携手创作，共同成长！这是我参与「掘金日新计划 · 8 月更文挑战」的第27天，点击查看活动详情

SNMP 反射/放大

什么是 SNMP 反射/放大攻击

SNMP 反射是一种分布式拒绝服务 （DDoS） 攻击，让人想起前几代 DNS 放大攻击。

NMP 反射攻击使用简单网络管理协议 （SNMP） 代替域名服务器 （DNS），这是一种常见的网络管理协议，用于配置和收集来自网络设备（如服务器、集线器、交换机、路由器和打印机）的信息。

SNMP反射攻击可以产生每秒数百千兆位的攻击量，这些攻击量可以针对来自多个宽带网络的攻击目标。攻击有时持续数小时，对攻击目标具有高度破坏性，并且可能非常难以缓解。

攻击描述

与其他反射攻击一样，SNMP 反射涉及引发对单个欺骗性 IP 地址的大量响应。在SNMP反射攻击期间，犯罪者向许多连接的设备发送大量带有伪造IP地址（受害者的）的SNMP查询，这些设备反过来又回复该伪造地址。随着越来越多的设备继续回复，攻击量也在增长，直到目标网络在这些 SNMP 响应的集体数量下关闭。

反射攻击在放大时更加危险。“放大”是指引发比发送的原始请求大得多的非对称服务器响应。通过放大，SNMP 反射攻击可以产生更高的流量，即使来自相对较小的输入流，最终也会变成更有效、更危险的拒绝服务威胁。

SNMP反射攻击的放大系数高达x600甚至x1700，根据一些滥用GetBulk SNMP操作的攻击工具的最新报告。

缓解方法

SNMP反射是一种容量耗尽型DDoS威胁，旨在堵塞目标的网络管道。因此，可以通过过度配置网络资源来抵消它，这将使目标基础设施能够抵御攻击。

在目标基础结构应处理合法 SNMP 响应的情况下，缓解过程还应依赖于入口/出口数据包筛选。例如，网络运营商可以选择限制对给定 SNMP 服务器的访问，使其只能从狭窄的 IP 地址范围进行访问。但是，这仍然需要网络能够处理整个传入数据包流。

该服务支持按需超额配置和近乎无限的可扩展性，可处理最大的容量耗尽攻击。此外，Incapsula DDoS保护可以通过BGP公告立即部署在任何网络基础设施之上，这使得Incapsula成为所有传入流量的接收者。