本周三,Akamai的Jonathan Respeto在博客上发表了一些发现。Akamai的一个团队正在检查一个新的DDoS向量,该向量利用了一种称为WS-Discovery(WSD)的UDP放大技术。现在的情况是,“多个威胁参与者”正在利用这种ddos方法来增强攻击。
对于那些不太熟悉发现行话的人,udp代表用户数据报协议。TechTarget告诉读者,它是传输控制协议的另一种通信协议,用于在Internet上的应用程序之间建立低延迟和允许丢失的连接。
周三,respeto在博客中写道,“由于udp是一个无状态协议,对wsd服务的请求可能会被欺骗。”
wsd代表web服务动态发现。zdnet中的catalin cimpanu将wsd描述为“一种多播协议,可在本地网络上用于‘发现’通过特定协议或接口进行通信的其他附近设备。”
好吧,下面是wsd在本例中扮演的丑陋角色,这是akamai的respeto发现的。
他提供了它是如何产生和现在的麻烦的历史:
wsd作为默认功能集和服务从windows vista开始提供。从2008年开始,它就包含在惠普打印机中。至于Acamai团队在互联网上发现的不正确曝光和响应WSD的设备,“大多数都是由闭路电视摄像机和DVR(数字视频录像机)系统组成,这一趋势在目前并不奇怪。”
TechRadar的Anthony Spadafora说,攻击者滥用WSD协议的技术“被广泛的网络设备用来自动连接。wsd协议允许设备通过端口3702发送用户数据报协议(udp)数据包,以描述设备的功能和要求。”
是什么首先让AKAMAI走上了毁灭之路?Respeto说“我们的一个客户受到了攻击。这次针对游戏行业的攻击在峰值带宽时达到了35/Gbps。“该团队对wsd协议的实现做了更多的研究:
respeto说:“sirt能够实现高达原始字节大小15300%的放大率。这使得wsd在ddos攻击排行榜上排名第四,反映的放大系数最高。”
来自服务提供商公司DDoS Guard:
“对udp协议的某些命令会导致比初始请求大得多的响应。以前,攻击者受到直接发送到目标的数据包的线性数量的限制,以执行DoS攻击;现在,单个数据包可以生成原始带宽的10到100倍。这被称为攻击的放大。”
称为带宽放大因子的东西可以测量放大攻击的潜在影响,并且“计算为放大器发送给应答查询的udp有效负载字节数,与查询的udp有效负载字节数相比。”
在这里几乎没有理由说“那又怎样”。斯帕达福拉说,这种放大“使wsd成为黑客武器库中放大ddos攻击的最强大技术之一,这种攻击可能会对企业和消费者造成损害。”
这一次,有一个值得关注的问题是,这完全取决于可用设备的池。
Spadafora:“……黑客使用的新技术仍然令人担忧,因为可用设备池超过了80.2万台。”Lily Hay Newman在Wired中说:“据AKAMAI估计,在Internet上公开的多达80万台设备可以接收WS-Discovery命令。这意味着,通过发送“探测”(一种点名请求),您可以在目标上生成和定向大量数据。”
对黑客有什么好处?他们从中得到了什么?罗伯特哈克特周四在《财富》杂志上对答案进行了尝试。他说,在“分布式拒绝服务”攻击中,将目标下线“有时只是为了开玩笑,有时直到受害者支付赎金”。
缓解?
respeto说,“只要在udp源端口3702上放置块,就可以防止通信量攻击您的服务器。但这仅仅是问题的一半,因为流量仍然会阻塞路由器上的带宽。这就是您的DDoS缓解提供商将加入并添加所需的ACL以阻止攻击流量的地方。”
acl代表访问控制列表。ITT系统公司说:“ACL是网络的数据包过滤器。”它们可以限制、允许或拒绝对安全至关重要的通信。ACL允许您控制单个或一组IP地址或不同协议(如TCP、UDP、ICMP等)的数据包流。”
(转载:www.idcew.com)