安全研究人員警告WS-Discovery協議被被用於大規模DDoS攻擊
早在今年五月,外媒就已經報導過WS-Discovery協議被濫用於發起DDoS攻擊。為了防止被更多別有用心者利用,研究人員只能相對克制地不披露更多細節。然而最近一個月,濫用WS-Discovery協議發起的大規模DDoS攻擊已經愈演愈烈,頻度幾乎達到了一周一次。作為一種多播協議,該協議原本用於在本地網絡上“發現”通過特定協議或接口進行通信的附近其它設備。
(題圖via ZDNet)
鑑於該協議通過SOAP 消息傳遞格式來支持設備間的發現和通信,並且使用了UDP 數據包,因此有時也被稱作SOAP-over-UDP 。
儘管普通人不太熟悉,但WS-Discovery 已被ONVIF 所採用。作為一個行業組織,ONVIF 致力於促進網絡產品互操作性的標準化接口。
其成員包括Axis、Sony、Bosch 等業內巨頭,為ONVIF 的標準化奠定了基礎。作為即插即用互操作性的一部分,該組織從2010 年中期開始,在標準中推薦用於設備發現的WS-Discovery 協議。
作為標準持續化工作的一部分,WS-Discovery 協議已被用到一系列產品上,涵蓋IP 攝像頭、打印機、家用電器、DVR 等各種類別。
根據互聯網搜索引擎BinaryEdge 檢索結果,目前有近63 萬台基於ONVIF WS-Discovery 發現協議的設備在線,這讓它們處於極大的風險之中。
問題在於這是一個基於UDP 的協議,意味著數據包目的地可被欺騙。攻擊者能夠偽造返回IP 地址,將UDP 數據包發送到設備的WS-Discovery 服務端。
當設備傳遞回复時,就會將數據包發送到被篡改的IP 地址,使得攻擊者能夠在WS-Discovery 設備上反彈流量,將之瞄向所需的DDoS 攻擊目標。
其次,WS-Discovery 的響應,會比初始輸入大許多倍。基於這項原理的DDoS 攻擊,會對受害者造成極大的傷害。研究人員稱之為DDoS 放大因子。
2019 年5 月數據(圖自:Tucker Preston)
ZDNet 指出,該協議已在世界各地的DDoS 攻擊中被觀察到,放大倍數高達300~500 。相比之下,其它基於UDP 協議的攻擊,平均也只有10 倍。
網絡安全公司ZeroBS GmbH 一直在追踪本月發生的一起事件,慶幸的是,其發現超大倍數的WS-Discovery DDoS 攻擊並非常態。
即便如此,2018 年末在GitHub 上發布的用於啟動WS-Discovery DDoS 攻擊的概念驗證腳本,還是聲稱可實現70~150 的放大倍數。
(圖自:ZeroBS GmbH)
今年5 月的時候,安全研究人員Tucker Preston 首次公佈了基於濫用WS-Discovery 協議的大規模攻擊事件。通過對130 起事件的觀察,可知其中一些攻擊的規模超過了350 Gbps 。
接下來幾個月的攻擊有所減少,但在8 月份又再次升級。與第一波攻擊不同的是,這次的攻擊要小得多,很可能是不怎麼了解該協議的普通攻擊者所發起的。
放大係數不超過10,最高只衝到40 Gbps,且只有5000 台設備(主要是IP 攝像頭和打印機)被納入發起WS-Discovery DDoS 攻擊的殭屍網絡中。