國際寬頻網路基礎建設公司Level 3旗下的威脅研究實驗室指出,他們最近發現一種新興的阻斷式服務攻擊(DDoS)手法,是藉由「連接埠對應」(Portmap或Portmapper)發動阻斷式服務的擴大攻擊,並呼籲業者應該趁著該類攻擊壯大之前予以防堵。
Portmap為一開放網路遠端程序呼叫服務(ONC PRC),通常於各個網路節點上運作,支援TCP或UDP等傳輸埠,當客戶端想在網路上尋找合適的服務時,便可尋求Portmap的協助,可視為網路上的程序呼叫目錄服務,要是透過UDP傳輸偽造的請求,即會收到放大的回應,放大範圍從7倍到28倍不等。
駭客利用Portmap的主要原因之一是許多企業的網管人員都忽視了Portmap的安全性,並讓它在開放網路上運作,駭客將可傳送偽造的請求到這些公開的Portmap上,以將放大的回應流量傳送至目標網站。
根據Level 3於今年6月到8月的觀察,基於Portmap的最大DDoS攻擊發生在8月10日至12日間,駭客主要利用遊戲網站、網站代管服務,及網路架構供應商等業者的Portmap進行DDoS放大攻擊。比較6月的最後一周與8月12日以前的最後一周,全球透過Portmap的流量成長了22倍,可窺見採用Portmap的DDoS攻擊行動正快速成長。
不過,相較於諸如DNS、SSDP與NTP等其他可作為DDoS放大攻擊來源的網路流量,Portmap的流量其實非常不明顯。
Level 3認為,此時正是防堵基於Portmap攻擊的好時機,業者應該在此類攻擊蔓延之前開始過濾各種請求,並移除網路上的反射主機,包括關閉Portmap、NFS、NIS,以及公開網路上的所有PRC服務,或是啟用防火牆功能,並僅開放TCP傳輸埠,以避免淪為駭客執行DDoS放大攻擊的幫兇。(編譯/陳曉莉)