【网络安全知多少】看不见的“海啸”：一文读懂反射放大攻击及其防护

导语： 你是否想过，网络世界也存在“四两拨千斤”的攻击？攻击者只需发出一个小小的请求，就能让目标网站或服务器瞬间被巨量流量吞没而瘫痪。这就是今天我们要聊的——反射放大攻击，一种高效且隐蔽的DDoS攻击方式。

一、什么是反射放大攻击？

反射放大攻击是一种利用第三方服务器作为中转，向目标发起大规模DDoS（分布式拒绝服务）攻击的方式。攻击者通过向伪装的源IP地址（目标IP）发起请求，诱使反射服务器返回大量响应，从而达到“放大”攻击容量的效果。
攻击三要素：
1.反射器： 开放且未做安全限制的公共服务器。
2.IP欺骗： 伪造源IP地址，让服务器误以为请求来自受害者。
3.放大效应： 回复数据包远大于请求数据包，产生流量杠杆。

二、常见的反射攻击类型（“帮凶”服务器一览）

攻击者会寻找那些“问得少，答得多”的协议。以下是一些常见的反射攻击类型：
1.NTP反射攻击：
o协议： 网络时间协议，用于同步时间。
o利用命令： monlist，该命令会返回最近与该服务器同步过时间的客户端IP列表。
o放大倍数： 可达556倍，非常恐怖。
2.Memcached反射攻击：
o协议： 内存缓存系统，用于加速动态Web应用。
o特点： 由于Memcached设计简单，无认证，且可能返回极大数据，使其成为“核弹级”反射器。
o放大倍数： 理论上可达上万倍，是已知放大倍数最高的攻击。
3.SSDP反射攻击：
o协议： 简单服务发现协议，让UPnP设备（如智能家电、路由器）能相互发现。
o利用方式： 搜索请求会触发设备返回其描述信息。
o放大倍数： 约30倍，但设备数量庞大，易于利用。
4.DNS反射攻击：
o协议： 域名系统，将域名转换为IP地址。
o利用方式： 发送一个查询所有记录的请求到开放的DNS解析器。
o放大倍数： 约28-54倍，是最古老、最经典的反射攻击。
5.CLDAP反射攻击：
o协议： 无连接轻量级目录访问协议，用于查询目录服务。
o特点： 近年来兴起，利用其查询响应机制。
o放大倍数： 约56-70倍，威力不容小觑。

除了以上五种，还有哪些？
反射攻击的“武器库”还在不断扩充，例如：
SNMP反射攻击： 简单网络管理协议，用于管理网络设备。
Chargen反射攻击： 字符生成协议，一个古老的测试协议。
RPC反射攻击： 远程过程调用。
QUIC协议反射攻击： 一种新的传输层协议，也可能被滥用。

三、反射攻击的优缺点（攻击者视角）

优点：
高隐蔽性： 攻击流量来自全球大量合法的公共服务器，而非攻击者自己的设备，难以溯源。
高效率： “放大效应”使得攻击者能以极小的成本（低带宽）发动巨大的流量攻击。
低成本： 利用公共资源，攻击者无需控制大量“肉鸡”（僵尸网络）。
缺点：
依赖第三方： 攻击成功与否取决于互联网上是否存在足够多开放的反射器。
单向流量： 攻击者无法直接与受害者建立连接，通常只用于纯粹的流量压垮，而非数据窃取。

四、攻击防护：如何抵御这场“流量海啸”？

防护需要从个人/企业和全球互联网社区两个层面共同努力。
1. 对于网络运营者/企业：
部署专业DDoS防护服务： 使用高防IP、云清洗服务等。在攻击流量到达你的服务器之前，由防护中心进行识别和过滤。
配置网络基础设施： 在边界路由器上设置ACL，丢弃来自已知反射器端口（如NTP的123端口、Memcached的11211端口）的无关流量。
启用BCP38： 在网络出口配置入口过滤，防止内部用户进行IP欺骗，从源头杜绝成为攻击跳板的可能。
2. 对于服务器运营者（杜绝成为“帮凶”）：
加固公共服务： 对NTP、DNS、Memcached等服务器进行安全配置，限制访问来源，关闭不必要的功能（如NTP的monlist）。
最小化开放原则： 非必要的公共服务不应暴露在公网上，或仅对特定IP开放。

五、防护效果测试：你的“盾牌”足够坚固吗？

部署了防护措施后，如何验证其有效性？以下使用信而泰DarPeng2000E测试仪表对于反射放大攻击进行测试验证：
测试步骤和拓扑如下所示：

1.测试仪表发送1Gbps的应用层混合流量作为背景流量，流量类型包括HTTP、FTP、DNS、NTP、SMTP、SIP、RTSP、SSH以及少量与攻击流量相同协议类型的正常业务流量。背景流量的源/目的地址尽量分散。

2.检测设备配置对反射放大攻击的阈值和检测策略；清洗设备配置相应的防范策略，记录上述阈值和策略配置情况。
3.测试仪表发送1Gbps的混合攻击报文，攻击类型包括：NTP反射攻击、Memcached反射攻击、SSDP反射攻击、CLDAP反射攻击、DNS反射攻击。攻击和背景流量的源地址不重叠，攻击的目的地址为背景流量部分目的IP，攻击发送持续时间10分钟。

4.查看清洗设备状态，背景流量转发正常无丢包，不会被牵引到清洗设备，反攻击流量全部被牵引到清洗设备：

5.仪表攻击统计可观察到攻击流量全部被拦截：

六、信而泰DarPeng系列网络测试仪

信而泰公司推出的DarPeng2000测试仪是一款支持真实的应用层流量仿真，其HTTP/TCP的新建连接数可达数百万、并发连接可达亿级别；同时可以仿真真实的攻击流量、恶意流量、病毒流量。支持仿真多种反射放大攻击，可以为网络安全提供强有力的测试手段。
信而泰最新一代DarPeng3000E仪表即将推出，各项主要指标对比DarPeng2000E提升一倍。

结语：
反射放大攻击是互联网生态中一朵危险的“恶之花”，它利用了网络的开放性与信任。作为网络公民，我们既有责任保护自己的业务不受侵害，也有义务管理好自己的设备，不让他人成为攻击的“跳板”。唯有提高安全意识，采取切实的防护措施，才能在这场看不见的攻防战中立于不败之地。