DTLS协议反射攻击深度分析与防御指南

DTLS协议反射攻击深度分析与防御指南 0x00 概述 DTLS(数据报传输层安全)协议反射攻击是一种新型的DDoS放大攻击方式，攻击者利用Citrix ADC网关等设备上的DTLS服务(UDP:443)作为反射源，通过伪造源IP地址向这些服务器发送请求，导致服务器向受害者返回大量响应数据，形成流量放大攻击。 0x01 事件背景 首次发现 ：2020年12月19日由德国Anaxco GmbH公司的Marco Hofmann发现 攻击特征 ：同一客户端IP的大量请求和海量响应 攻击源 ：Citrix ADC设备上的DTLS服务(UDP 443) 影响范围 ：全球范围内使用Citrix ADC的设备 Citrix ADC(应用程序交付控制器)是Citrix公司的一系列网络产品，用于提高应用程序性能，保证数据安全性的同时进行流量优化和加速。 0x02 技术原理 DTLS协议漏洞分析 DTLS协议规范(RFC6347)要求首次交互必须使用HelloVerifyRequest安全认证： 客户端首次发送请求 服务器响应HelloVerifyRequest包(携带包含客户端IP的cookie) 客户端再次发送携带cookie的请求 服务器校验cookie完成安全认证 漏洞本质 ：部分DTLS服务器未严格实现规范，在收到伪造的客户端请求后直接响应大量证书消息，跳过了HelloVerifyRequest验证步骤。 攻击验证数据 未开启验证的服务器 ： 请求包大小：211字节 响应包大小：5381字节 放大倍数：5381/211≈26.5倍 开启验证的服务器 ： 遵循标准握手流程，先发送HelloVerifyRequest 需要客户端正确响应后才能继续通信 无法形成放大效果 0x03 反射源分析 攻击规模数据 百度智云盾捕获的攻击涉及反射源：1567个IP ZoomEye扫描发现全球使用DTLS服务的IP：4118个(持续增加中) 地理分布 主要来源国家(前5)： 美国 德国 英国 法国 荷兰 DTLS协议应用场景 Web浏览、邮件、即时消息和VoIP 实时传输场景(因UDP高效性) 具体应用： F5 VPN Cisco AnyConnect VPN OpenConnect VPN ZScaler 2.0 思科InterCloud Fabric Citrix ADC程序 WebRTC(与SRTP协议配合，Chrome、Opera、Firefox支持) 0x04 防御措施 针对DTLS服务的防护 默认开启HelloVerifyRequest验证 这是防止反射攻击的最有效手段 Citrix已在新版本中添加此功能，但需手动开启 升级DTLS协议到最新版本 确保实现符合RFC6347规范 应用所有安全补丁 网络配置建议 如非必要，禁用DTLS服务 如果必须使用，配置ACL策略限制访问 针对DDoS攻击的防护 部署DDoS云安全服务 利用云端清洗能力对抗大规模攻击 提供弹性防护带宽 网络监控 设置异常流量告警机制 定期检查UDP服务的使用情况 应急响应 发现攻击时可临时阻断UDP 443端口 保留攻击日志用于事后分析 0x05 参考资源 ZoomEye网络空间搜索引擎: https://www.zoomeye.org/ DTLS协议规范RFC6347: https://tools.ietf.org/html/rfc6347 Citrix DTLS协议深度分析: https://msandbu.org/citrix-netscaler-ddos-and-deep-dive-dtls-protocol/