WS-Discovery 可放大 DDoS 攻擊15,000%
責編:gltian |2019-09-23 14:27:04利用 WS-Discovery 協議的新型 DDoS 攻擊帶來巨大投資回報率。
阻止 DDoS 攻擊的工作中最為棘手的,就是黑客總在開發該類攻擊的新手法。以最近某游戲公司遭遇的 DDoS 攻擊為例,攻擊者采用放大技術將相對較小的攻擊轉化成數字颶風席卷了目標公司。
9 月18 日,阿卡邁 DDoS 緩解服務 Prolexic 的研究人員公布了今年 8 月底某客戶遭遇的 35 Gbps 攻擊細節。相比史上最大 DDoS 攻擊的 1 Tbps,該攻擊看起來似乎不太起眼。但攻擊者采用了相對較新的技術,可以將攻擊放大 15,000%。
該新型攻擊利用了 Web 服務動態發現 (WS-Discovery) 協議實現中的漏洞。WS-Discovery 使同一網絡上的設備能夠相互通信,并可引導網絡中所有設備攜自身信息 ping 某個位置或地址。該協議本是在局域網上內部使用的,并不適用于公開互聯網這種喧囂混亂的地方。但阿卡邁估測,暴露在互聯網上的約 80 萬臺設備可以接收 WS-Discovery 指令。也就是說,發送一條類似點名請求的 “探測” 指令,你就能產生數據泉涌并將巨大的數據流指向目標。
網上有大量脆弱設備坐等濫用。
——Chad Seaman,阿卡邁
攻擊者可以濫用 WS-Discovery 向監控攝像頭和數字視頻錄像機等脆弱設備發送精心編制的惡意協議請求。由于 WS-Discovery 建立在用戶數據報協議 (UDP) 基礎上,探測數據包可冒充其 IP 地址,讓請求看起來出自目標所處網絡。這就是種偷梁換柱的手法,收到指令的設備會向 DDoS 攻擊目標而不是攻擊者發去他們不想要的回復包。
阿卡邁安全情報響應團隊高級工程師 Chad Seaman 稱:
這就像是坐你左邊的人從你背后扇了你右邊某人的頭一巴掌,被扇的人轉頭盯著你,你也看著他,然后他給了你一拳,因為他認為你是剛剛扇他頭的人。這是典型的反射攻擊。網絡上有大量脆弱設備坐等濫用。
制造商此前在可能暴露于公開互聯網上的設備中不加防護地實現 WS-Discovery,導致如今網上充斥大量可被濫用來產生 DDoS 攻擊的設備。
安全研究員 Troy Mursch 表示:濫用 WS-Discovery 協議的 DDoS 攻擊增加了。最明顯的就是可被濫用的脆弱主機數量,還有可發動致癱級攻擊的放大因素。
UDP 造成的地址假冒讓防御者很難看清具體反射 DDoS 攻擊中到底哪些指令是攻擊者發送的。所以,阿卡邁研究人員也不知道黑客用來觸發該游戲公司客戶攻擊的定制數據包里到底有些什么。但在自己的研究中,阿卡邁團隊以越來越小的漏洞利用產生了越來越大規模的攻擊。犯罪黑客也不會落后太多。阿卡邁研究人員還指出,如果僵尸網絡操作者開始自動化 WS-Discovery DDoS 攻擊產生過程,阻止攻擊的障礙還會更高。而且,Mursch 已經看到了這種趨勢顯現的證據。
阿卡邁 Prolexic 擊退了該 35 Gbps 攻擊,客戶并在攻擊中未經歷任何宕機體驗。但研究人員表示,安全行業應為將來更大型的攻擊做好準備。正如臭名昭著的 Mirai 僵尸網絡強征脆弱物聯網設備加入僵尸主機大軍,已經暴露在公網上的大量 WS-Discovery 設備也將很難修復。
而且,盡管視頻游戲平臺已是 DDoS 攻擊常見目標之一,卻仍有令人意外的技術將防御者打個措手不及,導致宕機掉線。比如說,9 月初時暴風公司的《魔獸世界:經典舊世》就因 DDoS 攻擊而偶發掉線。而 2016 年令 Dyn 和 OVH 等互聯網巨頭無法訪問的大規模 DDoS 攻擊,最初也只是針對《我的世界》而已。
游戲業是最常遭受攻擊的行業之一。我們有一部分客戶是游戲公司,常能見到各種不同的攻擊方法和試探性攻擊。所以,他們成為最先遭遇新攻擊方法的目標毫不令人意外。
但是,對 WS-Discovery DDoS 攻擊的擔憂,卻是游戲業絕不會是此類攻擊的最終目標。