转自CSO,作者Lucian Constantin,蓝色摩卡译
成千上万的设备可能被滥用来放大分布式拒绝服务攻击(distributed denial-of- service, DDoS),因为它们被错误地配置为侦听和响应internet上的WS-Discovery协议请求。
Web服务动态发现(WS-Discovery或WSD)是一种基于udp的通信协议,用于在网络内部自动发现基于Web的服务。十多年来,打印机、相机和其他类型的设备都在使用它,包括从Windows Vista开始的各种Windows功能。
大多数自动服务发现和配置协议,包括通用即插即用(UPnP)、简单服务发现协议(SSDP)、简单网络管理协议(SNMP)和WSD,都是为在本地网络上使用而设计的。
然而,许多设备都带有不安全的实现,这些实现将这些协议公开给internet,允许攻击者在DDoS反射和放大攻击中滥用这些协议。
什么是DDoS反射?
与TCP不同,UDP不执行任何IP源验证,这使得大多数基于UDP的协议在默认情况下容易受到IP欺骗。反过来,这允许攻击者通过通过响应此类协议的机器“反映”DDoS流量源,从而隐藏DDoS流量源。
DDoS反射的工作方式是这样的:攻击者通过基于udp的协议从他们控制的机器上向其他服务器发送查询,并将包内的源IP地址设置为目标攻击者的IP地址。这将导致被查询的服务器将其响应发送给受害者,而不是返回到攻击者的计算机。
当生成的响应大于原始请求时,DDoS反射尤其强大,因为它允许攻击者放大可用带宽。例如,控制超过10台机器的攻击者可以向100台设备发送请求,这些设备具有暴露在internet上的基于udp的脆弱服务。
反过来,由于IP欺骗,这些设备向受害者发送大量响应,因此受害者从100台中立机器接收到大量恶意数据包,而不是攻击者控制的10台机器。
这是一个严重的威胁
在今天发表的一份新报告中,Akamai的研究人员警告说,攻击者已经开始滥用WSD作为DDoS放大技术,并且正在加大攻击力度。
这个案例中,一位来自游戏行业的Akamai客户受到了WSD洪水的冲击,其峰值为35 Gbps。
Akamai的研究人员在报告中说:“对WSD协议在互联网设备上实现的进一步研究引起了严重关注,因为SIRT(安全情报响应小组)能够实现高达15300%的原始字节大小的放大率。”
“这令水务署在DDoS攻击排行榜上名列第四,反映放大系数最高。”他们还发现了攻击者显著降低初始请求有效负载以触发具有巨大放大因子的响应的方法。
例如,一个标准的WSD探针是783字节,但是Akamai的研究人员设法将其减少到170字节,并且仍然触发一个有效的3445字节的WSD响应。
他们没有就此打住。事实证明,攻击者发送会触发WSD错误的畸形有效载荷更有利可图。这些错误响应不一样大有效的探针反应,但也有方法来扩大请求触发他们明显小于有效探测。
29日,甚至18个字节为一些脆弱的实现中发现的约2151设备从一个特定的制造商。
虽然可以被18字节攻击滥用的设备池非常小,但是暴露在internet上的设备池要大得多,这些设备可以响应29字节的有效负载。
在这种情况下,具有100 mbps连接的攻击者每秒可以发送42万个请求,29字节负载触发2599字节响应,并以8900%的放大率生成8.73 Gbits的攻击。Akamai的研究人员警告说:“获得10个节点,这可能会变成87Gbps的攻击。”
即使使用有效的探针和较低的放大系数,WSD技术仍然构成严重威胁,因为Akamai在互联网上识别出802,115个设备,它们对WSD探针的响应中值放大系数为193%。许多设备是闭路电视摄像机和数码录像机。
减轻水务署的技术负担
组织可以在网关设备和防火墙中阻止UDP源端口3702,以防止未经请求的WSD流量到达其服务器。然而,流量仍然会阻塞路由器上可用的带宽。
因此,要想完全缓解这种情况,就必须强制执行访问控制列表(acl),以阻止来自暴露于水务署的已知设备的流量。
DDoS缓解提供者可能会维护这样的列表,就像他们对具有易受攻击的DNS、NTP、SNMP、UPnP和其他服务的设备所做的那样,这些服务可能被滥用于DDoS反射和放大。
阿卡迈的研究人员说:“我们一次又一次地遇到同样的问题。”“水务署的设计及目标是成为一项局域科技。它从来没有打算生活在互联网上。
由于制造商推出的硬件(不正确地)实现了这项服务,而用户在互联网上部署了这种硬件,他们无意中引入了一种新的DDoS反射向量,这种向量已经开始被滥用。”
他们说:“我们现在能做的唯一一件事就是等待那些使用寿命为10至15年的设备消亡,并希望它们能被更安全的版本取代。”