通过TFTP协议发动DDoS攻击成真

英国爱丁堡龙比亚大学的研究人员今年年初发布了一项研究，如何通过TFTP服务器发动发射DDoS攻击，仅在三个月后就出现了这种攻击。截至2016年4月20日，来自Akamai的工程师检测到了至少十起DDoS攻击，都是通过网络暴露的TFTP服务器反射流量，并将其变成十倍发送到目标，通常被称为反射（或者放大）DDoS攻击。

攻击者发动少量的包到TFTP服务器，其中包含了各种协议执行过程中的缺陷，然后乘以数十倍发送给目标。针对TFTP DDoS攻击的倍增系数是60，远远高于常规反射DDoS攻击的平均值，通常给2-10倍。

攻击者将TFTP服务器部署为多向量DDoS攻击的一部分，攻击者混合了不同的DDoS缺陷协议，以便让目标的IT部门混淆，更难以检测。由于攻击不是纯粹的，也难以达到巨大的统计数值。据悉，被检测到到的带宽峰值为1.2Gbps，峰值包容量为176,400/S。这些都是DDoS攻击中相当低的数值，但是足够消耗目标的带宽。

爱丁堡龙比亚大学的研究发布后，网上就已经出现了TFTP攻击脚本的武器化版本。攻击脚本很简单，用户输入值，比如受害者的IP，攻击端口，一列易受攻击的IP地址、可联网的TFTP服务器，每秒包率的限制值，线程的数量以及脚本应该运行的时间。爱丁堡龙比亚大学的研究人员表示，他们发现超过599,600的公开服务器的端口69（TFTP）是开放的。

在此，云端卫士也提醒企业要确保自己的TFTP服务器的安全。因为已经存在25年之久的TFTP协议不支持现代认证方法，所以并没有特别好的理由，让这些类型的服务器暴露给互联网。