然而最近一個月,濫用 WS-Discovery 協議發起的大規模 DDoS 攻擊已經愈演愈烈,頻度幾乎達到了一週一次。
作為一種多播協議,該協議原本用於在本地網路上“發現”透過特定協議或介面進行通訊的附近其它裝置。
(題圖 via ZDNet)
鑑於該協議透過 SOAP 訊息傳遞格式來支援裝置間的發現和通訊,並且使用了 UDP 資料包,因此有時也被稱作 SOAP-over-UDP 。
儘管普通人不太熟悉,但 WS-Discovery 已被 ONVIF 所採用。作為一個行業組織,ONVIF 致力於促進網路產品互操作性的標準化介面。
其成員包括 Axis、Sony、Bosch 等業內巨頭,為 ONVIF 的標準化奠定了基礎。作為即插即用互操作性的一部分,該組織從 2010 年中期開始,在標準中推薦用於裝置發現的 WS-Discovery 協議。
作為標準持續化工作的一部分,WS-Discovery 協議已被用到一系列產品上,涵蓋 IP 攝像頭、印表機、家用電器、DVR 等各種類別。
根據網際網路搜尋引擎 BinaryEdge 檢索結果,目前有近 63 萬臺基於 ONVIF WS-Discovery 發現協議的裝置線上,這讓它們處於極大的風險之中。
問題在於這是一個基於 UDP 的協議,意味著資料包目的地可被欺騙。攻擊者能夠偽造返回 IP 地址,將 UDP 資料包傳送到裝置的 WS-Discovery 服務端。
當裝置傳遞迴復時,就會將資料包傳送到被篡改的 IP 地址,使得攻擊者能夠在 WS-Discovery 裝置上反彈流量,將之瞄向所需的 DDoS 攻擊目標。
其次,WS-Discovery 的響應,會比初始輸入大許多倍。基於這項原理的 DDoS 攻擊,會對受害者造成極大的傷害。研究人員稱之為 DDoS 放大因子。
(2019 年 5 月資料,圖自:Tucker Preston)
ZDNet 指出,該協議已在世界各地的 DDoS 攻擊中被觀察到,放大倍數高達 300~500 。相比之下,其它基於 UDP 協議的攻擊,平均也只有 10 倍。
網路安全公司 ZeroBS GmbH 一直在追蹤本月發生的一起事件,慶幸的是,其發現超大倍數的 WS-Discovery DDoS 攻擊並非常態。
即便如此,2018 年末在 GitHub 上釋出的用於啟動 WS-Discovery DDoS 攻擊的概念驗證指令碼,還是聲稱可實現 70~150 的放大倍數。
(圖自:ZeroBS GmbH)
今年 5 月的時候,安全研究人員 Tucker Preston 首次公佈了基於濫用 WS-Discovery 協議的大規模攻擊事件。透過對 130 起事件的觀察,可知其中一些攻擊的規模超過了 350 Gbps 。
接下來幾個月的攻擊有所減少,但在 8 月份又再次升級。與第一波攻擊不同的是,這次的攻擊要小得多,很可能是不怎麼了解該協議的普通攻擊者所發起的。
放大係數不超過 10,最高只衝到 40 Gbps,且只有 5000 臺裝置(主要是 IP 攝像頭和印表機)被納入發起 WS-Discovery DDoS 攻擊的殭屍網路中。
然而最近一個月,濫用 WS-Discovery 協議發起的大規模 DDoS 攻擊已經愈演愈烈,頻度幾乎達到了一週一次。
作為一種多播協議,該協議原本用於在本地網路上“發現”透過特定協議或介面進行通訊的附近其它裝置。
(題圖 via ZDNet)
鑑於該協議透過 SOAP 訊息傳遞格式來支援裝置間的發現和通訊,並且使用了 UDP 資料包,因此有時也被稱作 SOAP-over-UDP 。
儘管普通人不太熟悉,但 WS-Discovery 已被 ONVIF 所採用。作為一個行業組織,ONVIF 致力於促進網路產品互操作性的標準化介面。
其成員包括 Axis、Sony、Bosch 等業內巨頭,為 ONVIF 的標準化奠定了基礎。作為即插即用互操作性的一部分,該組織從 2010 年中期開始,在標準中推薦用於裝置發現的 WS-Discovery 協議。
作為標準持續化工作的一部分,WS-Discovery 協議已被用到一系列產品上,涵蓋 IP 攝像頭、印表機、家用電器、DVR 等各種類別。
根據網際網路搜尋引擎 BinaryEdge 檢索結果,目前有近 63 萬臺基於 ONVIF WS-Discovery 發現協議的裝置線上,這讓它們處於極大的風險之中。
問題在於這是一個基於 UDP 的協議,意味著資料包目的地可被欺騙。攻擊者能夠偽造返回 IP 地址,將 UDP 資料包傳送到裝置的 WS-Discovery 服務端。
當裝置傳遞迴復時,就會將資料包傳送到被篡改的 IP 地址,使得攻擊者能夠在 WS-Discovery 裝置上反彈流量,將之瞄向所需的 DDoS 攻擊目標。
其次,WS-Discovery 的響應,會比初始輸入大許多倍。基於這項原理的 DDoS 攻擊,會對受害者造成極大的傷害。研究人員稱之為 DDoS 放大因子。
(2019 年 5 月資料,圖自:Tucker Preston)
ZDNet 指出,該協議已在世界各地的 DDoS 攻擊中被觀察到,放大倍數高達 300~500 。相比之下,其它基於 UDP 協議的攻擊,平均也只有 10 倍。
網路安全公司 ZeroBS GmbH 一直在追蹤本月發生的一起事件,慶幸的是,其發現超大倍數的 WS-Discovery DDoS 攻擊並非常態。
即便如此,2018 年末在 GitHub 上釋出的用於啟動 WS-Discovery DDoS 攻擊的概念驗證指令碼,還是聲稱可實現 70~150 的放大倍數。
(圖自:ZeroBS GmbH)
今年 5 月的時候,安全研究人員 Tucker Preston 首次公佈了基於濫用 WS-Discovery 協議的大規模攻擊事件。透過對 130 起事件的觀察,可知其中一些攻擊的規模超過了 350 Gbps 。
接下來幾個月的攻擊有所減少,但在 8 月份又再次升級。與第一波攻擊不同的是,這次的攻擊要小得多,很可能是不怎麼了解該協議的普通攻擊者所發起的。
放大係數不超過 10,最高只衝到 40 Gbps,且只有 5000 臺裝置(主要是 IP 攝像頭和印表機)被納入發起 WS-Discovery DDoS 攻擊的殭屍網路中。