阿里云代理商：什么是chargen服務(wù)放大DDoS攻擊
概述
本文主要概述什么是chargen服務(wù)放大DOS攻擊。
詳細(xì)信息
什么是CHARGEN協(xié)議
CHARGEN字符發(fā)生器協(xié)議（Character Generator protocol）是一種簡單網(wǎng)絡(luò)協(xié)議，設(shè)計(jì)的目的是用來調(diào)試TCP或UDP協(xié)議程序、測量連接的帶寬或進(jìn)行QoS的微調(diào)等。它的默認(rèn)端口為19，分為基于TCP和UDP兩種方式。
TCP方式下建立連接后，服務(wù)器會不斷傳送任意字符到客戶端，直到客戶端關(guān)閉連接。
UDP方式下每當(dāng)服務(wù)器收到客戶端的一個UDP數(shù)據(jù)包后，向客戶端返回一個數(shù)據(jù)包，長度為0~512字節(jié)之間隨機(jī)值，數(shù)據(jù)包的負(fù)載可以是任意字符。
CHARGEN協(xié)議的設(shè)計(jì)初衷是為了網(wǎng)絡(luò)測試，并沒有嚴(yán)格的訪問控制和流量控制機(jī)制，在UDP 模式下任何人都可以向開放該服務(wù)的主機(jī)請求服務(wù)，這種簡單的請求\- 回復(fù)模式便為DDoS 攻擊者提供了便利。
DDoS Chargen攻擊原理
攻擊示意圖如下所示。圖中攻擊者的地址是IP:A，三元組(src=0:S,dst=1:19,proto=UDP ) 表示A偽造被攻擊對象地址IP:0和端口S，向被利用主機(jī)IP:1的19端口發(fā)送的Chargen請求報(bào)文，對應(yīng)被利用主機(jī)放大后的回復(fù)報(bào)文流向了被攻擊主機(jī)IP:0。這個漏洞早在1996年就被發(fā)現(xiàn)（CVE-1999-0103），該漏洞被利用最主要的原因是實(shí)現(xiàn)過程沒有設(shè)計(jì)必要的訪問控制。
CHARGEN協(xié)議的設(shè)計(jì)初衷是為了網(wǎng)絡(luò)測試，并沒有嚴(yán)格的訪問控制和流量控制機(jī)制，在UDP模式下任何人都可以向開放chargen服務(wù)的主機(jī)請求服務(wù)，這種簡單的請求\回復(fù)模式使得攻擊者可以偽造源地址信息向chargen服務(wù)發(fā)送請求，而chargen服務(wù)并不會驗(yàn)證源地址的真?zhèn)?，會向源地址發(fā)送應(yīng)答包，這導(dǎo)致該服務(wù)可被用來進(jìn)行DOS攻擊。
RFC 864中給出chargen應(yīng)答包的建議大小不超過512字節(jié)，但是在實(shí)際實(shí)現(xiàn)過程中，這個大小并未被嚴(yán)格限制，根據(jù)實(shí)際測試，在Linux系統(tǒng)下，對于64 字節(jié)的無負(fù)載UDP chargen請求，系統(tǒng)回復(fù)一個1066字節(jié)的UDP應(yīng)答報(bào)文，流量被放大了15倍，而在Windows系統(tǒng)下使用同樣的請求，回復(fù)的UDP應(yīng)答報(bào)文長度達(dá)3259 字節(jié)，并產(chǎn)生了分片，流量被放大了50 倍。這使得該服務(wù)可以被用來進(jìn)行放大DOS攻擊。
如何防護(hù)
受害者：由于 CHARGEN不是常用協(xié)議，因此對于這類DDoS可以使用基于端口匹配的方法進(jìn)行檢測。發(fā)現(xiàn)對應(yīng)的流量使用專業(yè)設(shè)備或者程序丟棄即可。
被利用者：確認(rèn)系統(tǒng)是否必須開放chargen服務(wù)，如果不是必要服務(wù)，請?jiān)谙到y(tǒng)中關(guān)閉該服務(wù)，具體關(guān)閉的辦法如下所示。
Linux的關(guān)閉方法：在 /etc/xinetd.conf文件中注釋掉chargen服務(wù)或者在 /etc/xinetd.d/目錄下將chargen服務(wù)對應(yīng)的文件中的disable屬性改為yes。
Windows的關(guān)閉方法：chargen服務(wù)屬于Windows系統(tǒng)中的 Simple TCP服務(wù)，一般情況下Windows系統(tǒng)缺省不會安裝該服務(wù)，如果已經(jīng)安裝該服務(wù)，可以通過如下幾種方式關(guān)閉服務(wù)。
通過控制面板里的Service控制程序關(guān)閉，將 Simple TCP/IP service設(shè)置為禁用。
修改系統(tǒng)注冊表，將以下兩項(xiàng)表項(xiàng)的值設(shè)為0。
HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters\EnableTcpchargen
HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters\EnableUdpChargen
通過系統(tǒng)命令關(guān)閉chargen服務(wù)，命令如下所示。
net stop simptcp
對于必須開放chargen服務(wù)的主機(jī)，為避免被攻擊，建議使用防火墻限制訪問該服務(wù)的來源。