SNMP 放大攻擊

　SNMP 放大攻擊(SNMP amplification attack) 是一種利用大量對外暴露的 SNMP 裝置來發動的 DDoS 分散式阻斷服務攻擊。

　攻擊者會透過 偽造受害者 IP，向這些公開的 SNMP agent 發送小型查詢，例如 get、get-next、getbulk，而這些裝置會回傳比請求大得多的資料至偽造的來源 IP，使受害者在短時間內遭受大量回應流量而導致服務中斷或網路耗盡。

SNMP 放大攻擊，是結合了「放大攻擊」與「反射攻擊」兩種特性的攻擊：

• 放大(Amplification)：
  單一小請求可觸發比請求大得多的回應資料，使攻擊者以較少頻寬產生大量流量。

• 反射(Reflection)：
  攻擊流量是由第三方裝置回送到受害者(因為來源 IP 被偽造)，使攻擊來源難以追蹤，且透過大量分散的反射器可迅速擴大攻擊規模。

　這兩者結合，就會是：攻擊者 偽造受害者 IP(反射)，接著向大量公開 SNMP 裝置發出小型查詢；這些裝置回傳放大後的大量回應至受害者(放大)，短時間內大量回應流量就會淹沒目標，造成服務中斷或資源耗盡，導致網路頻寬飽和和服務不可用。

▲ SNMP 放大攻擊：攻擊者 → 偽造來源 IP(受害者)→ 向公開 SNMP agent 發送小型查詢→ SNMP agent 回傳放大後的大量回應 → 大量回應湧向受害者 → 受害者網路 /服務被淹沒(DDoS)

　另外，SNMP 放大攻擊主要是 OSI 模型中，第七層應用層 的反射+放大型 DDoS 攻擊，不過在傳播與防護上，同時涉及傳輸層(L4, UDP) 與網路層(L3, IP 偽造)的技術。因此，針對 SNMP 放大攻擊的防護，雖然主要是 L7 應用層攻擊，但放大流量仍經過 L3/L4，因此防禦需多層面部署。

SNMP 是什麼？

SNMP(Simple Network Management Protocol) 簡單網路管理協定，是一種應用層協定，用來監控、管理和設定網路設備，如路由器、交換器、防火牆或伺服器。SNMP 透過 管理者(Manager) 與 代理(Agent) 溝通，管理者向設備查詢狀態或設定參數，設備則回傳資訊或主動發送警告，而資料通常儲存在設備的 MIB(Management Information Base) 中。

SNMP 主要使用 UDP 協定，因為 UDP 傳輸效率高，不過早期版本(v1/v2c) 安全性較低且缺乏驗證與加密，建議使用 SNMPv3 來提供驗證與加密，避免舊版 SNMP 被濫用作為放大攻擊來源。另外，SNMP 是網管系統中不可或缺的工具，但如果對公網暴露不當，也可能被濫用，成為 DDoS 放大攻擊的目標。

SNMP 放大攻擊運作原理

　SNMP 放大攻擊的核心在於利用 SNMP 的應用層回應特性(回傳大量 MIB 資料) 與 UDP 的無連線可偽造性，透過偽造來源 IP 讓大量第三方裝置把放大後的回應反射到受害者，從而以極小的請求帶寬產生巨量的攻擊流量。

其攻擊步驟如下。

Step 1｜準備反射器清單
攻擊者會開始掃描或使用已知清單，以尋找可利用的公開 SNMP 裝置，找出對外暴露且允許 SNMP 請求的裝置，如路由器、印表機、監控器或某些 IoT 裝置，特別是支援 getbulk 或能回傳大量 MIB 資料的 agent。

Step 2｜偽造來源 IP
攻擊者在發送請求時，會把 IP header 的來源地址，改為受害者的 IP。由於使用 UDP 協定無連線、無嚴格來源驗證的機制，裝置會照常回應偽造的來源。

Step 3｜發送小型 SNMP 查詢
攻擊者會開始發送一些小型 SNMP 查詢，如 get、get-next、getbulk，由於這些請求本身資料量很小，但 getbulk 等查詢卻可讓 agent 回傳大量條目或整個 MIB 分枝。

Step 4｜第三方 SNMP agent 回傳放大後的回應
agent 依偽造的來源(受害者) 發送回應；單台 agent 的回應可能就比請求大數十倍或更多，且部分設備甚至可達數百倍放大因子。

Step 5｜大量反射器同時回應導致受害者被淹沒
當數百、數千台反射器同時回應時，受害者就會在短時間內接收到巨量下行流量，造成網路飽和、服務不可用或設備資源耗盡。

SNMP 放大攻擊為何能成功？

SNMP 放大攻擊之所以有效，主要是因為 SNMP 的應用行為，能回傳大量資料(放大)，再加上 UDP 無連線且可被偽造來源 IP(反射)，使攻擊者能以極小的請求帶寬產生巨量流量。其關鍵原因如下。

• 高放大因子：
  某些查詢會回傳整段 MIB，回應遠大於請求，放大效果顯著。

• UDP 的無狀態性：
  SNMP 用 UDP 協定，agent 不驗證來源，容易接受偽造的請求並回應。

• 大量可被濫用的反射器：
  許多設備預設開啟 SNMP 或使用舊版/預設設定，在網路上可被掃描到並利用。

• 偽造來源易行：
  若上游 ISP 未落實出站封包過濾(egress filter/BCP38)，攻擊者可自由偽造來源 IP，放大與隱匿攻擊來源。
  ※出站封包過濾(egress filter / BCP38) 可阻止偽造來源 IP 封包發出，降低攻擊來源濫用網路。

SNMP 放大攻擊情境比喻

　我們用幾個簡單的生活例子來比喻 SNMP 放大攻擊 是怎樣的情境，讓讀者更容易理解。這兩個比喻都表現了 SNMP 放大攻擊的關鍵，也就是「小請求→大回應(放大)」，而且回應被送給別人(反射/ 偽造來源)，造成目標受害者被大量「東西」淹沒。

情境一：郵局自動回信箱

假設有成千上萬個「自動回信箱」，它們只要一收到簡短的明信片查詢，就會自動回寄一箱資料。

接著攻擊者把收信欄寫成受害者的地址(偽造來源)，並向這些「自動回信箱」寄出很小的明信片(小型 SNMP 請求)。結果導致短時間內大量裝箱資料(放大後的回應) 被送到受害者家門口，把門口堆滿，讓人出不了門。

對應關係就會是這樣：自動回信箱= 公開的 SNMP agent、明信片= 小型查詢(get/getbulk)、箱子= 放大後的回應、偽造地址 = IP spoofing。

情境二：餐廳大訂單誤送

攻擊者是一個惡作劇者，打電話到許多餐廳訂一大桌豪華大餐(getbulk/大量 MIB 欄位)，但他卻在訂單上把收貨地址寫成你家(受害者)。結果每間餐廳都把訂的那一大桌豪華大餐準時送到那個受害者的地址，導致你家一下子被送來幾十份、幾百份大餐，門口、樓道全被堵住，但你根本沒有點這些東西。

對應關係就是：餐廳= SNMP 裝置、電話訂餐= 發送查詢、豪華大餐= 大量回應、寫錯收件地址= 偽造來源 IP。

Skycloud 如何防禦 SNMP 放大攻擊

　SNMP 放大攻擊是透過 偽造受害者 IP 向大量對外暴露的 SNMP 裝置發送小型查詢，利用裝置回傳的巨大回應流量淹沒目標，結合了 放大 與 反射 的特性。因此，防護策略應該同時從 企業端 與 防護端 著手，才能有效降低風險並確保服務可用性。

企業端防護

企業端防護是客戶自身的防護，目標是減少自身設備被濫用為攻擊反射器，堵住攻擊源頭，降低自己設備成為攻擊跳板的風險。

• 關閉或限制公網 SNMP：不必要的裝置不要對外開放 UDP/161。

• 升級 SNMP 版本：啟用 SNMPv3，禁用 v1/v2c，增加驗證與加密。

• 變更預設 community：避免使用 public 或其他預設名稱。

• 限制存取來源：只允許內部管理網段、VPN 或指定管理 IP 存取 SNMP。

• 更新設備韌體：修補漏洞，避免被攻擊者利用。

• 出口過濾 /egress filter：阻止偽造來源 IP 封包發出(BCP38)，減少網段被濫用。

防護端防護

防護端防護指的就是雲端或安全服務提供業者，如 Skycloud，其目標是 保護受害者服務可用性，即便企業端無法完全防護，也能減少攻擊影響，保護服務不中斷，即使攻擊發生也能快速緩解。

• L3/L4 邊界過濾：提供 L3 網路層及 L4 傳輸層的防護，可減少異常或偽造封包影響服務。

• L7 應用層偵測：偵測異常 SNMP 請求模式，動態封鎖或限制。

• DDoS 流量清洗：導流惡意流量至清洗平台，保留合法連線。

• 監控與告警：即時分析封包與流量模式，快速發現攻擊行為。

• 事件應變與協作：啟動緊急封鎖、黑洞或 reroute 流量，並與 ISP 或企業協調防護。

總結

　SNMP 放大攻擊是一種結合 放大(Amplification) 與 反射(Reflection) 特性的 DDoS 攻擊，攻擊者透過 偽造受害者 IP 向大量對外暴露的 SNMP 裝置發送小型查詢，誘使這些裝置回傳比請求大得多的資料到受害者，造成服務中斷或網路資源耗盡。

　其核心成功原因在於 SNMP 裝置普遍對外開放、回應資料體積大，且來源 IP 可被偽造，使攻擊難以追蹤並迅速擴大規模，這也顯示了企業設備若未妥善管理，可能成為攻擊反射器的高風險目標。

　總結來說，SNMP 放大攻擊是典型的應用層 DDoS 威脅，但同時涉及傳輸層與網路層技術，因此唯有 企業端 與 防護端 協同防禦，才能有效降低風險，確保目標服務穩定運作。