DDoS新发现 steam平台被利用做反射源 – 作者:zjie2O71

参考文献:

DDoS新领域 隐藏在游戏里的反射源 

Memcached DRDoS攻击趋势 

DDoS介绍

    DDoS(拒绝服务攻击)一直是网络世界里最令人头疼的问题。通用的DDoS攻击是对网络带宽进行消耗性攻击行为,会导致客户网络拥塞造成丢包和重传率提高,业务无法正常开展,遭受无法避免的损失。

DDoS类型

    DDoS可大致分为两大类,流量攻击和反射攻击,流量攻击和反射攻击的相同点是都具备消耗网络带宽的特点,不同点是反射攻击往往带有流量放大的性质。流量类型的DDoS攻击代表有syn flood,反射攻击的代表有Memcached DRDoS(具体可参考上文链接)。

    随着高防的普及,对syn流量攻击的限制越来越有效,甚至防火墙也可以有效遏制syn流量攻击的效果。因此黑客近几年越来越青睐反射类型的DDoS攻击。

    本文根据百度安全指数发布的DDoS分析文章,将介绍一种从未见过的反射攻击思路

   根据百度安全指数发布的DDoS新领域 隐藏在游戏里的反射源 文章称黑客最近利用了steam平台的A2S_INFO协议来进行DDoS攻击。

A2S_INFO协议介绍

    A2S_INFO是steam给游戏厂商提供了一系列服务查询规范之一,主要是对联机游戏中玩家公网服务器的信息定义。

    参考steam的wiki链接:

    steam wiki介绍

    steam平台目前是全球最大的综合性数字发行平台之一,玩家可以在里面购买,分享,讨论,下载游戏和软件。

    影响范围之广更是令人瞠目结舌,其中steam平台为了使各个玩家之间联机对战,采用了p2p通信技术实现客户端之间的通信,玩家在新建了房间之后,游戏将玩家的主机地址转换成公网地址,端口号不变。Steam提供A2S_INFO规范,允许其他地区的玩家采用UDP/IP协议按照A2S_INFO规范查询房间信息。

    因此每一位联机游戏的房间都将可能是反射源,这就像是一颗定时炸弹蛰伏在互联网。

放大倍数

    根据百度安全指数的攻击复现攻击倍数为:2.7倍。并且由于A2S_INFO返回值具有很强的随机性,因此2.7并不是一个标准反射倍数,大概率会存在更大的反射倍数的游戏。

反射源采集方式

    有别于以往的反射源采集,由于该协议是在游戏客户端运行时才打开,且只响应特定的请求字符串,因此传统的DDoS反射源的扫描手段在此处并不适用。攻击者可以登录游戏查看玩家房间列表并抓包时可获取大量的反射源IP。

防范建议:

1)      对互联网服务

a)      禁用UDP,不能禁用时,确保请求与响应不要有倍数关系

b)      启用授权验证

2)      对企业用户

a)      如果没有UDP相关业务,可以在上层或者本机防火墙过滤掉UDP包。

b)      可以寻求运营商提供UDP黑洞的IP网段做对外网站服务

c)       可以选择接入DDoS云防安全服务

来源:freebuf.com 2018-12-12 22:56:35 by: zjie2O71

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论