攻擊者利用用戶裝機(jī)量巨大的BT(BitTorrent)軟件實(shí)施反射型DDoS攻擊，攻擊者只需要極小的帶寬，就能通過(guò)“反射”放大50-120倍攻擊流量，輕松“摧毀”大型網(wǎng)站。

利用BT軟件進(jìn)行的DoS攻擊

在BT協(xié)議中我們研究發(fā)現(xiàn)，其中存在分布式反射DoS攻擊(DRDoS)攻擊漏洞，因?yàn)閿?shù)以百萬(wàn)計(jì)的人每天都會(huì)用這種協(xié)議在互聯(lián)網(wǎng)上交換下載文件。上述幾款應(yīng)用的研究結(jié)果表明，它們是很適合用來(lái)做分布式反射DoS攻擊的。這種攻擊在一個(gè)BT用戶端只需使用極少的帶寬，發(fā)送畸形請(qǐng)求給其他BT用戶后，就能四兩撥千斤似的高效率實(shí)施攻擊。

其他使用BT軟件的計(jì)算機(jī)接受了攻擊者精心構(gòu)造的攻擊請(qǐng)求后，會(huì)“反射”打向第三方受害人50-120倍的流量。這種攻擊的關(guān)鍵是BT的用戶數(shù)據(jù)報(bào)協(xié)議，它本身并沒(méi)有提供任何機(jī)制來(lái)防止偽造IP地址。攻擊者可以將自己的IP地址替換成受害人的地址，結(jié)果就造成了受害人莫名其妙地被洪水DoS攻擊。

第九屆USENIX黑客技術(shù)研討會(huì)的研究人員在報(bào)告里寫(xiě)道：

“攻擊者發(fā)起分布式反射DoS攻擊時(shí)，并不會(huì)直接將流量發(fā)送給受害人。相反，攻擊者會(huì)利用網(wǎng)絡(luò)協(xié)議中的IP欺騙，通過(guò)其他人反饋流量給受害者。這種攻擊可能會(huì)有一個(gè)或多個(gè)源節(jié)點(diǎn)。”

反射性DoS技術(shù)

反射型DoS攻擊可能會(huì)有三個(gè)主要的優(yōu)勢(shì)：

1.隱藏了攻擊者的身份

2.可以實(shí)現(xiàn)分布式攻擊，即流量來(lái)源于多個(gè)IP、多臺(tái)計(jì)算機(jī)

3.可以放大原始攻擊數(shù)據(jù)包，某些情況下甚至高達(dá)120倍

DoS攻擊技術(shù)并不是什么新技術(shù)，所謂Smurf攻擊和DNS放大攻擊，就是分別利用路由和域名系統(tǒng)服務(wù)器反饋流量，放大了火力來(lái)攻擊某個(gè)不幸的目標(biāo)。

然而，近年來(lái)存在這些漏洞的服務(wù)器數(shù)量已經(jīng)下降，這類攻擊漸漸變得沒(méi)有那么普遍，雖然DNS放大攻擊依然是個(gè)令人頭疼的問(wèn)題。在去年，針對(duì)游戲網(wǎng)站的攻擊者利用了一種新技術(shù)，利用了運(yùn)行網(wǎng)絡(luò)時(shí)間協(xié)議的時(shí)間同步服務(wù)器進(jìn)行DoS放大攻擊。在2014年初統(tǒng)計(jì)時(shí)，這種手法的使用效果破了紀(jì)錄，攻擊達(dá)到了每秒400千兆數(shù)據(jù)。

把DoS“放大”攻擊技術(shù)利用在用戶裝機(jī)量大的程序上時(shí)，無(wú)疑是最有效的——比如本文中的BT下載軟件。研究人員表示，他們?cè)诰W(wǎng)絡(luò)上掃描發(fā)現(xiàn)全球約210萬(wàn)個(gè)獨(dú)立IP使用了BT軟件。除此之外，研究人員對(duì)BT協(xié)議提出了部分修復(fù)建議，可以用來(lái)防止IP欺騙和放大攻擊。