又一種DDoS攻擊，服務器管理員需要做更多工作。

2012年，網(wǎng)絡罪犯們想出了如何濫用DNS來進行大規(guī)模DDoS反射攻擊，我們可以將其理解為利用非常少的輸入創(chuàng)造大量流量。2013年，他們轉而利用網(wǎng)絡時間協(xié)議(Network Time Protocol，NTP)和簡單網(wǎng)絡管理協(xié)議(Simple Network Management Protocol，SNMP)，其次不久則使用了簡單服務發(fā)現(xiàn)協(xié)議(Simple Service Discovery Protocol，SSDP)。

[[147411]]

發(fā)現(xiàn)規(guī)律了沒?DDoS攻擊涌入那些配置失當?shù)姆掌?，情景十分壯觀，也讓人擔憂。管理員趕忙修復漏洞，但網(wǎng)絡犯罪分子每次都會從某個新的協(xié)議或服務上發(fā)現(xiàn)可趁之機，讓過程重演。

DDoS攻擊防御公司現(xiàn)在會定期警告所有使用普遍、但很少被管理員考慮到的協(xié)議。如今又出現(xiàn)了另一個不起眼的服務，Portmapper，它現(xiàn)在也加入了被濫用的列表中。

發(fā)生了什么?美國主力通訊運營商Level 3注意到某種新型的DDoS攻擊，它會濫用Portmapper(也即RPCbind)服務。這種攻擊已經(jīng)存在了一段時間，但其數(shù)量最近則有戲劇性的增加。

數(shù)量高峰出現(xiàn)的時間：6月下旬到8月中旬。

RCS(遠程控制系統(tǒng)，Remote Control System) Portmapper是什么?基本可以將其理解為經(jīng)典的Unix目錄服務，可以讓如PC等平臺上運行的程序對其它位置的計算機發(fā)起遠程過程調(diào)用(Remote Procedure Call，RPC)。它已經(jīng)存在好幾年了。

攻擊者做什么?他們偽造指向DDoS目標的地址，將UDP包發(fā)送給公共Portmapper服務。Portmapper會幫助攻擊者返回一個大得多的響應。如果有足夠多的查詢服務器，其管理人員也沒有意識到，那么這次攻擊就將被放大，壓倒攻擊目標。

濫用有多么容易?Portmapper應當是內(nèi)部局域網(wǎng)使用的服務，不應該從外部訪問到。顯然很多服務器都遺留了這一漏洞。

是不是很嚴重?允許外部方接觸到Portmapper不是好事，可能會讓服務器在不經(jīng)意間被用于DDoS攻擊第三方。

檢測到了多少攻擊流量?和其它被濫用協(xié)議進行比較，很少。但Level 3公司希望人們在局勢惡化前注意到它。如果不提醒，這類威脅通常會被忽略。

有補丁嗎?并不存在特定的軟件漏洞：Portmapper服務只是完成了其原本的設計功能。解決方案是禁止該服務，或者阻止對該服務的外部訪問。

其它被濫用的協(xié)議：DNS、NTP、Chargen、Netbios、SNMP、SSDP。

Levels3的話：“為了避免你的組織在未來成為DDoS攻擊的幫兇，我們建議在開放互聯(lián)網(wǎng)上禁用Portmapper和NFS、NIS以及所有其它RPC服務，這是最優(yōu)方案。在必須保證開啟服務的情況下，應該對所有能接觸到服務的IP地址開啟防火墻，隨后切換到TCP-only。”