之前我们曾报道过，BT种子协议家族漏洞可用作反射分布式拒绝服务攻击(DRDoS attacks)。此种攻击方式并非主流，以公开的论文看来效果堪比DNS，而NTP攻击则更胜一筹。

　　一、 背景

攻击者可以利用BT种子协议(微传输协议[uTP]，分布hash平台[DHT]，消息流加密[MSE]，BT种子同步[BTSync])来反射放大结点间传输量。

实验显示，攻击者可以利用BT结点将一个包放大50倍，如果是BTsync将达到120倍。另外，我们发现最流行的BT流客户端正是最脆弱的，比如uTorrent、Mainline、Vuze等。

公开DNS解析和NTP协议MONLIST命令攻击，两种攻击方法依靠其协议的广泛应用，影响范围不言而喻。

混合放大，利用通用协议的攻击方式很稳定，通过标准的结点发现机制很快找到放大点。由于其利用的动态端口范围和握手加密，攻击不会被常规防火墙发现，只有进行深度的包检查才能发现。

　　二、什么是DRDoS攻击

攻击者不把通信包直接发给受害者，而是发给放大器(amplifiers)然后反射给受害者。攻击者利用了网络协议漏洞进行IP欺骗。可以由一个或多个攻击结点开始，下图简单勾画出了DRDoS的攻击模型：

 

1、P点在攻击前确认放大器的位置，这取决于攻击者利用的协议，强大的扫描工具比如 ZMap可以帮助确认可用放大器。这步是以后步骤的基础，保证以后的攻击效率;

2、接着发送小的Ba 给放大器PA，攻击者伪造包源地址是PV的IP地址，然后PA反馈一个大的包Bv给PV。

BT流是今天世界最常用的P2P协议，协议的新颖之处在于解决了free riding problem 和 last piece problem 。为了克服第一个困难，BT流应用了一个奖赏机制称为窒息算法导致了tit-for-tat-ish 分享方法。BT流通过稀有片优先算法解决了第二个问题。

　　三、 UTP协议攻击

最初，TCP是握手和节点通信的默认协议。TCP在P2P环境有很多优点，它分布了可用带宽给每个连接点，通常得到比其他应用更多的带宽。因此，BT流在后台运行，会被前段的通信结束(例如web 和邮件)，所以BT流发明了新的传输协议UTP。

UTP采用了TCP的一些想法，以滑动窗口控制流，按顺序校验信息的完整性，握手建立连接。不同于TCP三次握手，UTP只有两次握手，下图表示结点建立连接的过程。可以看出创建方发出一个ST_SYN包给接受方创建连接，类似于TCP的SYN包。接受方反馈ST_STATE包表示成功接收到，建立方接收到反馈表示双向建立成功。现今大多数的BT客户端把UTP作为默认协议。

UTP建立连接的两次握手，这允许攻击者用伪造的IP地址和放大器建立连接，因为接受方不检查创建方是否接收到了应答。

示意图如下：

 

一个伪造的带着受害者IP地址的ST_DATA给接收方，接收方相信包中的源IP地址有效，反馈了第一个ST_DATA给受害者，而受害者的IP没有意料到这个包，所以也不会回应它。接收方到时间重传丢失的ST_DATA包，如果连续四次传输未响应则断开连接。

(责任编辑：安博涛)