第5篇
UDP
5.1 热点事件解密之:“网游大战”攻击事件
5.2 UDP解析
5.3 UDP
Flood攻击与防御
5.1 热点事件解密之:“网游大战”攻击事件
5.1.1 事件回顾
游戏是一种娱乐方式,网络游戏则是如今最红火的一个门类。从早期的魔兽世界,到现在大红大紫的英雄联盟,网络游戏的不断发展,融入了更多对抗性元素。这其中,有战略、有平衡、有操作技巧。网络游戏比赛也就有了一个高大上的名字,电子竞技。
对许多游戏开发者而言,网络游戏的诞生使命是,“通过互联网服务中的网络游戏服务,提升全球人类生活品质”。本节的案例,即是和网游有关。
网游界曾发生了一起“追杀”事件。事件的主角是
PhantmL0rd(玩家)和黑客组织DERP Trolling。PhantomL0rd,本名James Varga,某专业游戏小组的成员,同时是美国最大的在线游戏直播平台Twitch的知名和资深视频博主,经常一边参加游戏对战一边实况直播。DERP
Trolling,一个成立于2011年的黑客组织,本次事件中专门以“PhantomL0rd”实况直播的游戏为攻击目标,一旦成功击倒目标,便会在推特上发布战果。事情看上去很简单。这一天,PhantmL0rd 连续在多场游戏对战中遭到 DERP Trolling 的“追杀”:凡是 PhantmL0rd 参加的网络游戏,都不同程度地遭到了 DERP Trolling的DDoS攻击。英雄联盟、EA官网、暴雪战网、DOTA2官网、企鹅俱乐部等知名游戏网站都因遭到 DDoS 攻击而瘫痪。然而,随着事件的不断被挖掘和曝光,知道真相的玩家们震惊了。调查发现,一直被认为是受害者的 PhantomL0rd 实际上恰恰是这次事件的幕后主使。这是什么原因呢?原来,PhantomL0rd经常参加一些游戏对战比赛,既然是比赛就会有胜有负。但是 PhantomL0rd 为了保住自己“王”的地位,就偷偷地和DERP Trolling串通:一旦比赛过程中PhantomL0rd打不过对手,DERP Trolling就登场,向游戏服务器发动 DDoS攻击,让比赛异常终止,这样 PhantomL0rd就有翻盘的机会。
这次事件的曝光不仅让 PhantomL0rd 颜面尽失,还让 DERP Trolling 使用的这个DDoS攻击手段“火”了一把。那么DERP Trolling到底使用了什么手段呢?
DERP Trolling在这次“追杀”事件中,采用的是NTP反射放大攻击。从记载来看, DERP Trolling应该是第一个利用NTP服务器进行大规模反射放大攻击的黑客组织。这次“追杀”事件之后,NTP反射放大攻击一夜之间变得非常火热。
5.1.2 NTP反射放大攻击
NTP(Network
Time Protocol,网络时间协议),它是用来保证网络中的计算机时间同步的协议。在网络中,计算机的时间同步非常的重要。
理解了NTP,NTP反射放大攻击就容易理解了。NTP反射放大攻击有两个关键点:反射和放大。
1.反射
反射就是把源IP地址伪造成被攻击IP地址,进行“传瞎话”的行为。缺少源认证机制的协议最容易被利用,反射攻击均为基于
UDP 的无状态连接协议。NTP 正是基于UDP进行传输的。
UDP
中,正常情况下,客户端发送请求包到服务器,服务器返回响应包给客户端,这就完成了
反射就是把源IP地址伪造成被攻击IP地址,进行“传瞎话”的行为。缺少源认证机制的协议最容易被利用,反射攻击均为基于
UDP 的无状态连接协议。NTP 正是基于UDP进行传输的。
UDP
中,正常情况下,客户端发送请求包到服务器,服务器返回响应包给客户端,这就完成了一次交互,中间没有校验过程。由于UDP是面向无连接的NTP服务器,客户端发送的请求包的源IP地址很容易被篡改。版本较低的NTP服务器没有针对源 IP 地址的校验机制,如果把请求包的源 IP 地址篡改为攻击目标的 IP 地址,最终服务器返回的响应包就会被送到攻击目标的NTP服务器中,这就是“反射”攻击
2.放大
放大,顾名思义,就是我假冒你的名义打他一拳,他会打你100拳。黑客通常是利用互联网的基础架构来进行放大攻击。在网络中,开放的NTP服务器非常多,如果黑客利用僵尸主机,同时向NTP服务器发起大量的Monlist请求,1个Monlist请求包可以引发100个响应包。通常,1个NTP请求包有90字节的大小,而1个回应报文为482字节,100个回应报文是48200字节,回应报文是请求报文的500倍左右
