WS-Discovery错误配置允许DDoS放大

数以千计的互联网连接设备(包括打印机,相机,DVR和其他IoT小工具)可用于放大DDoS(分布式拒绝服务)攻击。这些设备配置错误,无法侦听并响应WS-Discovery协议请求。 WS-发现(WSD) 是一种通信协议,用于自动发现网络内部的互联网连接设备。

包括WSD在内的大多数自动化服务发现和配置协议都是在本地网络上使用的。但是,由于实施方式不安全,许多设备将这些协议公开给了更广泛的互联网。这种暴露使攻击者可以将这些设备用于DDoS攻击。

根据一个 新报告 由Akamai撰写,不良行为者已经开始利用WSD作为放大DDoS攻击的技术。 Akamai表示,其游戏行业的客户受到WSD洪峰(35 Gbps)的打击。

当报告解释问题时, “Since UDP is a 无状态的 protocol, requests to the WSD service can be spoofed. This ultimately causes the impacted server, or service, to send responses to the intended victim, consuming large amounts of the target’的带宽。由实施不佳的物联网服务推动的攻击是一种非常常见的DDoS类型,我们’之前,他们曾在大型攻击中发挥作用(包括2016年对Dyn的攻击)。过去也观察到其他常见的反射式DDoS类型,例如由于内存缓存而在2018年发起的1.3Tbps攻击。”

研究人员引用的2018年DDoS攻击使用当时一种晦涩的方法发送 响应是10,000倍 而不是最初的查询。从理论上讲,这些响应可能是原始请求大小的51,000倍。在那种黑客中,放大源是为数据库缓存系统memcached配置的服务器错误。

DDoS放大使用受黑客控制的计算机将查询发送到其他设备。通过将数据包的IP地址设置为目标的IP地址,查询的服务器会将响应发送给受害者,而不是攻击者的设备。

根据 技术工作室WSD,memcached,NTP和其他广泛使用的放大向量之间的通用线程是用户数据报协议。 UDP流量通常被描述为“stateless” and “connectionless”因为所有参数都在发送时包含在每个数据包中。这使得UDP流量容易受到伪造品的误解,从而无法正确识别发送数据的一方。放大攻击抓住了这一弱点。攻击者向服务器或设备发送大量查询,这些查询用DDoS目标的IP地址替换其真实的原始位置。然后,设备或服务器向目标发送相等数量的答复,该答复的数量比刚收到的欺骗请求大得多。”

为了减轻某些风险,组织可以在其网关设备和防火墙中阻止UDP源端口3702。但是,此流量仍可能导致网络拥塞,这意味着要完全缓解,可能需要高级访问控制列表。

标题图片 通过  Infosec图片 

分享是关怀!

评论已关闭,但 引用和pingbacks are open.