昨日， 錘子發布會出現一些問題， 據悉是其官網服務器遭遇了數十G流量DDoS攻擊， 這種大流量的DDoS攻擊行為， 恰恰印證了《2015 H1綠盟科技DDoS威脅報告》中的觀點， 大流量攻擊呈現增長趨勢。  

　　DDoS大流量攻擊威脅互聯網安全

報告中指出2015上半年中發現的大流量攻擊流量， 其種類以UDP混合流量為主（72%）。 報告還指出有兩種客觀的因素為大流量攻擊創造了條件， 1隨著“寬帶中國”戰略實施方案的推進， 城市和農村家庭寬帶接入能力逐步達到20兆比特每秒（Mbps）和4Mbps， 部分發達城市達到100Mbps， 同時連接速度也在上升；2智能路由器等智能設備普遍存在安全性問題， 它們常被利用成為放大攻擊的源頭， 最高放大系數可達75。 而從2014到2015 H1， 這些問題并未得到好轉。

　　新的DDoS放大攻擊形式 端口映射

而今天Level 3 Threat Research Labs發現了一種新的DDoS放大攻擊形式， 放大系數最高可達28.4， 這就是Portmapper。 Portmapper（也稱rpcbind、portmap或RPCPortmapper）是一種端口映射功能， 常用于將內部網絡中的服務端口發布到互聯網。 Portmapper可以視為一項RPC目錄服務。 當客戶端尋求合適的服務時， 可在Portmapper中查找。 針對這些查詢,Portmapper返回的響應大小不一， 主要取決于主機上運行的是哪項RPC服務。

Portmapper可在TCP或UDP 111端口上運行。 UDP端口就常常用來偽造的UDP請求， 以便進行放大式攻擊。 正常情況下該響應包是比較小的， 只有486字節， 對比其查詢請求（68字節）， 放大系數為7.1x。 在廣譜平臺上， 我們看到最高響應包高達1930字節， 放大系數為28.4x。

我們統計了網絡中前300名查詢者的流量， 并計算平均響應包大小。 計算結果表明， 平均響應包大小為1241字節（放大系數為18.3x）如果是DDoS攻擊， 我們發現， 平均響應包大小為1348字節（放大系數為19.8x）顯然， Portmapper作為DDoS攻擊形式時， 這些放大系數十分可怕。

　　端口映射放大式攻擊增長迅猛

其他反射攻擊方法在過去幾周內表現平穩， 而這個特殊的攻擊向量卻迅速增長。

　　與6月最后7天內的全局portmap流量相比， 8月12日前7天的流量增長了22倍。 顯然， 成功利用這種方法的攻擊正在大肆增長。 而與其他流行的UDP服務相比， Portmapper的全局流量仍然很小。

　　Portmapper的全局流量是如此之小， 它幾乎被標注在圖表的底部紅線位置。 但要啟動請求過濾并從互聯網上移除反射主機， 以預防更大規模的攻擊和造成更多的損害， 尚需時日。

　　建議防范UDP

Portmapper在互聯網上成為反射型和放大型DDoS攻擊的新形式。 各機構或組織， 如果需要在其環境中繼續使用Portmapper提供端口映射服務， 就需要對這些端口及流量展開清洗。 但是Portmapper只是一種攻擊形式， 在許多的服務器上， 還存在大量的RPC服務調用， 它們也都使用UDP端口， 這些服務也存在DDoS反射或放大攻擊的可能。 必要的情況下， 可以考慮禁用這些RPC服務調用。

　　所以我們建議， 需要在開放的互聯網上嚴格審查Portmapper、NFS、NIS以及所有其他RPC服務。 在服務必須開啟的情況下， 配置防火墻決定哪些IP地址可以訪問這些服務， 之后只允許這些IP地址發送TCP請求， 以避免這些IP地址在不知情的情況下參與DDoS攻擊。

　　以上Portmapper的相關內容， 引自Level 3 Threat Research Labs發布的研究成果。 需要了解2015年DDoS威脅發展態勢