酷应用

预警：基于Plex媒体播放平台的DDoS反射攻击来袭

百家作者：百度安全应急响应中心 2021-01-08 12:11:53

0x00 概述

百度智云盾团队在2021年1月首次捕获到利用Plex（媒体播放平台）的网络服务发起的DDoS反射攻击。据现有资料表明，这种反射攻击方式尚属全网首次出现，智云盾系统在2秒内识别攻击，实时对流量做了隔离和清洗，保障用户免遭DDoS的伤害。

本次攻击事件中黑客利用了基于Plex服务发起的DDoS反射攻击，Plex是一套媒体播放平台，基于UDP协议提供服务，由于UDP协议的不可靠性质，导致开启该服务的主机容易被黑客利用作为反射源进行DDoS反射攻击。

0x01 反射原理

攻击者采用反射方式实施DDoS攻击时，不是直接攻击受害者IP，而是伪造了大量受害者IP的请求发给相应的开放服务，通常这类开放服务不对源进行校验而是立即完成响应，这样更大更多的响应数据包发送到受害者IP，从而实现了流量的反射，这类开放服务就是反射源。

原理如下图所示：

图1 反射攻击原理示意图

图1中攻击者P伪造了请求包BA并发送到PA，但BA的源IP是PV，所以PA响应的时候发送BV给到PV。

反射攻击一方面隐藏了攻击IP，同时还有一个重要特征是放大，上述原理图中的BV往往是BA的好几倍，甚至是成千上万倍。正是有了这样的特性，黑客组织乐此不疲的使用这一攻击方式，并不断的研究新型反射攻击增强攻击效果。

0x02攻击分析

智云盾系统检测到攻击时，自动对攻击流量进行采样，安全专家对采样包及时进行了深层次的分析和演练。本次攻击事件共涉及反射源2451个。

攻击包分析

通过分析智云盾的攻击采样包发现，反射流量的端口来自于32414端口，下图红色箭头指向的是反射源端口：

图2 采样包内攻击来源端口图

采样包中udp携带的攻击载荷如下图所示：

图3 攻击载荷

数据包中的攻击载荷固定包含plex/media-server，通过搜索分析，这是一套媒体播放平台的服务器软件。攻击载荷如下图所示：

图4 格式化后的攻击载荷

攻击模拟

为了进一步分析，我们在一台纯净的ubuntu16.04上安装了Plex服务，安装完成后查看服务绑定的端口号，如下图所示：

图5

可以看到Plex服务监听32410、32412、32413和32414四个udp端口，通过对攻击载荷的分析，并借鉴设备查询请求的消息格式，我们编写软件向这几个端口发送攻击载荷为M-SEARCH * HTTP/1.1的udp数据包，并针对反射源IP进行抓包，最后发现32410与32414均有响应。复现攻击如下图所示：

图6 反射源的响应

图7 抓包结果

我们在模拟攻击请求的验证中，发出一个载荷长度为20字节，获取到的响应包载荷为258字节。

放大倍数

按照我们前期对反射倍数的研究结果，科学的统计放大倍数，应当包括数据包协议头和网络帧间隙。详细的方案可以参阅《MEMCACHED DRDoS攻击趋势》一文。

协议头和网络帧间隙计算为：14（以太头）+20（IP头）+8（UDP头）+4（FCS头）+20（帧间隙）=66字节，所以计算实际响应的数据包大小为258+66=324字节，请求包大小为20+66=86字节。

最终我们计算得到的放大倍数为324/86=3.77倍。

对比udpflood可以伪造大数据包攻击，3.77倍的放大攻击实际能达到的效果并不理想，攻击者之所以热衷于此类探索，一方面是反射攻击是个『技术活』，另一方面他们还有一个倍数『更大』的计算方法，业内也比较流行，就是只计算请求响应的载荷比。这里的Plex反射则可以达到258/20=12.9倍，放大倍数一下就超过了10倍。

0x03反射源分析

Plex服务介绍

Plex是一套全面的影音媒体播放平台，包括一整套媒体播放器及服务器软件，个人用户可以利用这个平台整理电脑、NAS、XBOX等设备上的电影、音乐、电视和图片文件，并可以方便的在朋友间分享。Plex服务向个人用户免费开放，支持大多数平台，随着家庭影音的普及，相信未来部署Plex服务系统或设备会越来越多。