WS-Discovery 可放大 DDoS 攻擊15,000%
責編:gltian |2019-09-23 14:27:04利用 WS-Discovery 協(xié)議的新型 DDoS 攻擊帶來巨大投資回報率。
阻止 DDoS 攻擊的工作中最為棘手的,就是黑客總在開發(fā)該類攻擊的新手法。以最近某游戲公司遭遇的 DDoS 攻擊為例,攻擊者采用放大技術(shù)將相對較小的攻擊轉(zhuǎn)化成數(shù)字颶風席卷了目標公司。
9 月18 日,阿卡邁 DDoS 緩解服務(wù) Prolexic 的研究人員公布了今年 8 月底某客戶遭遇的 35 Gbps 攻擊細節(jié)。相比史上最大 DDoS 攻擊的 1 Tbps,該攻擊看起來似乎不太起眼。但攻擊者采用了相對較新的技術(shù),可以將攻擊放大 15,000%。
該新型攻擊利用了 Web 服務(wù)動態(tài)發(fā)現(xiàn) (WS-Discovery) 協(xié)議實現(xiàn)中的漏洞。WS-Discovery 使同一網(wǎng)絡(luò)上的設(shè)備能夠相互通信,并可引導網(wǎng)絡(luò)中所有設(shè)備攜自身信息 ping 某個位置或地址。該協(xié)議本是在局域網(wǎng)上內(nèi)部使用的,并不適用于公開互聯(lián)網(wǎng)這種喧囂混亂的地方。但阿卡邁估測,暴露在互聯(lián)網(wǎng)上的約 80 萬臺設(shè)備可以接收 WS-Discovery 指令。也就是說,發(fā)送一條類似點名請求的 “探測” 指令,你就能產(chǎn)生數(shù)據(jù)泉涌并將巨大的數(shù)據(jù)流指向目標。
網(wǎng)上有大量脆弱設(shè)備坐等濫用。
——Chad Seaman,阿卡邁
攻擊者可以濫用 WS-Discovery 向監(jiān)控攝像頭和數(shù)字視頻錄像機等脆弱設(shè)備發(fā)送精心編制的惡意協(xié)議請求。由于 WS-Discovery 建立在用戶數(shù)據(jù)報協(xié)議 (UDP) 基礎(chǔ)上,探測數(shù)據(jù)包可冒充其 IP 地址,讓請求看起來出自目標所處網(wǎng)絡(luò)。這就是種偷梁換柱的手法,收到指令的設(shè)備會向 DDoS 攻擊目標而不是攻擊者發(fā)去他們不想要的回復包。
阿卡邁安全情報響應(yīng)團隊高級工程師 Chad Seaman 稱:
這就像是坐你左邊的人從你背后扇了你右邊某人的頭一巴掌,被扇的人轉(zhuǎn)頭盯著你,你也看著他,然后他給了你一拳,因為他認為你是剛剛扇他頭的人。這是典型的反射攻擊。網(wǎng)絡(luò)上有大量脆弱設(shè)備坐等濫用。
制造商此前在可能暴露于公開互聯(lián)網(wǎng)上的設(shè)備中不加防護地實現(xiàn) WS-Discovery,導致如今網(wǎng)上充斥大量可被濫用來產(chǎn)生 DDoS 攻擊的設(shè)備。
安全研究員 Troy Mursch 表示:濫用 WS-Discovery 協(xié)議的 DDoS 攻擊增加了。最明顯的就是可被濫用的脆弱主機數(shù)量,還有可發(fā)動致癱級攻擊的放大因素。
UDP 造成的地址假冒讓防御者很難看清具體反射 DDoS 攻擊中到底哪些指令是攻擊者發(fā)送的。所以,阿卡邁研究人員也不知道黑客用來觸發(fā)該游戲公司客戶攻擊的定制數(shù)據(jù)包里到底有些什么。但在自己的研究中,阿卡邁團隊以越來越小的漏洞利用產(chǎn)生了越來越大規(guī)模的攻擊。犯罪黑客也不會落后太多。阿卡邁研究人員還指出,如果僵尸網(wǎng)絡(luò)操作者開始自動化 WS-Discovery DDoS 攻擊產(chǎn)生過程,阻止攻擊的障礙還會更高。而且,Mursch 已經(jīng)看到了這種趨勢顯現(xiàn)的證據(jù)。
阿卡邁 Prolexic 擊退了該 35 Gbps 攻擊,客戶并在攻擊中未經(jīng)歷任何宕機體驗。但研究人員表示,安全行業(yè)應(yīng)為將來更大型的攻擊做好準備。正如臭名昭著的 Mirai 僵尸網(wǎng)絡(luò)強征脆弱物聯(lián)網(wǎng)設(shè)備加入僵尸主機大軍,已經(jīng)暴露在公網(wǎng)上的大量 WS-Discovery 設(shè)備也將很難修復。
而且,盡管視頻游戲平臺已是 DDoS 攻擊常見目標之一,卻仍有令人意外的技術(shù)將防御者打個措手不及,導致宕機掉線。比如說,9 月初時暴風公司的《魔獸世界:經(jīng)典舊世》就因 DDoS 攻擊而偶發(fā)掉線。而 2016 年令 Dyn 和 OVH 等互聯(lián)網(wǎng)巨頭無法訪問的大規(guī)模 DDoS 攻擊,最初也只是針對《我的世界》而已。
游戲業(yè)是最常遭受攻擊的行業(yè)之一。我們有一部分客戶是游戲公司,常能見到各種不同的攻擊方法和試探性攻擊。所以,他們成為最先遭遇新攻擊方法的目標毫不令人意外。
但是,對 WS-Discovery DDoS 攻擊的擔憂,卻是游戲業(yè)絕不會是此類攻擊的最終目標。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧