Knowledgebase:
MS SQL Server Resolution Service - Amplification attack
Posted by , Last modified by on 24 March 2015 04:25 PM

MSSQL Server Resolution Service ( SQL Browser ) permite a clientes inquirir o servidor por instâncias presentes e apresentar detalhes para a sua ligação ( porto de conexão ). O cliente envia um pedido e o servidor responde com o nome da instância , versão e outros detalhes para conexão.

O serviço poderá ser explorado para conduzir ataques de DDoS. Devido aos pedidos do cliente serem bastantes pequenos e a resposta por parte do serviço significativamente maiores um atacante poderá ganhar amplificação, adicionalmente os pedidos não requerem qualquer autenticação para obter resposta .

MS SQL Reflection DDoS Attacks[Medium Risk]

Afim de mitigar a situação irá uma alteração na ligação de conexões externas ( SQL Management Studio por exemplo ) á nossos servidors MSSQL.

A resolução de ligação aos servidores MSSQL será substituido por "Nome da instância" , [porto] ao invés do tradicional "Nome da instância"

A lista completa para ligações á nossa infrastrutura passará a ser:


Alojamentos15
109.71.40.80, 1433 ( default instance )
109.71.40.80\SQLEXPRESS, 55844 ou 109.71.40.80, 55844
109.71.40.80\SQL2008, 53656 ou 109.71.40.80, 53656

Web35
109.71.42.95, 1433 ( default instance )
109.71.42.95\SQL2005ADV, 56532 ou 109.71.42.95, 56532
109.71.42.95\SQLEXPRESS, 52618 ou 109.71.42.95, 52618
109.71.42.95\SQL2012, 65469 ou 109.71.42.95, 65469

CP17
109.71.42.125, 1433 ( default instance )
109.71.42.125\MSSQL2008_ADV, 49739 ou 109.71.42.125, 49739
109.71.42.125\MSSQL2012, 49666 ou 109.71.42.125, 49666

CP47
109.71.42.1, 1433 ( default instance )
109.71.42.1\SQL2012ADV, 64261 ou 109.71.42.1, 64261

CP10
130.185.84.150\SQL2008,59424 ou 130.185.84.150,59424
130.185.84.150\SQL2008ADV, 50055 ou 130.185.84.150, 50055
130.185.84.150\SQL2012, 60055 ou 130.185.84.150, 60055
130.185.84.150\SQL2012ADV, 50057 ou 130.185.84.150\, 50057

 

CP53
109.71.46.184, 1433 ( default instance)
109.71.46.184, 50057 ( SQL2012 )

CP61
94.46.176.100, 1433 ( MSSQL2014)
94.46.176.100, 49850 (MSSQL2012)
94.46.176.100, 49851 (SQL2014ADV)

 

Exemplos visuais do novo esquema de ligação encontram-se abaixo:

without instance

 

 

 

 

 

 

 

 

 

 

 

 

(0 vote(s))
Helpful
Not helpful

Comments (0)