安全研究人员正在发出关于Web服务动态发现(WS-DD,WSD或WS-Discovery)协议的警报,他们说这些协议可能被滥用以发动相当大规模的DDoS攻击。
FebHost首先得知该协议在5月份被用于发起DDoS攻击,但我们决定不发布任何有关它的内容,以避免对已经成熟的滥用协议进行不必要的关注,但仍然在雷达之下飞行。
然而,在最近一个月,多个威胁组已经开始滥用该协议,并且基于WS-Discovery的DDoS攻击现在已经成为每周一次。
什么是WS-DISCOVERY
WS-Discovery是一种多播协议,可以在本地网络上用于“发现”通过特定协议或接口进行通信的其他附近设备。
最值得注意的是,该协议用于通过SOAP消息传递格式支持设备间发现和通信,使用UDP数据包 - 因此它有时被称为SOAP-over-UDP。
WS-Discovery不是一种常见或众所周知的协议,但它已被ONVIF采用,ONVIF是一个行业组织,致力于促进网络产品互操作性的标准化接口。
ONVIF成员包括Axis,Sony,Bosch和其他人,他们使用ONVIF标准作为其产品的基础。自2010年中期以来,该组织的标准推荐了用于设备发现的WS-Discovery协议,作为即插即用互操作性的一部分[ 第9页 ]。
作为这种持续标准化工作的一部分,该协议使其成为一系列产品,包括从IP摄像机到打印机,从家用电器到DVR的任何产品。目前,根据互联网搜索引擎BinaryEdge,现在有近630,000个基于ONVIF的设备支持WS-Discovery协议,并且已经成熟,可以滥用。
WS-DISCOVERY DDOS攻击可以达到大规模输出
WS-Discovery协议如此理想的DDoS攻击有多种原因。
首先,它是一个基于UDP的协议,这意味着数据包目的地可以被欺骗。攻击者可以使用伪造的返回IP地址将UDP数据包发送到设备的WS-Discovery服务。当设备发回回复时,它会将其发送到伪造的IP地址,允许攻击者在WS-Discovery设备上反弹流量,并将其瞄准所需的DDoS攻击目标。
其次,WS-Discovery响应比初始输入大许多倍。这允许攻击者将初始数据包发送到WS-Discover设备,该设备会在初始大小的多倍时将响应反弹给DDoS攻击受害者。
这就是安全研究人员称之为DDoS放大因子,这使得攻击者可以通过放大易受攻击设备上的垃圾流量来访问有限的资源,从而发起大规模的DDoS攻击。
在WS-Discovery的情况下,该协议已在现实世界的DDoS攻击中被观察到,放大因子高达300甚至500.这是一个巨大的放大因子,考虑到大多数其他UDP协议具有类似的因素。平均多达10个。
好消息是,很少有WS-Discovery DDoS攻击,放大因子为300或500,这似乎是奇怪的,而不是常态。
ZeroBS GmbH是一家网络安全公司,该公司一直在跟踪本月发生的最近一波WS-Discovery DDoS攻击,一个更常见的放大因素是10个正常的放大因素。
尽管如此,2018年末在GitHub上发布的用于启动WS-Discovery DDoS攻击的概念验证脚本声称它可以实现70到150个放大因子[ 由于显而易见的原因,FebHost将不会链接到脚本],所以有仍然存在一个危险,即一个复杂的威胁行动者最终将该协议充分发挥其潜力。
过去的WS-DISCOVERY DDOS攻击
安全研究员塔克普雷斯顿于5月初首次报道了首次大规模滥用WS-Discovery协议的攻击。
该研究人员告诉FebHost他当时观察到130多次DDoS攻击,其中一些攻击规模超过350 Gbps。这些攻击后来被Netscout在上个月发布的一份报告中证实。
ZeroBS 今天告诉FebHost,接下来几个月的攻击有所减少,但是他们在8月再次升级。
与WS-Discovery攻击的第一波不同,这些攻击要小得多,并且很可能是由那些不完全了解协议能力的威胁行为者执行的,或者他们没有技术手段充分利用它。 。
ZeroBS表示,后者的这些攻击最多只能达到40 Gbps,放大系数不超过10,并且只有5,000台设备(主要是IP摄像机和打印机)被引入发动这些攻击的僵尸网络中。
目前,WS-Discovery DDoS攻击还没有达到每天发生的阶段,也没有充分利用它们,许多攻击仍然只使用在线提供的WS-Discovery设备的一小部分,并且只能实现小放大因子。
然而,当前在因特网上暴露WS-Discovery端口3702的大量设备将使该协议在未来几个月中成为僵尸网络运营商的最爱。
互联网服务提供商仍有时间在其网络边界部署保护措施,以阻止来自互联网的流量,该流量针对其网络内设备上的3702端口。
像这样的简单解决方案将有助于防止僵尸网络滥用这些设备以应对未来的攻击,但是,正如我们过去所看到的,部署此类措施通常需要几个月的时间,并且总会有少数ISP无法采取行动并使设备暴露在互联网上,可以促进未来的DDoS攻击。