О уязвимостях UDP Amlification

Суть атак UPD Amplification состоит в том, что злоумышленник посылает короткий UDP-пакет уязвимому серверу, который отвечает на запрос уже значительно большим по размеру пакетом. При этом, злоумышленник в качестве исходного IP-адреса при отправке запроса подставляет адрес компьютера жертвы (ip spoofing), и уязвимый сервер будет посылать в большом количестве ненужные пакеты компьютеру-жертве, пока полностью не парализует его работу. Таким образом на сегодняшний день совершается около 80% DDoS-атак в мире

Другими словами, если ваш сервер подвержен одной из UDP Amplification уязвимостей, то он является точкой, с которой злоумышленники атакуют другие компьютеры, при этом загружая внешний канал вашего сервера.

Для проверки на данные уязвимости можно использовать утилиту, которую можно скачать по адресу ссылке.

На сегодняшний день известны следующие типы UDP Amplification атак:

1. DNS Amplification

Наиболее старая и наиболее опасная уязвимость. Использует порт 53/udp. Позволяет усилить атаку в 50 раз (т.е. злоумышленник отправляет вам на сервер 100 килобит в секунду udp-пакетов, в ответ ваш сервер отправляет на жертву 5 мегабит в секунду трафика)

Решение проблемы - выключить на вашем DNS-сервере рекурсивные ответы (т.е. запретить ему отвечать на запросы, касающиеся зон, которые он не обслуживает)

Проверить уязвим ли ваш сервер можно с помощью следующих команд:
Для linux/bsd: dig @1.2.3.4 +edns=0 +ignore com ANY
Для windows: nslookup datahata.by 1.2.3.4
(Где 1.2.3.4 - это IP вашего сервера)

Если ваш сервер ответит на этот запрос и сообщит IP сайта datahata.by, значит ваш сервер уязвим.

Отдельно хотелось бы отметить, что по умолчанию в RouterOS (Mikrotik), при включенном ip dns, он является рекурсивным. Необходимо настроить правила фаервола, ограничив доступ к порту 53/udp.

2. NTP Amplification

Этот тип атаки использует протокол времени NTP, порт 123/udp.

Проверить, уязвим ли ваш сервер вы можете с помощью *nix команды: ntpdc -nc monlist 1.2.3.4 (1.2.3.4 - IP-адрес вашего сервера)
Подробности: ссылке

3. SNMP Amplification

Эта уязвимость возникает в следствии того, что в SNMP-сервере указано community по умолчанию (например public или private).

Для исправления уязвимости измените значение community на нестандартное. Желательно так же ограничить список IP, которым доступен сервис SNMP, с помощью фаервола.

4. NETBIOS Amplification

Данный тип уязвимости возникает из-за специфики работы протокола общего доступа к файлам Microsoft.

Для Windows-серверов - необходимо либо выключить сервисы общего доступа к файлам и принтерам, либо с помощью фаервола запретить прием данного типа трафика (ограничить для определенных IP).

Linux-сервера с установленным ПО samba так же уязвимы. Если ПО samba запущено, но не используется вами - рекомендуем его выключить/удалить с сервера. Иначе, ограничьте доступ к сервису с помощью фаервола.

Проверить доступность NETBIOS-сервисов можно с помощью *nix-команды nmblookup -A 1.2.3.4 (где 1.2.3.4 - IP вашего сервера). Пользователи windows могут проверить доступность этих служб, открыв в проводнике адрес вида \\1.2.3.4

5. PORTMAP Amplification

Уязвимость возникает из-за особенностей протокола ONC RPC, используемого в частности, для работы NFS-демона. Если на вашем сервере не используется сетевая файловая система NFS, то вы можете остановить или удалить данный сервис. Если же вы используете NFS - ограничьте доступ к порту 111/udp на вашем сервере.

Узнать, какой именно сервис у вас работает в качестве PORTMAP, вы можете с помощью комадны netstat -lpnu | grep 111 Проверить удаленный сервер на наличие уязвимости вы можете с помощью команды rpcinfo -T udp 1.2.3.4 (где 1.2.3.4 - это IP вашего сервера).

6. MEMCACHED Amplification

Уязвимость в популярном ПО для веб-разработки memcached. Описание проблемы по ссылке.

7. SSDP Amplification

Уязвимость протокола Simple Service Discovery, используемого в системах с поддержкой UPnP. Проверить доступность SSDP сервиса можно утилитой nmap в *nix: nmap -sU -Pn -p 1900 --script=upnp-info 1.2.3.4, (где 1.2.3.4 - IP вашего сервера).

Подробности по ссылке.