近日，互联网上披露了有关TFTP协议中存在放大DDOS漏洞的情况,引发一定关注。国家信息安全漏洞库（CNNVD）对此进行了跟踪分析。初步分析情况如下：

一、漏洞基本情况

       TFTP(Trial File Transfer Protocol,简单文件传输协议)是基于UDP协议实现而成的一个传输文件的简单协议，通过该协议可下载或上传文件。TFTP支持五种协议，分别为读请求、写请求、数据传输、数据确认、错误通知。TFTP不支持任何认证，且任意客户端都可以直接访问TFTP服务器上的文件。

       近日，爱丁堡龙比亚大学的Boris Sieklik等人提出一种TFTP协议放大攻击漏洞的攻击方式。攻击者伪造受害者的IP地址，并向TFTP服务器发送读请求数据包。TFTP服务器接到读请求后，会向受害者的IP地址发送应答数据包。由于TFTP服务器应答数据包远大于请求数据包的大小，因而造成放大攻击。利用该放大攻击，可使多个TFTP服务器重复向受害者发送多次数据包，进而导致DDOS(Distributed Denial of Service,分布式拒绝服务)攻击。据实验数据表明，该攻击的放大因子可达60倍（放大因子指放大后的攻击载荷与初始伪造的数据包大小的比例）。

二、漏洞危害分析

       总体来看，暴露在互联网上的TFTP服务器，都可能成为辅助放大DDOS攻击的节点。攻击者通过利用这些节点提供的TFTP服务，可向受害者发起网络攻击。根据CNNVD所掌握的数据，全球开放TFTP服务端口的主机约48万个，我国境内开放TFTP服务端口的主机约55000个。这些主机可能被该DDOS攻击所利用，成为攻击节点。

三、相关情况说明

       1、部署使用了TFTP服务器的单位，应对此问题予以关注，定期进行流量监测，以防被攻击者利用。

       2、从目前的分析来看，该攻击方式成功的必要条件是攻击者需首先知道TFTP服务器上的文件名，因而使攻击难度增大。尽管有研究者提出穷举或字典查询的方式来猜解文件名，但是该方法的成功率较低，不具有实用性。

       3、从攻击条件上来看，该攻击方式的攻击难度要高于利用ICMP(Internet Control Message Protocol,网络控制管理协议)协议与DNS(Domain Name System,域名系统)协议的DDOS攻击。从服务器节点数量和放大因子来看，该攻击方式的攻击效果也要低于利用上述两种协议实施的DDOS攻击。

四、安全防护措施

       1、电信运营商、互联网企业等单位应尽量避免将TFTP服务暴露于外网；

       2、应定期对TFTP服务器的流量进行监测与分析，检查是否存在来自特定IP地址的异常数据请求；

       3、应对TFTP服务器软件进行安全配置检查，使其难以被攻击者所利用。

       CNNVD将继续跟踪上述攻击的相关情况，及时发布相关信息。如有需要，可与CNNVD及时联系。

       联系方式：[email protected]。