【漏洞预警】关于TFTP放大DDOS漏洞情况的通报

admin 2021年12月2日00:50:07cnnvd_warn评论13 次浏览阅读模式

        近日,互联网上披露了有关TFTP协议中存在放大DDOS漏洞的情况,引发一定关注。国家信息安全漏洞库(CNNVD)对此进行了跟踪分析。初步分析情况如下:

一、漏洞基本情况

       TFTP(Trial File Transfer Protocol,简单文件传输协议)是基于UDP协议实现而成的一个传输文件的简单协议,通过该协议可下载或上传文件。TFTP支持五种协议,分别为读请求、写请求、数据传输、数据确认、错误通知。TFTP不支持任何认证,且任意客户端都可以直接访问TFTP服务器上的文件。

       近日,爱丁堡龙比亚大学的Boris Sieklik等人提出一种TFTP协议放大攻击漏洞的攻击方式。攻击者伪造受害者的IP地址,并向TFTP服务器发送读请求数据包。TFTP服务器接到读请求后,会向受害者的IP地址发送应答数据包。由于TFTP服务器应答数据包远大于请求数据包的大小,因而造成放大攻击。利用该放大攻击,可使多个TFTP服务器重复向受害者发送多次数据包,进而导致DDOS(Distributed Denial of Service,分布式拒绝服务)攻击。据实验数据表明,该攻击的放大因子可达60倍(放大因子指放大后的攻击载荷与初始伪造的数据包大小的比例)。

二、漏洞危害分析

       总体来看,暴露在互联网上的TFTP服务器,都可能成为辅助放大DDOS攻击的节点。攻击者通过利用这些节点提供的TFTP服务,可向受害者发起网络攻击。根据CNNVD所掌握的数据,全球开放TFTP服务端口的主机约48万个,我国境内开放TFTP服务端口的主机约55000个。这些主机可能被该DDOS攻击所利用,成为攻击节点。

三、相关情况说明

       1、部署使用了TFTP服务器的单位,应对此问题予以关注,定期进行流量监测,以防被攻击者利用。

       2、从目前的分析来看,该攻击方式成功的必要条件是攻击者需首先知道TFTP服务器上的文件名,因而使攻击难度增大。尽管有研究者提出穷举或字典查询的方式来猜解文件名,但是该方法的成功率较低,不具有实用性。

       3、从攻击条件上来看,该攻击方式的攻击难度要高于利用ICMP(Internet Control Message Protocol,网络控制管理协议)协议与DNS(Domain Name System,域名系统)协议的DDOS攻击。从服务器节点数量和放大因子来看,该攻击方式的攻击效果也要低于利用上述两种协议实施的DDOS攻击。

四、安全防护措施

       1、电信运营商、互联网企业等单位应尽量避免将TFTP服务暴露于外网;

       2、应定期对TFTP服务器的流量进行监测与分析,检查是否存在来自特定IP地址的异常数据请求;

       3、应对TFTP服务器软件进行安全配置检查,使其难以被攻击者所利用。

       CNNVD将继续跟踪上述攻击的相关情况,及时发布相关信息。如有需要,可与CNNVD及时联系。

       联系方式:[email protected]

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月2日00:50:07
  • 转载请务必保留本文链接:http://zone.ci/archives/cnnvd/cnnvd_warn/2021/12/02/225.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: