浅析各类DDoS攻击放大技术

UTP采用了TCP的一些想法，以滑动窗口控制流，按顺序校验信息的完整性，握手建立连接。不同于TCP三次握手，UTP只有两次握手，下图表示结点建立连接的过程。可以看出创建方发出一个ST_SYN包给接受方创建连接，类似于TCP的SYN包。接受方反馈ST_STATE包表示成功接收到，建立方接收到反馈表示双向建立成功。现今大多数的BT客户端把UTP作为默认协议。

UTP建立连接的两次握手，这允许攻击者用伪造的IP地址和放大器建立连接，因为接受方不检查创建方是否接收到了应答。

示意图如下：

一个伪造的带着受害者IP地址的ST_DATA给接收方，接收方相信包中的源IP地址有效，反馈了第一个ST_DATA给受害者，而受害者的IP没有意料到这个包，所以也不会回应它。接收方到时间重传丢失的ST_DATA包，如果连续四次传输未响应则断开连接。

连接建立后BT流需要一次握手作为第一条信息，包括了为扩展保留的字节、hash信息和节点ID。如果客户端接受了握手发现使用了未认证的hash，客户端立刻终结连接。攻击者利用握手包基于UTP两次握手创建放大攻击。

ab两步不赘述了，c步骤 攻击者发送了一个装载了BT流握手信息的ST_DATA包。 这个握手需要活跃的放大器种子hash信息(20字节)，握手包最少88字节，如果放大器参与这个种子中，就会反馈步骤d ，d的握手包大于攻击者发送的，因为客户端在UTP包里放入了更多信息。

BT流提供Libtorrent 的扩展协议(LTEP)添加新的扩展而不妨碍默认协议。如果一个攻击者标记支持LTEP 尤其在BEP10中 ，攻击效果会进一步放大而不用增加步骤c握手包的量。对等节点以此扩展信息交换。

0×03 利用数据流加密握手包(MSE)攻击

MSE的目的是混淆BT传输过程，防止受ISP的影响，而不是为了传输安全。尽管它有很多严重的弱点，但它还是被大多数BT客户端使用。

这个协议开始于Diffie-Hellman 密钥的交换 每个节点都产生了768位的公钥 公钥包括0-512位的随机数r 。交换密钥后，包会被RC4算法加密，UTP传输。