UDP反射放大攻击,需要满足以下几个基本条件: 作为攻击者,需要能伪造IP,并发送海量伪造来源的请求。...作为反射服务器,上面需要运行着容易放大反射攻击的服务,而运行了设计不当的UDP协议的服务是最佳的选择。 反射服务器的响应包最好远远大于请求包,这样才能使用较小的攻击流量进行高流量的DDOS攻击。...反射服务器对应的协议或服务在互联网上有一定的使用量,比如本次攻击中的Memcached。...攻击流程 完成一次针对Memcached的UDP反射放大攻击,基本攻击流程如下: 扫描端口和服务,抓取协议指纹,获取未认证的Memcached。
这就是DDoS攻击的一种类型: NTP反射放大攻击。 NTP Network Time Protocol,通过网络服务来同步时间。...常见实现方式反射型攻击。利用: 一些协议的“ 响应是请求的很多倍”特点 同时“ IP协议不验证源IP”不足 把流量引到被攻击站点。 NTP反射攻击和SSDP都是。...NTP反射攻击依托UDP,很多DDoS类型也是利用UDP。为啥是UDP? 5 为啥UDP易被用做DDoS? TCP也可被DDoS用,但同样成本,反射型攻击更高效。...像NTP反射攻击、SSDP反射攻击,都是“一问一答”,攻击者只需伪造一个请求报文,后续响应报文自然就发给被攻击站点。...7 总结 NTP反射攻击和SSDP反射攻击这两个典型的DDoS案例,了解反射放大攻击特点,主要利用: IP协议不对源IP进行校验,可伪造源IP,把它设定为被攻击站点的IP,这样就可以把响应流量引向被攻击站点
importjava.util.regex.Matcher;15 importjava.util.regex.Pattern;16 17 /** 18 * 〈一句话功能简述〉 19 * TODO(解决反射型...XSS漏洞攻击)20 *21 *@authorhan.sun22 *@version1.0.023 *@since2019/2/28 11:3924 */ 25 public class XssHttpServletRequestWrapper
目前来说流量型反射DDOS攻击都是以UDP为载体的,毕竟TCP的三次握手就让伪造源地址反射大流量变得不现实(tcp反射ACK倒是还行- -!) 下面来看看一般能用于反射放大的协议以及放大倍数吧 ?...现在TFTP也被利用来进行DDOS反射了,据说放大倍数也很可观,根据表中显示看来NTP放大倍数最高,不过NTP服务器不多,而且开了monlist的更少了,我倒是扫描到过一两个。...和DNS的反射攻击和反射资源的扫描。...0×02 反射放大攻击的原理 很多协议的请求包要远小于回复包,以一个字节的数据换十个字节的数据回来,这就是一种放大。...但是你这单纯的放大攻击的是自己啊,所以说想要攻击别人就要在发送请求包时把源地址写成要攻击的人的地址,这样回复的大字节报文就去你要攻击的人那里了,这都是很简单的道理我想也不用我多说。 ?
0×01 前言 之前发了一篇关于反射DDOS攻击原理以及反射资源扫描的文章,本来今天的这个应该并到那篇文章里,共称为反射DDOS攻击扫描与利用,但是我怕这样做会教坏小孩子,我发第一篇DDOS文章的时候freebuf...我并没有调用第三方的库,只要是linux+python就可以执行,在执行之前需要先在利用代码的同文件夹中建一个ipaddress.txt文件 ,作为反射攻击的反射资源地址池,多点少点都行,但是记住最后一行不要空着
概述 2019年09月10日, 华为AntiDDoS8000设备某荷兰数据中心局点捕获新型UDP反射放大攻击,反射源端口为1194。...客户在AntiDDoS8000清洗设备上配置硬件过滤规则有效阻断了攻击。华为未然实验室通过对攻击流量深入分析,很快发现攻击流量来自在网络中开放的OpenV**服务。...根据该特性,结合UDP反射攻击手法,即可实现UDP反射放大攻击。为了更高效的利用反射源,客户端需要将每次请求的源端口设置为不一样,如果是同一个源端口,在30秒有效期内,将被忽略。...攻击风险 通过shodan网络空间搜索引擎查询,可以发现在网络空间有将近70万个对外开放的OpenV**服务。...如果攻击者利用这些OpenV**服务进行UDP反射放大攻击,将会对被攻击者造成严重影响。
众所周知,现网黑客热衷的反射攻击,无论是传统的NTP、DNS、SSDP反射,近期大火的Memcached反射,还是近期出现的IPMI反射,无一例外的都是基于UDP协议。...image.png 0x02 TCP反射攻击 与UDP反射攻击思路类似,攻击者发起TCP反射攻击的大致过程如下: 1、 攻击者通过IP地址欺骗方式,伪造目标服务器IP向公网上的TCP服务器发起连接请求(...其实这种攻击手法的厉害之处,不在于流量是否被放大,而是以下三点: 1、 利用TCP反射,攻击者可以使攻击流量变成真实IP攻击,传统的反向挑战防护技术难以有效防护; 2、 反射的syn/ack报文存在协议栈行为...为此,TCP反射攻击相比传统伪造源的TCP攻击手法,具有隐蔽性更强、攻击手法更难防御的特点。...综上所述:黑客利用互联网上的TCP服务器发起TCP反射攻击,相比常见的随机伪造源攻击,TCP反射攻击有着更为隐蔽,防护难度更大等特点,对DDoS安全防护将是一个新的挑战。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
