暗網潛航——DDoS(三):魑魅魍魎(三)

  DDoS攻擊可透過發送大量經修改的數據封包,虛耗伺服器資源而癱瘓。有攻擊者為求快速發動攻擊,甚至會尋找方法,令數據封包自動複製,加強癱瘓系統能力。一種是利用非常老舊的用戶資料報協議(UDP)進行攻擊,名叫CharGEN Flood。這個協議通常是網絡打印機默認連接端口,其特性之一是發送甚麼數據給它都會自動回覆,卻成為重要漏洞。

  攻擊者找到多個運行這個端口的機器,就能向其發送無意義數據並不斷請求,機器自動回覆,就會形成大量互相往返的垃圾數據,最終目標耗盡資源,被強制下線或重啟。

  另一種是SNMP Flood,當攻擊者找到運行簡單網絡管理協定(SNMP)機器後,就用封包製造器製造一些帶有目標IP、經修改的小數據包發送給機器。機器收到數據包後會自行除錯和回應,最終與CharGEN Flood同樣構成DDoS攻擊。

  相比CharGEN Flood,SNMP Flood攻擊速度和放大比率會更高,如果在內部網絡擴散,後果慘不忍睹。我曾見過有數據中心客戶伺服器被攻擊者控制,並企圖進行SNMP Flood攻擊,但被防火牆內部規條阻隔,最終在內部不斷環迴,形成DDoS「內爆」。第三種是與網絡時間協議(NTP)有關,名為NTP Flood。NTP主要通過封包交換,進行時鐘同步的網絡協定。我們每日穿戴身上、用在工作和娛樂,甚至代步的所有電腦化機器,它們啟動和運行時都不停進行時鐘同步。所以利用這個協定,修改數據封包並發動DDoS攻擊,你應估計到影響有多恐怖了。

  大家可能發現,觸發封包複製放大的協議,大多數是電腦周邊設備,它們的漏洞更新及安全抗擊能力,往往不及主系統完善。過去我們可以把這些周邊設備,納入安全監控範圍保護,但物聯網興起,有太多物件不明所以「被電腦化」,但缺乏安全保障,一旦發生攻擊,後果不止是機器癱瘓,甚至有可能令現實世界發生意外。

TOZ聯合創辦人

龐博文


hd