最近，Akamai发表了一篇关于CLDAP反射攻击的文章。这让我们开始思考。早在2016年11月，我们就看到了来自无连接LDAP服务器的攻击，但我们完全忽视了这些攻击，因为我们的系统会在没有任何影响的情况下自动丢弃攻击流量。拉格兹的CC BY 2.0图像我们决定再次查看我们的日志，并分享一些我们经常看到的反射攻击的统计数据。在这篇博客文章中，我将描述流行的反射攻击，解释如何防御它们，以及为什么Cloudflare和我们的客户对大多数反射攻击免疫。反思的秘诀让我们先简单地提醒一下反射攻击（通常称为"放大攻击"）是如何工作的。要制造反射攻击，反派需要四种成分：能够执行IP地址欺骗的服务器。容易被反射/放大的协议。任何设计糟糕的基于UDP的请求-响应协议都可以。"反射器"列表：支持易受攻击协议的服务器。受害者IP地址。总体思路：恶棍发送伪造的UDP请求。这些数据包中的源IP地址是伪造的：攻击者将受害者的IP地址粘贴在源IP地址字段中，而不是像通常那样将其自己的IP地址粘贴到源IP地址字段中。每个包都被发送到一个随机反射服务器。欺骗的数据包通过互联网，最终被传送到反射服务器。反射服务器接收假包。它仔细地看了看，然后想："哦，受害者的请求多好啊！我必须礼貌地回答！"。它真诚地发出回应。不过，回应是针对受害者的。受害者最终会收到大量从未请求过的响应包。如果攻击足够大，受害者可能最终导致网络拥塞和中断风暴。发送给受害者的响应可能大于欺骗请求（因此会放大）。一次精心策划的攻击可能会扩大恶棍的流量。在过去，我们记录了一个300Gbps的攻击，估计有27Gbps的欺骗容量。大众反映在过去六个月里，我们的DDoS缓解系统"Gatebot"检测到6329个简单反射攻击（即每40分钟一次）。以下是不同攻击媒介的流行程度列表。攻击被定义为由元组（协议、源端口、目标IP）标识的大量数据包。基本上-同一个源端口的数据包涌入一个目标。这个符号非常准确-在正常的Cloudflare操作期间，传入的数据包很少共享一个源端口号！计数Proto Src端口3774 udp 123 NTP1692 udp 1900 SSDP438 udp 0 IP碎片253 udp 53 DNS42个udp 27015 SRCDS20 udp 19计费19 udp 20800值班电话16 udp 161 SNMP12 udp 389 CLDAP11 udp 111 Sunrpc10个udp 137 Netbios6个tcp 80 HTTP5 udp 27005 SRCDS2个udp 520 RIP源端口123/udp NTP到目前为止，最流行的反射攻击载体仍然是NTP。我们过去曾在博客上发表过关于NTP的文章：了解和抵御基于NTP的DDoS攻击400Gbps NTP放大DDoS攻击背后的技术细节好消息：易受攻击的NTP服务器正在关闭在过去的六个月里，我们看到了3374个独特的NTP放大攻击。大多数都很矮。平均发作时间11分钟，最长持续22小时（1300分钟）。下面的直方图显示了NTP攻击持续时间的分布：分钟最小值：平均1.00：10.51最大值：1297.00偏差：35.02秒计数：3774会议记录：值|--------------------------------------------------计数0 | 21 |*532 |**********************9424、1848年8 |*************58016 |****22132 |*7264 | 35128 | 11256 | 7512 | 21024 | 1大多数攻击都使用了少量的反射器-我们记录到每次攻击平均有1.5k的独特IP。最大的攻击使用了估计12.3k反射服务器。独特的IP最小值：平均5.00：1552.84最大值：12338.00偏差：1416.03分计数：3774唯一IP：值|--------------------------------------------------计数16 | 032 | 164 | 8128 |*****111256 |**********************553512 |**********************************************10841024 |*************************************************10932048年4096 |**********2208192 | 13峰值攻击带宽平均为5.76Gbps，最大为64Gbps：峰值带宽（Gbps）最小值：0.06平均值：5.76最大值：64.41偏差：6.39分计数：3774峰值带宽（Gbps）：值|--------------------------------------------------计数0 |*******1871 |*******************6032 |**********************************************13884 |**********************8188 |****************52616 |*******21232 |*3964 | 1这张堆叠的图表显示了我们在过去六个月里看到的最大的NTP攻击的地理分布。您可以看到指向每个数据中心的每秒数据包数。我们的一个数据中心（准确地说是圣何塞）收到的攻击量占总攻击量的三分之一，而其余的数据包大致平均分布在其他数据中心。攻击持续了20分钟，使用了527台反射式NTP服务器，峰值时产生了约20Mpps/64Gbps的数据。除以这些数字，我们可以估计攻击中的单个数据包的平均大小为400字节。事实上，在NTP攻击中，绝大多数数据包的长度正好是468字节（不太经常是516字节）。下面是tcpdump的一个片段：$tcpdump-n-r 3164b6fac836774c.pcap-v-c 5-K11： 38:06.075262 IP-（tos 0x20，ttl 60，id 0，偏移量0，协议UDP（17），长度468）216.152.174.70.123>x.x.x.47787:[| ntp]11： 38:06.077141 IP-（tos 0x0，ttl 56，id 0，偏移量0，协议UDP（17），长度468）190.151.163.1.123>x.x.x.44540:[| ntp]11： 38:06.082631 IP-（tos 0xc0，ttl 60，id 0，偏移量0，协议UDP（17），长度468）69.57.241.60.123>x.x.x.47787:[| ntp]11： 38:06.095971 IP-（tos 0x0，ttl 60，id 0，偏移量0，协议UDP（17），长度468）126.219.94.77.123>x.x.x.21784:[| ntp]11： 38:06.113935 IP-（tos 0x0，ttl 59，id 0，偏移量0，协议UDP（17），长度516）69.57.241.60.123>x.x.x.9285:[| ntp]源端口1900/udp SSDP第二个最流行的反射攻击是SSDP，共有1692个独特事件。这些攻击使用了更大的反射器服务器舰队。平均而言，我们在每次攻击中使用了大约10万个反射器，其中最大的攻击使用了1.23米的反射器IP。以下是SSDP攻击中使用的唯一IP数量的柱状图：独特的IP最小值：平均15.00：98272.02秒最大值：1234617.00偏差：162699.90美元计数：1691唯一IP：值|--------------------------------------------------计数256 | 0512 | 41024 |*************982048年**********************1524096 |**********************1788192 |*******************15816384 |**********************17632768 |**********************************24365536 |*******************************************306131072 |**********************************225262144 |*************95524288 |*******471048576 |*7攻击时间也更长，平均持续时间为24分钟：$cat 1900分钟| ~/bin/mm直方图-t"分钟"分钟最小值：平均2.00：23.69分最大值：1139.00偏差：57.65分计数：1692会议记录：值|--------------------------------------------------计数0 | 01 | 102 |*************1884 |****************************3548 |**********************************************54416 |*************************34232 |*************16864 |****48128 |*19256 |*16512 | 11024 | 2有趣的是，带宽并不遵循正态分布。平均SSDP攻击为12Gbps，最大攻击略低于80Gbps：$cat 1900 Gbps | ~/bin/mmhistogram-t"带宽（以Gbps为单位）"带宽（Gbps）最小值：0.41平均值: