【図表】
攻撃プロトコルの頻度
リフレクション攻撃で使用されるプロトコルの頻度
悪用可能なUDPサービスと増幅率
| タイプ | 増幅率 |
|---|---|
| Memcached | 10,000 ~ 51,000 |
| NTP | 556.9 |
| CharGEN | 358.8 |
| QOTD | 140.3 |
| RIPv1 | 131.24 |
| CLDAP | 56 ~ 70 |
| LDAP | 46 ~ 70 |
| DNS | 28 ~ 54 |
| Quake Network Protocol | 63.9 |
| TFTP | 60 |
| SSDP | 30.8 |
| MSSQL | 25 |
| Kad (P2P) | 16.3 |
| Portmap (RPCbind) | 7 ~ 28 |
| SNMP | 6.3 |
| Steam Protocol | 5.5 |
| NetBIOS | 3.8 |
| BitTorrent | 3.8 |
| Multicast DNS (mDNS) | 2 ~ 10 |
ポートブロックと脅威インテリジェンスの使用事例
| リフレクションタイプのアンプ攻撃種類 |
アタックの送信元ポート |
推奨緩和方法 |
|---|---|---|
| BitTorrent | UDP 6881 | 送信元ポートのブロック |
| CharGEN | UDP 19 | 送信元ポートのブロック |
| CLDAP | UDP 389 | 送信元ポートのブロック |
| DNS | UDP 53 | 脅威インテリジェンス |
| Kad (P2P) | UDP 751 | 送信元ポートのブロック |
| Memcached | UDP 11211 | 送信元ポートのブロック or 脅威インテリジェンス |
| MSSQL | UDP 1434 | 送信元ポートのブロック |
| Multicast DNS | UDP 5353 | 送信元ポートのブロック |
| NetBIOS | UDP 137 | 送信元ポートのブロック |
| NTP | UDP 123 | MONLISTレスポンスのブロックor 脅威インテリジェンス |
| Portmap (RPCbind) | UDP 111 | 送信元ポートのブロック |
| QOTD | UDP 17 | 送信元ポートのブロック |
| Quake Network Protocol | UDP 27960 | 送信元ポートのブロック |
| RIPv1 | UDP 520 | 送信元ポートのブロック |
| SNMP | UDP 161 | 送信元ポートのブロック or 脅威インテリジェンス |
| SSDP | UDP 1900 | 送信元ポートのブロック |
| Steam Protocol | UDP 2701 | 送信元ポートのブロック |
| TFTP | Ephemeral | 脅威インテリジェンス |
出典: https://www.a10networks.co.jp/news/blog/how-defend-against-amplified-reflection-ddos-attacks.html
【ブログ】
◆リフレクション攻撃(アンプ攻撃)を防御する方法 (A10, 2018/07/31)
https://www.a10networks.co.jp/news/blog/how-defend-against-amplified-reflection-ddos-attacks.html
【関連まとめ記事】
◆ リフレクション攻撃 / アンプ攻撃 (まとめ)
https://malware-log.hatenablog.com/entry/Reflection_Attack
