预警|Portmap反射DDoS爆发,阿里云平台自动检测识别并拦截

2018年9月14日,阿里云安全团队监测到大规模Portmap反射DDoS攻击事件,近3000台服务器受到影响。平台30秒内完成自动拦截,并通知用户。Portmap反射DDoS通过伪造源IP利用UDP协议发起攻击,反射放大比达7.14,对服务器造成严重影响。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

阿里云安全团队于2018年9月14日0:10分监控到一起大规模攻击事件,当天近3000台的Portmap服务器被利用来进行反射DDoS攻击,平均反射放大比均值在7.X。阿里云平台30秒完成从检测识别到自动拦截,并第一时间通知到用户。

事发当日,仅阿里云安全团队拦截的从平台流出的对外Portmap攻击流量最高或可达到57G,预计全网该反射的攻击流量更是一个天文数字,危害极大。同时,被利用来反射的服务器将会出现网络满负载,甚至有CPU满载的情况,进而影响服务器上的正常业务应用的运行,严重情况下甚至会导致业务中断。

阿里云安全团队建议用户关注服务器上是否有开启RPCBind服务,如果业务中并没有使用RPCBind,可直接关闭,避免您的服务器被利用导致的业务受影响。

详细分析如下:

Portmap反射DDOS的成因:

Portmap RPCBind服务在TCP或UDP的111端口上运行,对该服务发起一个普通查询需要68字节,服务器响应包486字节,反射放大比为7.14。

一般反射DDOS攻击原理如下图所示:

8b77efdda433f82492916091253ee8366e25d67d

反射DDOS实施的2个必备条件:

1. 可以伪造源IP。

2. UDP协议无需连接,服务器响应包的大小远大于请求包大小,攻击以小博大。

针对以上数据流,我们认为限制并阻止违造源IP数据包发送到网络上,可以从根本上杜绝反射DDOS发生。

软件在服务器上的分发使用,我们认为:
a. 对“软件开发者”在设计服务时,需要有安全考虑,UDP协议存在放大时,可以加入鉴权机制。
b.对“镜像提供者”,在打包软件进入镜像时,默认镜像应审计其安全,不安全的打包安全策略。
c. 对“使用者”,在使用优先使用需要建立连接的TCP的服务,禁用UDP,以免在未建连接情况下伪造IP被以小博大。
全网情况

在shodan上搜索,整个互联网上潜在被利用的攻击主机数量近两百万,如下图:

6ae7d1690871ce1635646b566ab7ff00e428bdfc

(数据引用自shodan)

Portmap反射DDOS的危害:

- 用户云主机的CPU占用率会比日常高出几倍

9a6eefc4f12a5fbc717b612d0f107b3c9d8ba57d

- 用户云主机带宽全部被占满,下图为一台3M的主机:

ac8200319bad47514bbb295e464941f3727854a0

阿里云平台对反射DDOS自动管控:

处理时间快:9月14日首次Portmap攻击事件在00:10发生,全天共发现Portmap事件4000余起,涉及IP数2700余个,30s内完成检测并自动进行管控。

用户影响小:平台不关停用户云主机,对攻击流量进行管控,基本对用户正常业务无影响。

检测类型广:包含Portmap在内,平台检测并处置9种反射DDOS类型。

9230641b97427bf1589c65f49440d4f8532e5592

UDP各种服务的反射放大比如下图,引用自美国CERT公布的数据

https://www.us-cert.gov/ncas/alerts/TA14-017A:

9ebe8b5c8a7bf3f654e939e4b0c77a7595bcd9ce

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值