近期，媒體報道了多起大型反射類DDoS攻擊事件。2018年3月，美國知名代碼托管網(wǎng)站 GitHub 遭遇了史上最大規(guī)模的 DDoS 網(wǎng)絡(luò)攻擊，攻擊者利用 Memcache 協(xié)議進(jìn)行DDoS 反射放大攻擊。2017年12月，百度智云盾成功防御了一次峰值為144Gbps的SSDP型反射攻擊，持續(xù)時間超過2天。反射類型的 DDoS 攻擊正在荼毒全球用戶，且愈演愈烈。

　　反射類DDoS攻擊易以小搏大，成攻擊者強(qiáng)力武器

　　反射型的 DDoS 攻擊是當(dāng)前最流行的一種DDoS攻擊方式，又被稱為DRDoS(Distributed Reflection Denial os Service，分布式反射拒絕服務(wù))攻擊，是指攻擊者利用路由器，服務(wù)器等公共的開放式服務(wù)對欺騙性質(zhì)請求產(chǎn)生應(yīng)答，從而反射攻擊流量并隱藏攻擊來源的一種分布式拒絕服務(wù)攻擊技術(shù)。

　　近年來，反射類攻擊越來越受到攻擊者的追捧，一方面是反射類型的 DDoS 攻擊可以更好的隱藏攻擊者的行蹤。因為攻擊者并不直接攻擊目標(biāo)服務(wù) IP，而是利用互聯(lián)網(wǎng)的提供公共開放服務(wù)的服務(wù)器。攻擊者通過偽造被攻擊者的 IP 地址、向有開放服務(wù)的服務(wù)器發(fā)送構(gòu)造的請求數(shù)據(jù)包，該服務(wù)器會將響應(yīng)數(shù)據(jù)包發(fā)送到被攻擊 IP，從而對后者間接形成 DDoS 攻擊。

　　另一方面反射類攻擊容易帶來巨大攻擊流量，反射攻擊真正的威脅在于利用反射原理進(jìn)行的放大攻擊。放大攻擊是一種特殊的反射攻擊，其特殊之處在于反射器對于網(wǎng)絡(luò)流量具有放大作用，開放的網(wǎng)絡(luò)范圍內(nèi)，可被利用的服務(wù)很多，同時放大倍率高，從而讓攻擊者可以通過以小搏大的方式發(fā)起攻擊。

　　反射服務(wù)攻擊實際放大倍數(shù)，受到具體服務(wù)端性能和中間網(wǎng)絡(luò)過濾等因數(shù)影響，實際無法達(dá)到理論值。

　　智云盾加強(qiáng)反射類攻擊監(jiān)測，保護(hù)用戶免受威脅

　　針對反射類DDoS攻擊大幅上升的情況，百度安全智云盾加強(qiáng)了對反射類DDoS攻擊事件監(jiān)測，據(jù)數(shù)據(jù)顯示，2017年被反射攻擊利用IP地址達(dá)45萬個，中國范圍內(nèi)的反射源最多占比86.5%。智云盾通過對反射攻擊所利用的協(xié)議統(tǒng)計發(fā)現(xiàn)，被利用最多的反射協(xié)議是SSDP。其次新型反射攻擊也不斷涌現(xiàn)，就在2018年3月，一次峰值2Gbps未知反射類型的DDoS攻擊，整個攻擊持續(xù)了15分20秒，通過對智云盾的安全數(shù)據(jù)分析，認(rèn)定這是一次新類型的使用了IPMI協(xié)議進(jìn)行的反射攻擊。

　　根據(jù)監(jiān)測數(shù)據(jù)，全國被利用最多發(fā)起反射攻擊的服務(wù)器歸屬于青島，共參與了22558次反射攻擊事件。智云盾防護(hù)的DDoS反射攻擊監(jiān)測數(shù)據(jù)中，動輒上百 Gbps 的攻擊已十分常見，反射型DDoS 攻擊正變得越來越嚴(yán)重。而且，隨著攻擊者掌握越來越多的互聯(lián)網(wǎng)資源，攻擊復(fù)雜性也一直在增加，相應(yīng)的企業(yè)用戶所面臨的DDoS 威脅也不斷增多。

　　當(dāng)被攻擊者看到流量異常時，攻擊流量已經(jīng)阻塞了用戶的下行流量端口。所以針對反射類DDoS攻擊，除了需要各方通力合作對互聯(lián)網(wǎng)上的設(shè)備和服務(wù)進(jìn)行安全管理和安全配置消除反射源之外，還需要在服務(wù)端做好防御準(zhǔn)備，比如增加 ACL 過濾規(guī)則和 DDoS 清洗服務(wù)。此外，百度智云盾通過設(shè)置開放服務(wù)白名單的方式對所有入向流量進(jìn)行校驗，不符合白名單的開放服務(wù)地址來源流量都被黑洞，有效的遏制了反射攻擊的危害。

　　未來，基于百度安全成熟的防御技術(shù)，智云盾將繼續(xù)完善安全威脅檢測和防御能力，加強(qiáng)數(shù)據(jù)中心安全基礎(chǔ)設(shè)施建設(shè)，為數(shù)據(jù)中心安全保駕護(hù)航。