0x00概述

百度智云盾团队在2022年3月首次捕获到利用OpenAFS服务的反射放大了攻击。根据现有数据，这种反射攻击模式仍然是整个网络的第一次。智云盾系统在2秒内识别攻击，实时隔离和清洁流量，确保用户免受影响DDoS的伤害。

经过深入分析，我们确认了本次攻击是黑客利用了基于OpenAFS由系统客户端服务发起DDoS反射攻击，OpenAFS客户端是一个成熟的分布式文件系统UDP7001端口提供服务OpenAFS 多个版本存在安全漏洞，导致黑客很容易使用打开该服务的主机作为反射源DDoS反射攻击。

0x01反射原理

攻击者反射DDoS不直接攻击受害者IP，相反，大量受害者被伪造IP请求发送给相应的开放服务。通常，这种开放服务不验证源，而是立即完成响应，因此更大、更多的响应数据包发送给受害者IP，从而实现流量反射，这种开放服务就是反射源。

原理如下图所示：

图1 反射攻击原理示意图

图1中攻击者Attacker伪造请求包PVA并将其发送到反射服务器A，但PVA的源IP是V，因此，当A响应发送时PAV给到V。

一方面，反射攻击隐藏了攻击IP，上述原理图中的另一个重要特征是放大。PAV往往是PVA几次，甚至成千上万次。有了这一特点，黑客组织乐于使用这种攻击方法，并不断研究信息反射攻击，以提高攻击效果。

0x02攻击分析

当智云盾系统检测到攻击时，攻击流量自动采样，安全专家及时对采样包进行了深入的分析和演练。共有2594个反射源。

1. 攻击包分析

通过对智云盾攻击采样包的分析，发现反射流的端口来自7001端口，下图红色箭头指向反射源端口：

图2 采样包攻击源端口图

采样包中udp携带的攻击载荷如下图所示：

图3 攻击载荷

数据包中的攻击载荷固定包括OpenAFS，通过搜索分析，这是一个分布式文件系统。攻击载荷如下图所示：

图4 格式化后的攻击载荷

2.攻击模拟（OpenAFS版本号：1.6）

为了进一步分析，我们在一个纯粹的Ubuntu16.安装在04机器上OpenAFS在我们的测试中，不同版本的服务响应不同。本次安装的版本号为1.6.通过对攻击载荷的分析，借鉴官方文件中查询请求的信息格式，我们编写软件将攻击载荷发送到这些端口

\x00\x00\x03\xe7\x00\x00\x00\x00\x00\x00\x00\x65\x00\x00\x00\x00\x00\x00\x00\x00\x0d\x05 \x00\x00\x00\x00\x00\x00\x00的udp数据包和反射源IP进行抓包，最后发现7001端口有响应。复现攻击如下图所示：

图5 反射源响应(版本号:1.6）

在模拟攻击请求的验证中，我们发出了一个载荷长度为29字节的响应包载荷为93字节。

3.攻击模拟（OpenAFS版本号：1.7和1.8）

OpenAFS从1.0到1.9共有10个大版本，我们对每个版本进行了测试和分析，最后发现1.7和1.8两个新版本也有安全漏洞，但与1相比.不同的是，响应包不再包含服务器的主机信息。以下是我们的验证过程：

版本1.7：

发送负载长度为29字节的请求，共获得5个负载为24字节的响应内容，如下图所示：

图6 模拟测试(版本号:1.7）

图7 格式化后的响应内容（版本号：1.7）

版本1.8：

发送负载长度为29字节的请求，共获得5个负载为18字节的响应内容，如下图所示：

图8 模拟测试(版本号:1.8）

图9 格式化响应内容(版本号:1.8）

4.放大倍数

根据我们早期反射倍数的研究结果，科学的统计放大倍数应包括数据包协议头和网络帧间隙。详情请参阅《MEMCACHED DRDoS攻击趋势。

协议头与网络帧间隙计算为14(以太头) 20（IP头） 8（UDP头） 4（FCS头） 20（帧间隙）=66字节。所以三个版本的反射倍数计算不同，

1.6版本的实际响应数据包大小为93 66=159字节，1.7版本的为5x（66 24）=450字节，1.8版本的为5x（60 24）=420字节。请求包大小为29 66 = 95字节。

我们最终计算的放大倍数是

版本号	放大倍数
1.6	159/95=1.67
1.7	450/95=4.74
1.8	420/95=4.42

0x03反射源分析

1.全网数据

攻击发生后，我们联合起来zoomeye对在UDP全网扫描7001上存在漏洞的服务，对扫描的反射源进行了调查分析，全球共有26多个服务w的OpenAFS安全漏洞主要来自中国，占48%以上。IP全球分布：

图10 OpenAFS服务全球分布

0x04防范建议

反射攻击和传统攻击flood与攻击相比，它能更好地隐藏攻击者，产生更多的流量，因此反射攻击越来越受到黑客的青睐。

建议参考以下方法提高防护能力。

1.对互联网服务应避免被滥用，充当黑客攻击的帮凶

1. 1. 禁用UDP服务，不能禁用时，应确保响应与请求不要有倍数关系

   2. 启用的UDP服务应采取授权认证，对未授权请求不予响应

2.对企业用户应做好防范，减少DDoS对自有网络和业务的影响

1. 1. 如果没有UDP相关业务，可以在上层交换机或者本机防火墙过滤UDP包

   2. 寻求运营商提供UDP黑洞的IP网段做对外网站服务

   3. 选择接入DDoS云防安全服务对抗大规模的DDoS攻击

智云盾团队介绍

百度智云盾是百度安全专注在互联网基础设施网络安全攻防的团队，提供T级云防、定制端防和运营商联防等DDoS/CC防御解决方案。一直服务于搜索、贴吧、地图、云等百度业务，在保障百度全场景业务之余也进行防御能力外部输出，为互联网客户提供一体化的防御服务。