2016年11月1日 星期二

105 年 9月份 TWCERT/CC資安情資月報

在資安政策方面,各國皆制定相關政策,國內為打擊網路威脅,國防部培育資安「神盾戰士」,而英建網路長城擋中俄駭客,另白宮任命退伍將軍擔任首位聯邦資安長,此外印度與英國網路安全監管機構簽訂合作協議,中國也允許外國科技公司參與建立網路安全標準。另衛星系統安全也逐漸受到重視,若遭駭可能導致極大損害。
在駭客攻擊事件方面,於金融領域部分,SWIFT警告會員6月後仍然有攻擊來襲,國內 mail server 則被 Armada Collective Hackers 利用以勒索他國銀行;在資料外洩部分,美國雅虎遭洩漏五億筆個資,台灣Yahoo奇摩發佈聲明表示未受影響;在攻擊手法部分,Google網址參數潛藏危機,登入網址可被利用轉傳惡意網站或檔案;另有數以千計連網的 Seagate Central NAS 設備遭感染虛擬貨幣挖礦惡意軟體,Akamai則指出2016年第二季DDoS總攻擊數是過去一年的兩倍。
在軟硬體漏洞部分,Adobe、American、Cisco、Drupal、Google、ISC、Microsoft、Moxa、Mozilla、MySQL、OpenSSL、Rockwell、Siemens、Trane、VMware及WordPress皆存在漏洞,並需進行安全更新。
在本月專題彙整分析部分,就分散反射式阻斷服務(DrDoS) 攻擊研析進行分析探討,分別介紹攻擊事件、向量、分類與統計分析及威脅評估,供讀者能對相關技術能有進一步了解。

國內外重要資安新聞

國內外資安政策、威脅與趨勢

1. 若衛星系統遭駭可能導致極大損害

倫敦非營利非政府的智庫組織漆咸樓(Chatham House)近日發佈報告指出,當討論到國家級關鍵基礎設施時,往往會忽略衛星及太空資產遭受網路攻擊之可能性,而隨著民眾在導航、通訊、遙控感測、監控等技術的使用越趨頻繁,忽略此環節可能會導致嚴重後果。
衛星、飛行船及地面站間的通訊可能會遭受各種網路攻擊,包含資料竊取、網路攔截詐騙(cyber-spoofing)及網路劫持(cyber-hijacking)等,因此太空相關的弱點更急需處理,也需要更多資安專家投入心力研究。美國網路情報公司CrowdStrike也確認此種說法,並指出最近針對衛星系統進行攻擊的事件有增加趨勢,特別是位在以色列的電視台受到更多的攻擊,這些攻擊目的並不是要竊取情資,而是要破壞及劫持系統。專家建議若要防止威脅繼續擴大,需要相關產業廠商、政府及保險業者共同合作並建立內部連繫平台,以打擊威脅,目前也有一些國家已著手進行相關工作。

(資料來源:美國New York Post)

2.打擊網路威脅 國防部培育資安「神盾戰士」

國防部指出,今年漢光演習即徵召民間資訊高手,執行網路攻防;後續將擴大與民間菁英社群交流,廣儲人才,確保資通電作戰優勢。國防部表示,為提升國軍資通電作戰效能,自2016年7月起,以軍事院校培育、大學儲備軍官團招募及志願役士兵選訓方式,廣儲資通電戰力資源,並規劃整合民間人才,目前正與經濟部、教育部及民間產官學專業合作,期以高科技網路、數據鏈路及電子作戰能量,完善網路系統防護,維繫國軍指管通資情監偵系統完整與有效運作。國防部提到,對於提升資電作戰戰力,國防部依國軍聯合作戰規劃,持續組建資電部隊與建置各類資電作戰裝備、軟硬體系統,同時以基礎、進階及專精等系統訓練提升部隊專業能量,且結合教育部「資安人才培育計畫」,2016年起於國防大學成立資安碩士在職專班,培養資電作戰所需之專業技能,並積極爭取資電作戰勤務加給,依專業能力及工作成效給予不同程度之獎金,以吸引優秀人才加入及提升留用意願。

(資料來源:臺灣自由時報,圖片來源:NOWnews)

3. 英建網路長城擋中俄駭客

英國情報機關「政府通訊總部」(GCHQ)宣佈著手建立全國性的網路防火牆,以封鎖惡意網站,避免家用電腦受到攻擊。GCHQ局長Ciaran Martin表示,英國去年每月發生200宗國家安全級別的網路攻擊,比前年倍增。駭客常用手法包括將惡意網站模仿成為人熟悉或可信任的網站,誘騙使用者下載病毒程式,中國、俄羅斯或伊朗駭客常以類似手段,盜取敏感的政府或商業資料。新計劃透過過濾域名系統(DNS),防止使用者進入這些危險性高的網站,現時已在公共的網路試行。為免引發私隱爭議,消費者及網路供應商可自由決定是否受防火牆保護。

(資料來源:香港蘋果日報)

4. 白宮任命退伍將軍擔任首位聯邦資安長

面對越來越嚴峻的資安挑戰,美國白宮日前任命退伍軍人 Gregory Touhill 出任首位資安長 (Chief Information Security Officer, CISO)。美國資訊長 Tony Scott 和資安協調人 J. Michael Daniel 共同宣布 Gregory Touhill 為美國首位資安長,並且說這項職務要擬訂、規畫和實施美國聯邦政府的資安政策。在公告中,指出資安長的最主要角色是確保擬定對的政策、策略和習慣,並且在不同單位之間能夠順暢運作,帶領聯邦政府在 21 世紀時站在資安領域的領導地位。Touhill 為美國空軍準將退役,連同新職位,還有 190 億的預算額度。不過 Touhill 為政務官,任期恐怕會隨著歐巴馬卸任而結束。目前 Touill 為美國國土安全部網路安全辦公室 (cyber security and communications, C&C) 副主任。另外白宮也任務暫行的副資安長,由現任國家安全會議資安政策召集人 Grant Schneider 出任。


(資料來源:臺灣科技新報)

5. 印度與英國網路安全監管機構簽訂合作協議

印度CERT(CERT-In)及英國CERT(CERT-UK)簽訂合作備忘錄,此兩個單位皆為國家所營運的網路安全組織,以處理國家所面臨的網路安全問題。該合作備忘錄讓印度及英國能有更密切的合作,並分享資安事件偵測、解析、應變及預防相關的知識、技術資訊與經驗,有助於雙方國家加強網路空間安全。
(資料來源:印度The Economic Times)

6. 中國允許外國科技公司參與建立網路安全標準

中國首次允許外國科技公司參與中國國家互聯網信息辦公室下屬委員會,並建立資安標準,該委員會稱做全國信息安全標準化技術委員會(Technical Committee 260,TC260),TC260參與資料儲存及加密等快速發展中技術的討論。據報導指出,這些公司包含 Microsoft、Cisco、Intel及IBM,他們是以工作成員的身分積極參與,而非只是觀察員。目前Microsoft及Cisco已證實此項消息,Intel及IBM則尚未有回應。
EastWest Institute副總裁Bruce McConnell指出,這些美國公司所參與的討論仍處於初期階段,有逐漸積極的趨勢,但未來會不會對於中國政策有主要的影響還很難說,而這些公司的參與在某些方面則證明了兩國間所簽署的網路協議是有作用的。

(資料來源:美國SC Magazine)

 駭客攻擊事件及手法

 1. SWIFT警告會員6月後仍然有攻擊來襲

SWIFT在孟加拉銀行轉帳系統遭駭後,8月30日表示自6月起陸續有新一波針對會員銀行的網路竊盜攻擊發生,當中甚至還有數起攻擊得逞。
SWIFT在寄給會員的通知中表示,有會員銀行的IT環境遭攻擊成功後,發出偽造的付款指示,相關攻擊不但持續進行,還會隨狀況改變攻擊方式,手法相當高明。此波遭攻擊的數間銀行主要的問題在自身網路安全不夠周全、管控流程不夠完備等問題,導致其環境遭入侵後,進而被駭客利用來發出偽造的轉帳電文。
針對金融機構的網路攻擊近來也受到國際重視,有美國參議員出面呼籲在本周將舉辦的G20高峰會中,建立對抗針對重要金融機構發動的網路攻擊的相關對策。
編註:
TWCERT/CC建議如下:
(1)對於系統操作人員必須驗證身分與存取權限管控 
(2)強密碼的管理規則,例如高過20位英文數字及符號混用 
(3)必須有針對類似攻擊辨識能力的入侵偵測系統



2. Google網址參數潛藏危機,登入網址可被利用轉傳惡意網站或檔案

駭侵步驟如下:
(1). Google 登入網址的 continue 參數值用於決定用戶登入後自動前往的網址。
(2). 對於登入後轉址,Google 已設定白名單,僅 Google 域名的網址才可轉址。
(3). 然而資安專家表示,只要在continue 參數值改為https://www.google.com/amp/[any_domain_here]
(4). 在使用者輸入正確之帳號密碼按下登入後,即會被轉址至參數所指定之網址。
(5). 因此當駭客在參數後面指定一個模仿登入畫面的釣魚網站,要求使用者再次輸入帳密,即可能藉此取得登入憑證。
(6). 另外 continue 參數亦可插入 Google Doc 檔案連結,便可能利用使用者登入時自動下載特製的惡意檔案。
(7). 然而資安專家表示已經將此情況通知 Google,但 Google 選擇不做任何事情。
編註:TWCERT/CC建議用戶在登入後出現要求重新輸入帳密或其他個人資訊時,請務必重複確認網址是否仍來自google.com,並在登入前確認網址尾端是否有不正常連結。



3. 國內 mail server 被 Armada Collective Hackers 利用,勒索他國銀行

以透過電子郵件恐嚇要發動分散式阻斷服務(DDoS) 為名的駭客集團 Armada Collective,近期透過國內 Email server 勒索他國銀行。
本中心接獲 CIRCL (Computer Incident Response Center Luxembourg)通報表示他們的服務民眾接收到來自國內某企業 Email server 的DDoS攻擊威脅電子郵件。郵件標題為「Armada-Attack!!!」,信件內文則自稱Armada Collective的駭客組織,經檢查對方的系統有很大的漏洞,並表明開始攻擊的詳細時間,在該時間將啟動10-300 Gbps的強力DDos攻擊,同時將透過已知的漏洞對伺服器進行安全弱點測試,並會存取對方的資料庫,遭勒索者可以支付1比特幣以免受攻擊,若不支付,將增加至20比特幣。
編註:TWCERT/CC建議,定期檢查郵件伺服器是否有異常紀錄或網路行為,並確保裝有最新版本的防護軟體,以免遭駭客利用。



4. 數以千計連網的 Seagate Central NAS 設備遭感染虛擬貨幣挖礦惡意軟體

資安專家發現 Seagate Central 的 NAS 設備遭植入稱為 Miner-C 的虛擬貨幣挖礦惡意軟體。在已連上網際網路的7000多台的 Seagate Central NAS 設備中,已知約有5000多台遭到感染。 所有的 Seagate Central NAS 設備都建有一個共用資料夾,這種特殊資料夾無法關閉或刪除。此共用資料夾允許所有用戶存取,包含不明或匿名用戶,Miner-C藉此將自身複製到此資料夾。攻擊者放置了一個名為 Photo.scr 的檔案副本,icon看似 Windos 資料夾以誘騙使用者點選。一旦 Photo.scr 檔案被執行,即會安裝虛擬貨幣挖礦惡意軟體以進行虛擬貨幣 Monero 挖礦。資安專家預估駭客獲利可能已達7.66萬歐(8.64萬美元),約占整個 Monero挖礦活動的2.5%。



5. Akamai:2016年第二季DDoS總攻擊數是過去一年的兩倍

Akamai第二季報告顯示DDoS總攻擊數年成長率高達129%,其中NTP反射式攻擊數增加276%創下歷史新高,網路應用程式攻擊數增長14%,SQL注入式攻擊與本機檔案入侵(Local File Inclusion; LFI)攻擊成為最常見的攻擊手法。
Akamai觀察到最大規模的DDoS攻擊為363Gbps,發生在6月20日針對一個歐洲媒體客戶的攻擊。而中型攻擊規模縮小了36%,來到3.85Gbps。另外有12次超過100Gbps的攻擊,其中有兩次達到300Gbps,分別針對媒體與娛樂產業。
編註:由於現今DDoS攻擊是包含流量、狀態耗盡和應用層等混和攻擊方式,通常也是駭客進行竊取機敏資料或其他惡意行為的先鋒部隊之一,因此,TWCERT/CC建議用戶採取分層式(Layed)DDoS的保護措施。其防禦手法通常涵蓋攻擊偵測、流量分類,目的在於阻擋非法的流量與允許合法且正常的封包通過,常見的防禦方式如下:
[1]防火牆:設定規則來允許或阻擋特定通訊協定、port號以及IP位址。
[2]設定交換器的速度限制與ACL功能。
[3]黑洞(Blackholing)與水坑(Sinkholing):將所有送往被攻擊的DNS或IP流量導引到Null接口或不存在的伺服器;水坑則是將流量導引至有效IP位址進行分析。
[4]流量清洗:將所有流量導引至流量清洗中心並透過Proxies、Tunnels等方式將非法與正常合法流量區分出來。




6. 美國雅虎遭洩漏五億筆個資,台灣Yahoo奇摩發佈聲明表示未受影響

美國資訊技術公司雅虎(Yahoo)證實,兩年前遭到駭客攻擊,全球最少有五億個帳戶的資料被盜取,可能包含涉及姓名、電子郵件地址、電話號碼、出生日期和部份密碼等;台灣Yahoo奇摩表示,台灣電子商務相關的交易紀錄、信用卡及支付等資料皆為獨立儲存,跟這次受到影響的美國系統無關,因此不受影響。
編註:
TWCERT/CC建議如下:
1. 若您的其他帳號使用與您Yahoo帳號相同或類似的資訊,建議更改其他帳號密碼及安全驗證問題與答案,密碼建議使用20位以上英文、數字及符號混合使用,並且避免多個帳戶使用同一組密碼。
2. 檢查您的帳號是否有可疑的活動,並使用雙重認證方式。
3. 留意是否有任何不明來源的訊息,詢問您的個人資訊,或是引導您至任何詢問您個人資訊的網頁。
4. 避免在可疑的電子郵件中點選連結或下載附件。


軟硬體漏洞資訊

1. Adobe發佈多項產品安全更新

本次安全更新修補了Adobe ColdFusion之安全漏洞,ColdFusion是一個動態Web服務器,該漏洞是由於該服務在解析外部XML時,通過特意構造之惡意內容,可導致讀取任意文件、執行系統命令、探測內網端口、攻擊內網網站等危害。
另Adobe更新修復了多項產品的漏洞,包含Digital Editions、Flash Player、Air SKD及Compiler software,在此呼籲使用者盡速更新,駭客可能利用這種漏洞攻擊方式,經由網頁中的Flash player,並透過上述弱點嵌入惡意代碼,當用戶瀏覽該頁之時,嵌入其中的代碼將會被執行,從而達到特殊目的。


2. American發佈Auto-Matrix Front-End安全更新

本次安全更新修復了Auto-Matrix Front-End漏洞,部分漏洞是由於設計上的缺失,設備未設定預設之密碼、設定檔以明文顯示,導致駭客可以獲取機敏資訊,駭客可利用漏洞在設備上未經授權的操作,例如更改密碼,修改配置參數,以及設備重啟。


3. Cisco發佈多項產品安全更新

本次安全更新修補了多項產品之安全漏洞,其中Cisco WebEx Meetings Player漏洞是由於未正確驗證用戶提供的文件,存在安全漏洞,駭客可能利用這種漏洞攻擊方式,上傳特製文件至受影響產品,進而執行任意程式碼,達到特殊目的。
另有部分漏洞是由於受影響之軟體在處理用戶提供的資料時,未做充分的驗證,攻擊者可以通過注入任意命令到目標設備,進而運行現有的應用程式腳本,駭客可能利用這種漏洞攻擊方式,透過特殊的HTTP request發送給受影響系統即可觸發此漏洞,導致注入任意命令到目標設備。
本次安全更新亦修補思科電子郵件安全裝置 (ESA) 中含有允許未經身份驗證的遠端攻擊者,能夠獲得完全控制受影響的設備的權限,駭客可能利用這種漏洞攻擊方式,透過特殊的HTTP request發送給受影響系統即可觸發此漏洞,導致設備權限提升。


4. Drupal發佈多項安全更新

本次安全更新修補了Drupal core之一系列的安全漏洞,部分漏洞是由於設計不夠嚴謹所導致的安全弱點攻擊行為,可能導致跨網站指令碼攻擊,駭客可能利用這種漏洞攻擊方式,將惡意程序植入網頁中,導致使用者瀏覽網頁時,受到不同程度的影響,如在背景中下載惡意程序,後門開啟或是密碼與個人資料之竊取。


5. Google發佈Chrome安全更新

本次安全更新修補了Google Chrome(33個)漏洞,其中存在高風險漏洞,惡意人士可透過讓使用者瀏覽事先建立之惡意網頁後,便可觸發漏洞、規避部份安全限制,導致瀏覽器無預警關閉等。


6. ISC發佈BIND安全更新

BIND(Berkeley Internet Name Daemon)是現今網際網路上最常使用的DNS伺服器軟體,使用BIND作為伺服器軟體的DNS伺服器約占所有DNS伺服器的九成。BIND現在由網際網路系統協會(Internet Systems Consortium)負責開發與維護,該漏洞是由於buffer.c的檔案在解析DNSSEC key錯誤,導致驗證分析器無預警關閉,駭客可能透過發送惡意查詢,導致阻斷服務攻擊。

7. Microsoft發佈多項安全更新

本次安全更新修補了Microsoft漏洞,部分漏洞是由於Chakra JavaScript引擎在處理Microsoft Edge記憶體中的物件時,其呈現的方式中存在一個遠端執行程式碼的弱點。此弱點可能會損毀記憶體,使攻擊者有機會以目前使用者的權限層級執行任意程式碼,成功利用此弱點的攻擊者可取得與目前使用者相同的使用者權限。如果目前的使用者以系統管理使用者權限登入,則成功利用這些弱點的攻擊者可以取得受影響系統的控制權。攻擊者接下來將能安裝程式,檢視、變更或刪除資料,或建立具有完整使用者權限的新帳戶。


8. Moxa發佈Active OPC Server安全更新

本次安全更新修補了Active OPC Server的安全漏洞,該漏洞的特性發生在開發人員沒有將整個文件路徑包含在引號內。 將文件路徑包含在引號內會降低這個漏洞的威脅。 這個漏洞被稱為“不帶引號的服務路徑(Unquoted Service Paths.)”,駭客可能利用這種漏洞攻擊方式,在不帶引號的服務路徑文件夾下放置一個精心構造名字的惡意文件,在服務重啟後,駭客就擁有以系統權限運行的惡意程序。



9. Mozilla發佈Firefox、Firefox ESR安全更新

本次安全更新修補了Firefox、Firefox ESR之安全漏洞,部分漏洞是由於瀏覽器在解析影片時,沒有校驗指針的合法性,對空指針進行引用導致瀏覽器崩潰,駭客可能利用這種漏洞攻擊方式,特製惡意之影片,並誘使用戶點擊這個影片連結播放影片時,觸發該漏洞,進而導致瀏覽器崩潰。


10. MySQL發佈多項安全更新

波蘭的研究人員發現MySQL兩個重大的零時差漏洞(CVE-2016-6662及CVE-2016-6663),CVE-2016-6662漏洞可令來自遠端或本地的攻擊者,注入惡意指令到MySQL配置文件或自己創建惡意配置文件,進而定義資料庫之設置。CVE-2016-6663漏洞尚未公開,實際上這是CVE-2016-6662的一個變種,同樣是在root權限下進行遠端程式碼執行(據說甚至不需要有FILE權限),只要駭客擁有一個MySQL低權限用戶,僅需有FILE權限(如:虛擬主機通常會提供,因為需要導入導出文件),即可實現root權限提升,攻擊者成功利用漏洞後,透過web介面連接phpmyadmin並訪問MySQL資料庫,就可以使用root權限執行任意指令碼,完全控制MySQL資料庫。


11. OpenSSL發佈OCSP安全更新

OpenSSL OCSP狀態請求擴展存在嚴重漏洞,該漏洞令惡意客戶端能耗盡伺服器內存。OCSP(Online Certificate Status Protocol)為線上的憑證狀態通訊協定,攻擊者可通過TLS擴展"TLSEXT_TYPE_status_request",填充OCSP ids並不斷發送request,發送大量OCSP狀態請求擴展,導致伺服器內存無限增長,最終導致伺服器阻斷服務。默認OpenSSL配置的伺服器會受影響,即使其並不支持OCSP,除非在編譯時使用了「no-ocsp」編譯選項。


12. Rockwell發佈RSLogix安全更新

本次安全更新修補了RSLogix漏洞,該漏洞是由於RSS擴充功能套件被嵌入惡意代碼,導致用戶在解析或打開RSS時,造成緩衝區溢位的條件,駭客可能利用這種漏洞攻擊方式,創建一個惡意的RSS文件,誘使用戶點選,如用戶打開惡意的項目文件,就會導致緩衝區溢位條件。


13. Siemens發佈多項安全更新

本次安全新修補了SIPROTEC 4 and SIPROTEC Compact devices漏洞,部分漏洞是由於該設備之Web介面驗證機制有錯誤,導致駭客可以繞過認證和執行管理操作,駭客可以利用這種漏洞攻擊方式,繞過受影響設備Web介面之驗證,攻擊者接下來將能視、變更或刪除受影響設備的資料。

14. Trane發佈Tracer SC安全更新

本次安全更新修補了Trane漏洞,該漏洞是由於沒有充分過濾用戶提交的輸入,導致遠程攻擊者可藉助目錄遍歷字符'../'利用該漏洞訪問包含敏感信息的任意文件,駭客可能利用這種漏洞攻擊方式,通過在URL或參數中構造'../'或類似的跨父目錄字符串,完成目錄跳轉,讀取操作系統各個目錄下的敏感文件。

15. VMware發佈多項安全更新

本次安全更新修補了VMware多項產品漏洞,部分漏洞是由於graphic acceleration functions存在內存錯誤,進而造成NullPointerException,導致本地權限提升,駭客可能利用這種漏洞攻擊方式,發送惡意指令至graphic acceleration functions,觸發該漏洞,Guest系統上的本地用戶可在主機系統獲得提升權限。主機系統上的本地用戶可獲得提升權限。

16. WordPress發佈多項安全更新

本次安全更新修補了WordPress(2)個漏洞及(15)個bug,漏洞包含透過圖片檔相關的跨網站指令碼漏洞、更新包上傳路徑方面的漏洞,這些漏洞是由於網站應用程式設計不夠嚴謹所導致的安全弱點攻擊行為,請用戶儘速更新至最新版本,駭客可以利用這種漏洞攻擊方式,透過在圖片檔中嵌入惡意程式碼,並將此惡意圖檔植入網頁中,導致使用者瀏覽網頁時,受到不同程度的影響,如在背景中下載惡意程式,後門開啟或是密碼與個人資料之竊取。



 專題彙整分析 – 分散反射式阻斷服務(DrDoS)攻擊研析

分散式阻斷服務(DDoS)攻擊,最近幾年已演化朝向分散反射式阻斷服務(DrDoS)攻擊模式發展,攻擊規模逐年屢創新高且大多採用數種攻擊向量,已形成顯著的不對稱攻擊效果。有鑑於DrDoS攻擊之演化趨勢,現階段尚有多種通訊協定後續可能被大幅利用,可演化出不同型態的DrDoS攻擊,本報告研析反射攻擊之發展趨勢與分類方法,以及12種以UDP/TCP為基礎之通訊協定的工作原理、弱點與其遭濫用時可能的反射放大效果,評估後續可能發生之反射攻擊威脅,以供後續評估大量家用設備連上物聯網時,可能需面對之資安威脅及強化安全防護策略之參考。

1. 前言

1.1. DDoS 定義

阻斷服務(Denial of Service,簡稱DoS)攻擊是指企圖使電腦或網路資源無法提供服務給它的使用者,如駭客以工具程式大量、密集的發送網頁查詢要求給某一個網站,造成網頁伺服器過於忙碌,使用者的瀏覽要求皆逾時,無法獲得該網站的回應;而分散式阻斷服務(Distributed DoS,簡稱DDoS)攻擊是指有許多個攻擊源同時攻擊同一個目標的阻斷服務攻擊,攻擊源規模大多是數以千計以上[1]。
DDoS攻擊的影響力在於製造了巨大的網路流量,使被攻目標或網路被流量所淹沒,並使防護措施難以發揮作用。為形成此類規模驚人的威脅能量,駭客(攻擊者)會利用殭屍網路(Botnet)來佈建大型的攻擊網路。殭屍網路是指受網路罪犯所控制的互連電腦網路且這些電腦皆感染(被植入)了惡意程式(殭屍程式)[2]。由於殭屍網路的成員電腦(稱為傀儡、Bot)可能分散於各地或甚至在不同國家,殭屍網路會以C&C(Command and control)方式來進行通訊與協調行動,或直接與另一個成員傳遞訊息(如以P2P方式)。典型的DDoS攻擊架構如圖1-1所示。

圖1-1 利用殭屍網路的DDoS攻擊架構 

1.2. DrDoS 定義

分散反射式阻斷服務(DrDoS)攻擊在最近幾年受到高度關注,它也是一種分散式阻斷服務攻擊,攻擊者偽冒被攻目標之IP位址,發送服務要求封包給網路上許多具有弱點之公開服務伺服器;當伺服器回覆該要求時,會發送數倍大的網路流量給原服務要求者(即被攻目標),造成被攻目標被巨大的網路流量所癱瘓[3]。因被利用之伺服器具有反射與放大攻擊流量到被攻目標之作用,一般稱為放大器(Amplifier)或反射器(Reflector)。典型的DrDoS攻擊示意如圖1-2 所示。
圖1-2 典型的DrDoS攻擊示意
由已發生案例可知,駭客發動的DrDoS攻擊通常會運用殭屍網路來進行,以避免被事後追查到攻擊發起端並擴大攻擊效果,其攻擊架構如圖1-3所示。

圖1-3 結合殭屍網路之DrDoS攻擊架構

1.3. DDoS攻擊之演變趨勢

從攻擊流量的觀點,最近幾年DDoS正朝向大幅變大的趨勢發展。根據CDN (Content Delivery Network)業者Arbor的統計[5],2004年DDoS攻擊的尖峰流量為8 Gbps,往後朝遞增方向發展,到了2013年時已遽增大到 300Gbps, 在2014年為400Gbps,在2015年更顯著的擴大到500Gbps (如圖1-4所示), 而且大部分都屬DrDoS攻擊。

圖1-4 2004~2015年每年DDoS攻擊的尖峰流量統計[5]
從攻擊規模的觀點,DrDoS、DDoS攻擊的演化發展,可以從攻擊流量 100Gbps、300Gbps 為分界點,劃分成三個階段,第一階段為2010年以前,攻擊規模不超過100Gbps;第二階段為2010~2013年之間,攻擊規模已可以超100 Gbp但尚未超過 300Gbps;第三階段為2013年以後,攻擊規模已可大幅超過 300Gbps。
DDoS攻擊需要利用大型的殭屍網路來產生攻擊流量,但近幾年來各國政府積極的清除殭屍網路,大型DDoS攻擊的發展受到抑制[6],而在網際網路上卻可容易找到大量具高放大倍數的反射器[7][8]。反射放大攻擊所使用的通訊協定皆屬正常用途,攻擊流量皆來自網路上公開的服務伺服器,一般的防火牆不易將它與正常流量區分且攻擊者隱藏於背後,無法直接由攻擊流量追查。這些現象促使駭客轉向運用反射放大攻擊,大型DrDoS攻擊已儼然成為現階段與未來的網路安全威脅。

1.4. 報告結構

本報告之第2節彙整最近10年的DDoS與DrDoS攻擊事件,第3節彙整與分析UDP協定與TCP協定的攻擊向量,第4節為DrDoS攻擊分類與統計分析,第5節整理各攻擊向量之放大倍數與反射器數量等數據,以推算可能會面臨之DrDoS攻擊流量規模,最後第6節為結論。

2. DDoS、DrDoS 攻擊事件

本節彙整網際網路上最近10年來所發生的重大DDoS、DrDoS 攻擊事件於圖 2-1,由圖中事件的發生時序分別於個子節說明:

圖2-1 最近10年的DDoS、DrDoS攻擊事件

2.1. 2007 年之前:典型的 DDoS 攻擊與蠕蟲散播

根據CDN業者 Arbor 的統計分析,在2007年之前所發生的DDoS攻擊最大流量已達到8 Gbps[5]。在當時網路環境的頻寬普遍較小(10或100Mbps), 駭客所需佈建的殭屍網路規模較小,即足以發動有效的DDoS攻擊;但微軟作業系統網路服務層被發現有多項安全漏洞,持續的遭駭客利用來設計網路蠕蟲,當此類蠕蟲進行擴散時,造成當時網路流量以幾何級數般的擴大,快速的阻塞了被攻網路,效果如同典型的DDoS攻擊。

2.2. 2007 年:第一次網路戰(Cyber War I)

位於東歐的小國愛沙尼亞(Estonia) 屬於高度網路化的國家。根據 WIRED MAGAZINE 報導[12],在該期間有大量的傀儡電腦從全球各地攻擊愛沙尼亞的主要網路基礎設施、總統府、議會網站、政府部門、政黨、三家新聞機構、兩家最大銀行及通訊公司皆無法倖免的被癱瘓。此次攻擊的導火線為愛沙尼亞當局移走位於首都的一座紀念碑(紀念因對抗納粹黨人而戰死沙場的前蘇聯子弟),當時國防部長稱該攻擊為第一次網路戰(Cyber War I),整個國家安全遭受到殭屍網路威脅。

圖2-2 左至右:愛沙尼亞位置、解放紀念碑、國防部長 Jaak Aavikso

2.3. 2008年:第一次網路戰與傳統作戰同時搭配進行

根據 Wikipedia 網站記載[13],在 2008 年 8 月 8 日俄羅斯軍隊入侵攻擊喬治亞之前,俄羅斯就利用廣佈的傀儡網對喬治亞發動DDoS攻擊,癱瘓了總 統與政府重要網站及對外的網路通訊。New York Times專欄作家 Markoff, John 稱此次俄羅斯對喬治亞的網路攻擊,在歷史上是屬第一次網路戰與傳統作戰同時搭配進行。

2.4. 2010 年:维基解密相關的 DDoS 攻擊

2010年7月非營利組織維基解密(WikiLeaks)被美國的網路支付服務商PayPal 關閉帳戶,造成無法獲得民眾的線上捐款,隨後匿名者駭客組織(Anonymous)對PayPal網站進行DDoS攻擊以做為報復[R2]。

2.5. 2011 年:Sony 遭受 DDoS 攻擊

2011年4 月Sony控訴兩名破解遊戲機PS3 (PlayStation 3)的駭客,隨後匿名者駭客組織對Sony發動DDoS攻擊,造成Sony企業旗下的遊戲機網PSN (PlayStation Network)與遊戲機線上商店被癱瘓,無法對外營運[14][15]。

圖2-3左至右:遊戲機網路PSN(PlayStation Network)、遊戲機PS3(PlayStation 3)

2.6. 2012年:燕子行動(Operation Ababil)

2012年9月至2013年2月間,因Youtube網站上播放影片 Innocence of Muslims (無辜的穆斯林)被卡薩姆網路戰士組織認為有隱含嘲笑伊斯蘭教創始人之意,而發動「燕子行動」(Operation Ababil)展開報復行動。燕子行動共展開三階段的DDoS攻擊,報復對象皆為美國知名金融機構的網站,包括:美國銀行、摩根大通、PNC金融服務集團及富國銀行,全數被巨量的DDoS攻擊所癱瘓[R3]。根據Akamai的報告,燕子行動攻擊流量高達65 Gbps[20]。

2.7. 2013 年:Spamhaus 攻擊事件

2013年3月CDN業者CloudFlare宣稱歐洲反垃圾郵件組織 Spamhaus遭受到破紀錄的DrDoS攻擊,攻擊方法是利用公開解析的DNS伺服器進行反射攻擊,反射攻擊的流量放大效果約為100倍。換言之,攻擊者僅需控制殭屍網路發送出約3Gbps的名稱解析要求(約35Bytes)給反射器(即DNS伺服器),即可產生出約300Gbps的攻擊流量[16][17]。
2013年5月CDN業者Prolexic宣稱偵測到DrDoS攻擊事件,攻擊流量達到167Gbps;在該事件中,主要攻擊手段為DNS反射攻擊,受害者為金融業者,被利用的DNS伺服器(提供遞迴查詢)有763 個分布於世界各地(如圖2-2),DNS回應封包達3953Bytes,研判攻擊者可能係透過DDoS服務提供者,以DDoS殭屍網路來發動攻擊[18]。

圖2-4 DNS反射攻擊所利用的DNS反射器[18]
 2013年8月GreenNet主機代管服務業者,其服務對象(在 Zimbabwe的國際人權組織)遭受DrDoS攻擊,主要攻擊手段為 DNS反射攻擊,攻擊流量達到100Gbps[19]。
2013年12月CDN業者Akamai宣稱其客戶之遊戲伺服器遭受NTP反射放大DDoS攻擊,攻擊流量達到100Gbps[20]。

2.8. 2014年:NTP/SSDP DrDoS攻擊

2014年2月CDN業者CloudFlare宣稱其位於歐洲之客戶遭受到史上最大的DrDoS攻擊,主要攻擊手段為NTP反射攻擊,攻擊流量達到400Gbps,被利用的NTP伺服器有4,529個[21][22]。
2014年9月CDN業者Akamai發現另一個新的DrDoS攻擊,主要攻擊手段為SSDP反射攻擊,攻擊流量為54 Gbps,2014年12月攻擊流量為106 Gbps[20]。

3. DrDoS攻擊向量

在DDoS攻擊範疇內,攻擊向量(Attack vectors)是指攻擊者進行DDoS攻擊時主要攻擊封包所屬之通訊協定(如DNS、NTP)、指定的服務要求(如HTTP GET)、或攻擊封包的特性(如UDP Fragmentation)。此定義也同樣適用於DrDoS攻擊。本節將針對每一種可能的攻擊向量,分析它的工作原理、攻擊流量放大倍數及網際網路上可利用的反射器數量。

3.1. 使用 UDP 協定的攻擊向量

本小節將依序說明各種使用UDP協定的攻擊向量(如表 3-1)。 

表 3-1 UDP 協定的攻擊向量

No
攻擊向量
英文全名
中文全名
1
DNS
Domain name system
網域名稱系統
2
NTP
Network Time Protocol
網路時間協定
3
CharGen
Character Generator Protocol
字元產製協定
4
NetBios
Network Basic Input/Output
System
網路基本輸入、輸出系統
5
SSDP
Simple Service Discovery Protocol
簡單服務探索協定
6
SNMP V2
Simple Network Management
Protocol V2
簡單網路管理協定 V2
7
TFTP
Trivial File Transfer Protocol
簡易檔案傳輸協定
8
Portmapper
Port mapper of Remote Procedure Call
遠端程序呼叫的服務埠對應
服務
9
MC-SQLR
Microsoft SQL Server Resolution
微軟 SQL 伺服器解析服務
10
ICMP
Internet Control Message Protocol
網際網路控制訊息協定
11
RIP V1
Routing Information Protocol
V1
路由資訊協定 V1


3.1.1. DNS

DNS系統(Domain name system)為網域名稱系統,具有階層式去中心化的服務架構,廣佈於網際網路上,主要提供網域名稱與IP位址之對應轉換服務,以供網路上的電腦與網路服務使用。DNS系統透過兩種核心DNS伺服器來提供主要服務功能,包括:權威名稱伺服器(Authoritative name server)與遞迴名稱伺服器(Recursive name server)分別說明如下:

(1). 負責管控某一特定的網域名稱子空間(即轄區(Zone))的 DNS 伺服器稱為權威名稱伺服器,權威名稱伺服器可以同時控管多個轄區,負責對自己轄區的網域查詢提供權威回答。
(2). 遞迴名稱伺服器提供遞迴查詢(Recursive query) 資源記錄的服務,可主動向其他權威名稱伺服器查詢,並負責解析 DNS 資源記錄,包括:A (IP 位址)、MX (郵件交換器)、NS(授權名稱伺服器)…等記錄,以回覆查詢的結果給原客戶端。可對任意客戶端提供遞迴名稱查詢服務的伺服器稱為公開 DNS 解析器(Open DNS resolver)。遞迴名稱查詢的解析過程如圖 3-1 所示。

圖 3-1 遞迴名稱查詢的解析過程
目前網際網路上DNS伺服器主要是透過UDP協定及服務埠53,接受客戶端所提出之查詢要求,DNS的查詢回覆會以UDP封包傳送,封包大小被限制不超過512個位元組;但當DNS伺服器採用EDNS0 延伸時(即DNS extension),它的查詢回覆UDP封包可擴大到4096個位元組。
當客戶端向公開遞迴解析器提出ANY request with EDNS0查詢要求時,DNS伺服器將回覆所有已知的資源記錄。由於查詢封包相當小,其查詢回覆封包將明顯變大,駭客將可濫用公開遞迴名稱查詢服務,來進行 DNS 反射攻擊(如圖 3-2 所示)。換言之,公開DNS解析器將可被駭客濫用做為反射器。 
根據Rossow之研究[24],在非常短的時間內,即可從網際網路上找到7,782,000個公開DNS解析器。
公開DNS解析器的查詢回覆UDP封包大小與被指定查詢的網域名稱的資源紀錄大小有關。若駭客事前登入或入侵該網域的權威名稱伺服器,將該網域的TXT資源紀錄內容刻意擴大(即刻製網域(Crafted domain)),將可讓公開DNS解析器的查詢回覆UDP封包擴大到 4096 個位元組。藉此,駭客發送一封64個位元組的ANY request with EDNS0查詢要求給公開DNS解析器,該DNS解析器將回覆一個4096個位元組的UDP封包給被攻目標,反射攻擊的放大率約為64倍。考量目前有許多公開DNS解析器已關閉EDNS0延伸功能,DNS解析器所回覆給被攻目標的UDP封包可能不超過512 個位元組。根據Rossow之研究[24],反射攻擊的放大率平均約為28~64倍。

圖 3-2 DNS反射攻擊
另一種可能的DNS反射攻擊為濫用DNSSEC功能。DNSSEC(DNS Security Extensions)代表DNS使用安全延伸功能,針對每筆資源紀錄資料計算它的數位簽章,儲存於RRSIG紀錄(Resource Record Signature),並附加於查詢回覆資料中送給客戶端,以供客戶端驗證數位簽章。雖然運用此驗證機制,可確保來源驗證性及資料完整性,預防DNS快取汙染(DNS cache poisoning)問題;但為了保持DNS向後相容性(Backward compatibility),DNSSEC 仍採用UDP協定,在回覆客戶端之查詢時會增加DNSKEY及RRSIG紀錄。
由於每筆數位簽章大小有1024個位元,以致於DNSSEC產生的查詢回覆UDP封包可能會明顯超過4096個位元組。換言之,若駭客改採用對有DNSSEC的權威名稱伺服器提出ANY request with EDNS0查詢,該DNSSEC DNS將反射出更大的UDP封包給被攻目標,此類反射攻擊的放大率會明顯大於濫用公開遞迴解析器的反射放大率。根據Rossow之研究[24],DNSSEC DNS反射攻擊的放大率平均約為54.6~98.3倍。

3.1.2. NTP

NTP(Network Time Protocol)的主要目的是用來同步網路上客戶端與伺服端電腦間的時間,採用UDP協定及服務埠123。NTP伺服器提供monlist指令,可因應讓客戶端要求,回覆最近600個有連接上的客戶端電腦相關資料,包括:客戶端IP位址、客戶端來源埠號、客戶端要求模式、客戶端要求的平均間隔時間、最近一次客戶端要求的時間、封包數量…。由於monlist指令的回覆資料可能會增大許多,駭客濫用偽冒來源IP位址及NTP monlist查詢方式,即可發動反射攻擊(如圖3-3所示)。根據Rossow之研究[24],在網際網路上可透過掃描找到1,451,000個公開的NTP monlist反射器。

圖3-3 NTP monlist反射攻擊
 NTP monlist要求的UDP封包佔36個位元組,一般的NTP伺服器對monlist要求指令的回覆資料大約僅230多個位元組,頻寬放大倍數不夠明顯;但若駭客事前以多個不同的IP位址向NTP伺服器提出monlist要求,將可使NTP伺服器的monlist表紀錄了超過600筆曾向它要求的電腦相關資料。在此情況下,駭客發動的NTPmonlist反射攻擊將可使NTP伺服器的回覆資料包含最近600個有提出服務要求的電腦資料,總計約22,000個位元組,將分成約50個UDP封包傳送給原查詢者(即被攻目標)。此反射攻擊的頻寬放大倍數為611.11,封包數放大倍數為50。
NTP monlist反射攻擊具有三項特質,(i)單筆反射攻擊的資料(即monlist查詢的回覆資料)即已相當大,約21.5KB;(ii)頻寬放大倍數(以UDP封包大小計算)十分顯著,約611倍;(iii)網際網路上可用的反射器非常多。基於這些有利於駭客運用的特質,2014年發生的大型DDoS攻擊(攻擊流量超過100Gbps),其中有85%是使用NTP monlist反射攻擊。根據CDN業者CloudFlare分析,2014年2月發生NTPmonlist反射攻擊,攻擊流量達到400Gbps,突破了當時的紀錄。

3.1.3. CharGen

CharGen協定(CharacterGeneratorProtocol)之主要目的是提供字元產製服務,以支援網路程式除錯或網路頻寬評估。根據RFC864之規範,CharGen協定可採用TCP或UDP協定並以服務埠19提供服務,做法與所採用的通訊協定有關。若使用TCP協定,在TCP服務埠19的連線建立後,伺服器會連續產生任意字元送給客戶端,直到客戶端關閉連線。若使用UDP協定,伺服器的UDP服務埠19收到客戶端的任意UDP封包後,會自動產生一個內含任意字元的UDP封包送給客戶端(如圖3-4所示)。

圖3-4 CharGen要求的回覆資料例子[25]
由於CharGen協定在UDP模式下,無法確認來源IP位址的正確性,可能被駭客濫用做為反射攻擊向量。目前網際網路上存在許多網路印表機有開啟CharGen服務,可做為CharGen反射攻擊的反射器。根據Rossow之研究[24],透過服務埠掃描,可從網際網路上找到89,000個CharGen反射器。另根據公開字元產生服務掃描計畫(OpenCharGenServiceScanningProject)的掃描分析統計,目前有30,228個CharGen反射器(如表3-2所示)。
每次CharGen服務產製字元送給客戶端的UDP封包大小與系統的實作有關。在Linux系統下,CharGen伺服器收到來自客戶端的64個位元組的UDP封包後,伺服器將回應一個1066個位元組的UDP封包,流量放大率為16.7倍;而在Windows系統下,伺服器將回應一個3259個位元組的UDP封包,流量放大率為50.9倍。

表3-2有CharGen服務的前20個國家[26]

國家
CharGen
伺服器數量
國家
CharGen
伺服器數量
Italy
10,255
Germany
431
China
3,415
India
415
United States
3,172
Thailand
396
Korea, Republic
1,432
Spain
379
Russian
1,217
Canada
300
Taiwan
1,187
South Africa
298
Japan
865
Philippines
240
Poland
682
Colombia
216
Mexico
682
Serbia
209
Brazil
488
France
175

3.1.4. NetBios

NetBIOS全名是Network Basic Input/Output System,主要目的是讓不同電腦上的應用程式可以彼此通訊,並在建立的會話層上存取共享資源及透過區域網路找到對方。

圖3-5 NetBIOS名稱查詢要求的查詢回覆資料例子[20]
 在區域網路上以UDP協定廣播NetBIOS名稱查詢要求給埠137,接收到的電腦會回覆它的NetBIOS名稱,包括:電腦名稱、工作群組名稱、網域名稱等(如圖3-5。NetBIOS名稱查詢要求的UDP封包小,其查詢回覆明顯較大。故有公開提供NetBIOS名稱服務的電腦皆可做為NetBIOS名稱服務攻擊的反射器。根據Rossow之研究[24],即可從網際網路上找到2,108,000個NetBIOS名稱服務反射器。
NetBIOS名稱查詢要求的UDP封包小,僅需約78個位元組。根據Akamai對NetBIOS名稱服務反射攻擊事件的紀錄[20],查詢回覆資料超過200~300個位元組,放大率約為2.56~3.85倍,尖峰攻擊流量達到15.7Gbps。

3.1.5. SSDP

SSDP協定(Simple Service Discovery Protocol)是用於通告及探索網路服務與在線狀態的通訊協定,它是通用即插即用(Universal Plugand Play,簡稱UPnP)裝置的探索協定基礎,運用於家庭或小型辦公室環境的連網裝置,例如:智慧型電視、WiFi存取點、路由器、媒體伺服器、印表機等。
SSDP協定以UDP協定及埠1900進行通訊,它提供M-Search要求及通告等兩種封包。即插即用裝置接收到M-Search要求後,搜尋目標(SearchTarget,簡稱ST)為ssdp:rootdevice或ssdp:all,回覆所有的裝置資料,至少包括:安裝位置、相關說明、UUID識別碼(如圖3-6所示)。由於SSDP協定設計單純,又缺乏查詢來源確認功能,即插即用裝置可以做為反射器。

圖3-6 SSDP M-Search要求的查詢回覆資料例子[20]
SSDP協定演化成為駭客發動DrDoS攻擊的攻擊向量,代表攻擊趨勢已從傳統公開網路轉移到IoT(Internetofthings)網路上。目前在IoT網路的推廣下,已有許多家用的即插即用裝置連上網路,駭客僅需透過廣播式的SSDPM-Search要求,即可掃描找到大量反射器。根據Rossow之研究[24],可從網際網路上找到3,704,000個即插即用裝置反射器。
SSDPM-Search要求的UDP封包小,僅需約105個位元組,但其查詢回覆資料會變大,實際之資料大小主要與即插即用裝置數量及所記錄之資料內容有關。根據Rossow之研究結果[24],SSDP反射放大攻擊的放大率為30.8~75.9倍。Akamai於2014年12月報告[20],最大SSDP攻擊的尖峰攻擊流量達到106Gbps。

3.1.6. SNMP V2

SNMP協定(Simple Network Management Protocol)提供管理者(網管者)透過遠端查詢方式瀏覽連線裝置之設備狀況及設定裝置之管理參數,目前已普遍安裝於網路上使用,方便管理者管理網路設備、資安設備、印表機、家用上網設備及電腦等。

圖3-7 SNMPGetBulk的查詢回覆資料例子[20]
SNMP協定以UDP協定及埠161進行通訊,管理者可透過SNMP GetBulk要求來蒐集所有管轄設備之狀況。雖然SNMP協定要求查詢者須提出Community string的設定值,但在SNMP協定V2版內建值為public。由於一般的管理者容易疏失沒去更改Community string的內建值或定期更換高強度密碼,讓駭客有機可乘,猜測到有安裝SNMP協定V2版的裝置密碼,使駭客可順利的進行查詢。SNMP GetBulk要求的UDP封包明顯小於其回覆封包,此類SNMP裝置很有可能被濫用做為反射器。目前透過網路掃描,駭客即可以快速找出大量可用的裝置。根據Rossow之研究[24],可從網際網路上找到4,832,000個SNMPV2反射器。
SNMPM GetBulk要求的UDP封包相當小,僅需約37個位元組,但其查詢回覆資料會變大,實際之資料大小主要與裝置內所記錄之資料筆數及內容多寡有關(如圖3-7所示)。根據Akamai對SNMPV2反射攻擊事件的紀錄[20],查詢回覆資料超過64,000個位元組,放大率至少有1,700倍,尖峰攻擊流量達到90Gbps。

3.1.7. TFTP

TFTP(Trivial File Transfer Protocol)為一個簡易的檔案傳輸協定,使用UDP協定及服務埠69,不要求驗證使用者的身份,可提供檔案讀取要求(RRQ(read request))、寫入要求(WRQ(write request))。當TFTP伺服器回應客戶端檔案讀取要求(RRQ)時,會以檔案區塊方式逐一傳輸給客戶端,若有接收到客戶端的回覆,才會再傳輸下一個檔案區塊,否則等待逾時後將重新傳送該區塊。若重傳不成功,將發送錯誤碼封包給客戶端。由於在TFTP反射攻擊時,駭客會偽冒被攻目標為客戶端,TFTP伺服器在傳送出第一個檔案區塊封包後,並不會收到回覆封包,僅會重傳第一個檔案區塊封包給被攻目標。
一般檔案讀取要求封包很小,約56個位元組(如圖3-8所示),第一個檔案區塊封包約558個位元組,重傳第一個檔案區塊的次數與TFTP版本有關,約3~6次。TFTP伺服器實際傳送給被攻目標的所有封包總合將明顯大過原檔案讀取要求封包,公開的TFTP伺服器確實可被駭客濫用做為反射器。根據Boris Sieklik等人的研究論文[27],網際網路上被掃描出存在599,600個TFTP反射器,反射放大倍率約為59.78(TFTPD32、SolarWinds)或29.89(Open TFTP)。

圖3-8 TFTP反射攻擊之檔案讀取要求封包例子[20]

實際的TFTP反射攻擊案例已發生於2016年4月,尖峰攻擊流量達到1.2Gbps,攻擊封包大小有516與1460個位元組2種,對應的反射放大倍率分別為7.8、22.1[20]。

3.1.8. Portmapper

在Linux系統上有提供遠端程序呼叫(Remote Procedure Call,簡稱RPC)的服務,如:網路檔案系統(NFS)、網路資訊系統(NIS),在啟動RPC服務之前都需要先向portmap常駐服務程式(Portmapper)註冊,以獲得一個服務埠號。
Portmapper則透過UDP協定及埠號111接收客戶端向它查詢服務程式相關資訊,包括:程式名稱、行程ID、使用的通訊協定與埠號等(如圖3-9所示),之後客戶端才可透過指定的埠號向RPC服務提出服務要求。RPC Portmap要求的UDP封包相當小,僅需約68個位元組,但其查詢回覆資料會變大,有公開提供RPC Portmap服務的電腦皆可做為反射器,約有40,726個反射器[20]。

圖3-9 RPC Portmap的查詢回覆資料例子[28]
 根據Akamai對RPC Portmap反射攻擊事件的紀錄[20],RPC Portmap要求的UDP封包約68個位元組,其查詢回覆資料約756~3,436個位元組,放大率約9.65~50.53倍,尖峰攻擊流量達到105.96Gbps。

3.1.9. MC-SQLR

MC-SQLR(Microsoft SQL Server Resolution)代表微軟SQL伺服器解析服務,屬於UDP協定的應用層,使用服務埠1434來接受客戶端對它詢問所託管的SQL伺服器安裝資訊。客戶端僅需送出1個位元組的UDP查詢要求,MC-SQLR伺服器將回覆所有已安裝可用的SQL資料庫資訊,包括:名稱、版本、實體名稱、使用的通訊協定、服務埠…(如圖3-10所示)。實際的回覆資料大小與實際託管的SQL伺服器數量有關。由於回覆資料明顯會大於查詢資料且MC-SQLR伺服器無查詢者確認機制,公開的MC-SQLR伺服器可被駭客濫用做為反射器。根據2015年1月的掃描資料[29],網際網路上有700,000個此類反射器。
根據Akamai對MC-SQLR反射攻擊事件的紀錄,MC-SQLR要求的UDP封包約29個位元組,其查詢回覆資料平均約719個位元組,放大率約25倍。

圖3-10 MC-SQLR的查詢回覆資料例子[20]

3.1.10. 其它

ICMP(Internet Control Message Protocol)(RFC792):駭客偽冒被攻目標廣播發送ICMPecho要求,接收到的電腦將回覆ICMP類別(type)為0的ICMP封包。早期著名的Smurf攻擊屬此類攻擊,但受到資訊安全被廣泛重視的影響,目前廣播式的ICMP要求類封包,可能會被路由器直接丟棄。
RIP(Routing Information Protocol) V1(RFC1923):駭客偽冒路由器廣播發送路由資訊要求,接收到的路由器,若有啟用RIPV1協定將回覆自己所有的路由資訊。

3.2. 使用TCP協定的攻擊向量

TCP協定採用三向交握方式,供客戶端與伺服端建立可靠的通訊連線,可有效排除IP位址偽冒(IP spoofing)的網路攻擊;然而在完成TCP連結建立前,駭客可藉機以IP位址偽冒方式,進行TCP協定的反射攻擊。此攻擊模式如圖3-11所示,駭客偽冒被攻目標之IP位址,發送TCP SYN封包給某一個TCP伺服器,該TCP伺服器將回覆TCP SYN/ACK封包給原發送者(即被攻目標)。依據TCP協定規定,被攻目標接收到TCP SYN/ACK封包後有兩種可能反應,回送TCPRST封包或不理會該TCP SYN/ACK封包,視該TCP伺服器做法而定。
若回送TCP RST封包給該TCP伺服器,它將清除該TCP半開連結,也不再重送TCP SYN/ACK封包。在這種情況下,此反射攻擊並無頻寬或封包數的放大效果,駭客勢必須要到大量的TCP伺服器當作反射器,才足以產生足夠的攻擊流量,不易濫用此類TCP伺服器發展出大型的DrDoS攻擊。
若被攻目標不理會TCP SYN/ACK封包,則TCP伺服器勢必在逾時未收到該TCP ACK封包時,重送該TCP SYN/ACK封包給被攻目標。在此種情況下,此反射攻擊具有頻寬放大及封包數放大的效果,但實際的放大倍數與TCP伺服器的做法有關。駭客若欲濫用此類TCP伺服器來發展出大型的DrDoS攻擊,必須從網際網路上找出大量可用的TCP類反射器且反射放大倍數需夠大。

圖3-11 TCP協定的反射攻擊
攻擊者送TCPSYN封包給反射器,反射器回應TCP SYN/ACK封包給被攻目標,兩種封包大小相同,但反射器可能重送TCP SYN/ACK封包數次,故全部的封包傳送次數即為反射放大倍數。
目前網際網路有大量的公開TCP伺服器,如HTTP、TELNET、HTTPS、CUP等,可做為TCP類反射器。根據Marc Kührer等學者之研究[7],HTTP伺服器有66,785,451部,TELNET伺服器有23,519,493部,CUP伺服器有1,8455,346部,經網路測試HTTP伺服器對TCPSYN的反應,有97.8%的HTTP伺服器會回覆1~6次TCPSYN/ACK封包,但有44.7%的HTTP伺服器會回覆6次,整體平均會回覆4.8次(如圖3-12所示)。平均HTTP TCP反射放大倍數為4.8倍。

圖3-12 HTTP反射器之放大倍數

4. DrDoS攻擊分類與統計分析


4.1. 既有的DDoS攻擊的分類法

對DrDoS攻擊向量進行分類,有助於後續評估其引發之資安威脅與所需之防護對策。到目前為止,尚未有較嚴謹的DrDoS攻擊分類法,但已有數篇論著提出DDoS攻擊的學術性分類[9][10][11],其中Zargar等學者的分類法[9],著重在自動化程度、被利用的弱點、攻擊波動率及衝擊等四個面向,可藉以區分各式DDoS攻擊之特色(如圖4-1所示)。此分類法對DrDoS攻擊之適用情形,分析說明如下:

(1). 自動化程度:所有的DrDoS攻擊皆需事前找到可用的反射器來源及足夠的反射器數量,並客製化該通訊協定的服務要求,在此前提下, 才可完全自動化進行攻擊,故皆屬「Semi-Automatic」子類;又因DrDoS攻擊大多結合殭屍網路來進行,故屬「Indirect」次子類。
(2). 被利用的弱點:由於所有的DrDoS攻擊向量皆具有顯著的放大效應,故皆屬「Amplification attack」子類,但在下一階分類僅包含Smurf attack、Fragle attack等兩種目前已過時的攻擊向量,此做法有違分類法最重要之訴求--完備性與正確性。同樣的情形也發生在另一個同階子類「Flood attack,其原因為目前已知的Ack flood、Reset flood…等皆未被納入。
(3). 攻擊波動率:DrDoS攻擊流量係來自反射器回應攻擊者的服務要求,回應資料的大小取決於要求的參數與反射器所具有的資料,相同的<服務要求,反射器>配對會產生相同的回應結果,從此觀點,屬「Continuous」子類。 
(4). 衝擊:DrDoS攻擊的最大特色是在攻擊期間被攻目標的網路頻寬與服務會遭大量的網路流量所阻斷,其資訊安全核心--CIA鐵三角(Triadof Confidentiality, Integrity and Availability)--中的可用性(Availability)會 被破壞[4],但其資訊內容與系統本身不會被損壞,故屬「Degrading」子類。

圖4-1 DDoS分類樹[9]

4.2. DrDoS攻擊在DDoS分類

有鑑於DrDoS仍屬DDoS攻擊之特例,在學理分類上有必要將其整併進此分類族譜,以補充原分類之完整性及方便分析與比較。改善Zargar等學者分類法之具體做法為適度修改原分類法,並再增加一個第2階子類「目標階層」,在圖4-2中以紅色粗線矩形框代表DrDoS攻擊在原DDOS分類樹之歸類,並以黃色底矩形框代表新增與修改,詳細說明如下:

(1). 被利用的弱點:在「Amplification attack」子類下,區分為「UDP-based」與「TCP-based,以取代作者原分法(即Smurf attack、Fragle attack),並於「UDP-based」次子類下,再逐項列舉各式使用UDP協定的攻擊向量;同理,「TCP-based」次子類下,再逐項列舉各式使用TCP協定的攻擊向量。在「Flood attack」子類下,取消既有的次子類,換成ICMP、Fin、Ack、Reset、UDP等flood。

圖4-2 DrDoS攻擊在DDoS分類樹
(2). 目標階層:新增「目標階層」第2階子類,並再細分成「基礎設施層攻擊」、「應用層攻擊」。視攻擊向量而定,被攻目標接收到攻擊流量, 若無對應的通訊協定或應用服務需特別處理,將會被丟棄,此類歸屬「基礎設施層攻擊」;其他需應用程式或服務程式特別處理或維護者, 歸屬「應用層攻擊」。故攻擊向量如TCPSYN,若被攻者為TCP類伺服器,它會為此建立TCP半開連結並持續維護它的狀態,很容易耗盡核心系統資源,應屬「應用層攻擊」;而其它經由反射器發送來的封包,對被攻目標而言並不需特別處理,但它的網路頻寬卻可能即將被塞爆,應屬「基礎設施層攻擊」。總之,所有的DrDoS攻擊向量皆 屬「基礎設施層攻擊」,而有些DDoS攻擊向量,如TCPSYN,則屬「應用層攻擊」。

5. 攻擊向量分類統計與分析

根據Akamai2015年第4季的統計[20],DDoS攻擊向量的發生頻率,基礎設施層攻擊佔96.89%,應用層攻擊佔3.11%,而在所有24個攻擊向量中,反射攻擊向量有11個,發生頻率為58.63%,非反射攻擊發生頻率為38.26%(如圖5-1、表5-1、表5-2所示)。

圖5-1 2015年DDoS攻擊向量統計[20]

表5-1 2015年反射攻擊向量統計[20]

No
反射攻擊向量
發生頻率
1
DNS
13.27%
2
NTP
14.27%
3
CharGen
9.34%
4
NetBios
0.35%
5
SSDP
7.53%
6
SNMP V2
0.30%
7
TFTP
0.00%
8
Portmapper
0.46%
9
MC-SQLR
0.14%
10
ICMP
1.38%
11
RIP V1
1.19%
12
TCP SYN-HTTP
10.40%
總計
58.63%


表5-2 2015年DDoS攻擊向量分類統計[20]

攻擊向量
發生頻率
基礎設施層攻擊
反射攻擊
58.63%
非反射式
38.26%
應用層攻擊
3.11%

圖5-2反射攻擊向量發生頻率[5]

圖5-3多重攻擊向量發生頻率[5]

6. DrDoS攻擊之威脅評估

基本上,DrDoS攻擊所引發之流量包括上游流量(Upstream traffic)與下游流量(Downstream traffic),上游流量是指由駭客指令殭屍網路,由各傀儡(Bot)發送服務要求封包或TCP SYN封包給反射器之網路流量;而下游流量是指由反射器發送給被攻目標之查詢要求回覆封包或TCP SYN-ACK封包(如圖6-1、圖6-2所示)。
整體性來看,許多不同來源之上游流量,途經多個反射器形成放大的下游流量,全部朝向被攻目標。
圖6-1採用UDP通訊協定之DrDoS攻擊所產生之攻擊流量

圖6-2採用TCP通訊協定之DrDoS攻擊所產生之攻擊流量
評估一個DrDoS攻擊向量的威脅程度,應考量下述因素:

(1). 來源位址偽冒(Sourceaddressspoofing):攻擊者發送服務要求封包給反射器時必須冒用被攻目標之IP位址,做為該封包的來源IP位址,促使反射器將回應封包傳送給被攻目標。攻擊者必須確保上游流量之網路封包可通過傀儡與反射器之間的網路防護機制,即來源位址偽冒之檢查與過濾,如根據RFC2827要求(BCP38)的入口過濾(Ingress filtering)[23]。
(2). 反射放大率:反射攻擊屬於間接攻擊,被攻目標所面對的攻擊流量(下游流量)係由反射器回覆攻擊者的偽冒服務要求時所產生的。若下游流量未能(明顯)大於上游流量時,即非高放大率的反射攻擊,其威脅程度可能不如直接攻擊。為了評估反射放大效果,應一起考慮回應封包數與資料量,定義其量化指標如下:
   放大率=總回應封包位元組數/要求封包位元組數    
(3). 反射器數量:反射放大攻擊係濫用通訊協定之公開服務功能,有公開提供該通訊協定服務的伺服器才可能做為該攻擊的反射器。反射器來源廣泛,其反射攻擊才較容易實施。
由於反射放大攻擊必須利用來源位址偽冒手法,傀儡或攻擊者發送給反射器之服務要求封包,必須可通過網路上的過濾機制而不被丟棄。根據MarcKührer等學者之研究[7],目前網際網路上超過2,692個自主系統(Autonomous system,簡稱AS)缺乏入口過濾機制,可允許IP位址偽冒。由此可知,IP位址偽冒在現階段的IPv4網際網路環境下是普遍可行的。
在此網際網路大環境下,反射器的數量及反射後的放大倍數等兩項因素,決定了DrDoS攻擊向量的威脅程度。反射器的可用數量愈多及反射後的放大倍數愈高的攻擊向量,其攻擊規模也勢必加乘放大。
根據本報告第3章各式攻擊向量之放大倍數資訊及各CDN業者之相關資安報告,可綜整出目前攻擊向量之上游流量封包、平均放大倍數與反射器數量(如表6-1所示)。假設每一個反射器每秒都收到一次服務要求或一個TCPSYN封包,則可推算出下游流量(如表6-1所示),算法如下:
 下游流量=上游流量封包大小x平均放大倍數x反射器數量 
若假設僅使用一半的反射器,則所推估之下游流量將減半。若假設上游流量之產生速度為每秒發出N個要求或TCPSYN封包,則推估所產製之下游流量將為表6-1下游流量的N倍。參考表6-1,可針對某一個反射攻擊向量,具體評估(算出)其產生之攻擊流量,以作為DrDoS攻擊的威脅評估參考。
6-1攻擊向量放大倍數與反射器數量

No
攻擊向量
上游流量
平均放大
反射器數量
下游流量
(Gbp)
1
DNS
64
52.45
7,782,000
24.33
2
NTP
36
611.11
1,451,000
29.73
3
CharGen
64
50.9
30,228
0.09
4
NetBios
78
3.2
2,108,000
0.49
5
SSDP
105
53.35
3,704,000
19.32
6
SNMP V2
37
1700
4,832,000
283.06
7
TFTP
56
59.78
599,600
1.87
8
Portmapper
68
30.9
40,726
0.08
9
MC-SQLR
68
25
700,000
1.11
10
ICMP
36
128


11
RIP V1
52
131.2
53,693
0.34
12
TCP
SYN-HTTP
40
4.8
66,785,451
11.94

7. 結論

從最近數年已發生之DDoS攻擊事件可知,DDoS攻擊正朝向大規模方向發展,而且大多採用多重反射攻擊向量。從2013年已發生的Spamhaus攻擊事件起,DrDoS、DDoS攻擊的演化階段已發展到第三階段。
從本報告所整理之12種網際網路普遍存在的攻擊向量研析資料可知,目前除了DNS與NTP已被採用,引發了破當時紀錄的攻擊事件外,後續必然還有10種攻擊向量可能被駭客採用,造成更大規模之DrDoS攻擊事件。
目前國際及我國正積極推動發展IOT產業,家用設備將普遍可連上網際網路,這些設備很可能都會使用到數個本報告所整理的通訊協定,而且大多缺乏完備的資安防護設計,面對即將來臨的物聯網時代,本報告可供網路威脅評估及強化安全防護之參考。

8. 參考文獻

[1] Wikipedia contributors. Denial-of-service attack. Wikipedia, The Free Encyclopedia.
[2] Kaspersky. What is a Botnet Attack? - Definition. 
https://usa.kaspersky.com/internet-security-center/threats/botnet-attacks#.V0Gwhvl95hF.
[3] US-Cert. UDP-Based Amplification Attacks. Original release date: January 17, 2014.
https://www.us-cert.gov/ncas/alerts/TA14-017A
[4] Wikipedia contributors. "Information security." Wikipedia, The Free Encyclopedia.
[5] Worldwide Infrastructure Security Report - Arbor Networks. 
https://www.arbornetworks.com/images/documents/
[6] Dittrich D. So you want to take over a botnet. In: 5th USENIX conference on large-scale exploits and emergent threats. 2012.
[7] Kührer, Marc, et al. "Exit from Hell? Reducing the Impact of Amplification DDoS Attacks." 23rd USENIX Security Symposium (USENIX Security 14). 2014.
[8] Ryba, Fabrice J., et al. "Amplification and DRDoS Attack Defense—A Survey and New Perspectives." arXiv preprint arXiv:1505.07892 (2015). 
[9] S. Zargar, J. Joshi, and D. Tipper, “A survey of defense mechanisms against distributed denial of service (DDoS) flooding attacks,” Communications Surveys
[10] Specht, Stephen M., and Ruby B. Lee. "Distributed Denial of Service: Taxonomies of Attacks, Tools, and Countermeasures." ISCA PDCS. 2004.
[11] Mirkovic, Jelena, and Peter Reiher. "A taxonomy of DDoS attack and DDoS defense mechanisms." ACM SIGCOMM Computer Communication Review 34.2 (2004): 39-53.
[12] Joshua Davis, Hackers Take Down the Most Wired Country in Europe, WIRED MAGAZINE: ISSUE 15.09. 2007/08/27.
[13] Wikipedia contributors. "Cyberattacks during the Russo-Georgian War." Wikipedia, The Free Encyclopedia.
[14] Sony PS 遇駭 7700 萬玩家個資被盜- 國際- 自由時報電子報 http://news.ltn.com.tw/news/world/paper/487943
[15] Wikipedia contributors. "PlayStation Network." 維基百科, 自由的百科全書.
[16] "The DDoS That Knocked Spamhaus Offline (And How We Mitigated It)" (blog). CloudFlare.
[17] BIGGEST DDoS ATTACK IN HISTORY hammers Spamhaus, The Register; March 27, 2013.
[18] Prolexic Quarterly Global DDoS Attack Report - Q2 2013
[19] T. Brewster,“Cyber Attacks Strike Zimbabweans Around Controversial Election.
[20] Akamai. Security Report. 
https://content.akamai.com/
[21] M. Prince,“Technical Details Behind a 400Gbps NTP Amplification DDoS Attack.”http://blog.cloudflare.com/
[22] 陳曉莉 | 2014-02-12 發表. 歐洲遭遇史上最大 DDoS 攻擊,尖峰攻擊流量達 400Gbps. http://www.ithome.com.tw/node/85144
[23] RFC 2827 - Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing (BCP 38).
[24] Rossow, Christian. "Amplification Hell: Revisiting Network Protocols for DDoS Abuse." NDSS. 2014.
[25] Wikipedia contributors. "Character Generator Protocol." Wikipedia, The Free Encyclopedia.
[26] https://chargenscan.shadowserver.org/
[27] Boris Sieklik, Richard Macfarlane, and William J. Buchanan. "Evaluation of TFTP DDoS amplification attack." Computers & Security 57 (2016): 67-92.
[28] Wikipedia contributors. "Portmap." Wikipedia, The Free Encyclopedia.
[29] "MC-SQLR Amplification: MC SQL Server Resolution Service enables reflected DDoS with 440x amplification."
www.kurtaubuchon.blogspot.in/







1 則留言: