WS-Discovery 可放大 DDoS 攻击15,000%
利用 WS-Discovery 协议的新型 DDoS 攻击带来巨大投资回报率。
阻止 DDoS 攻击的工作中最为棘手的,就是黑客总在开发该类攻击的新手法。以最近某游戏公司遭遇的 DDoS 攻击为例,攻击者采用放大技术将相对较小的攻击转化成数字飓风席卷了目标公司。
9 月18 日,阿卡迈 DDoS 缓解服务 Prolexic 的研究人员公布了今年 8 月底某客户遭遇的 35 Gbps 攻击细节。相比史上最大 DDoS 攻击的 1 Tbps,该攻击看起来似乎不太起眼。但攻击者采用了相对较新的技术,可以将攻击放大 15,000%。
该新型攻击利用了 Web 服务动态发现 (WS-Discovery) 协议实现中的漏洞。WS-Discovery 使同一网络上的设备能够相互通信,并可引导网络中所有设备携自身信息 ping 某个位置或地址。该协议本是在局域网上内部使用的,并不适用于公开互联网这种喧嚣混乱的地方。但阿卡迈估测,暴露在互联网上的约 80 万台设备可以接收 WS-Discovery 指令。也就是说,发送一条类似点名请求的 “探测” 指令,你就能产生数据泉涌并将巨大的数据流指向目标。
——Chad Seaman,阿卡迈
攻击者可以滥用 WS-Discovery 向监控摄像头和数字视频录像机等脆弱设备发送精心编制的恶意协议请求。由于 WS-Discovery 建立在用户数据报协议 (UDP) 基础上,探测数据包可冒充其 IP 地址,让请求看起来出自目标所处网络。这就是种偷梁换柱的手法,收到指令的设备会向 DDoS 攻击目标而不是攻击者发去他们不想要的回复包。
阿卡迈安全情报响应团队高级工程师 Chad Seaman 称:
制造商此前在可能暴露于公开互联网上的设备中不加防护地实现 WS-Discovery,导致如今网上充斥大量可被滥用来产生 DDoS 攻击的设备。
安全研究员 Troy Mursch 表示:滥用 WS-Discovery 协议的 DDoS 攻击增加了。最明显的就是可被滥用的脆弱主机数量,还有可发动致瘫级攻击的放大因素。
UDP 造成的地址假冒让防御者很难看清具体反射 DDoS 攻击中到底哪些指令是攻击者发送的。所以,阿卡迈研究人员也不知道黑客用来触发该游戏公司客户攻击的定制数据包里到底有些什么。但在自己的研究中,阿卡迈团队以越来越小的漏洞利用产生了越来越大规模的攻击。犯罪黑客也不会落后太多。阿卡迈研究人员还指出,如果僵尸网络操作者开始自动化 WS-Discovery DDoS 攻击产生过程,阻止攻击的障碍还会更高。而且,Mursch 已经看到了这种趋势显现的证据。
阿卡迈 Prolexic 击退了该 35 Gbps 攻击,客户并在攻击中未经历任何宕机体验。但研究人员表示,安全行业应为将来更大型的攻击做好准备。正如臭名昭著的 Mirai 僵尸网络强征脆弱物联网设备加入僵尸主机大军,已经暴露在公网上的大量 WS-Discovery 设备也将很难修复。
而且,尽管视频游戏平台已是 DDoS 攻击常见目标之一,却仍有令人意外的技术将防御者打个措手不及,导致宕机掉线。比如说,9 月初时暴风公司的《魔兽世界:经典旧世》就因 DDoS 攻击而偶发掉线。而 2016 年令 Dyn 和 OVH 等互联网巨头无法访问的大规模 DDoS 攻击,最初也只是针对《我的世界》而已。
但是,对 WS-Discovery DDoS 攻击的担忧,却是游戏业绝不会是此类攻击的最终目标。