本周三，Akamai的Jonathan Respeto在博客上发表了一些发现。Akamai的一个团队正在检查一个新的DDoS向量，该向量利用了一种称为WS-Discovery（WSD）的UDP放大技术。现在的情况是，“多个威胁参与者”正在利用这种ddos方法来增强攻击。

对于那些不太熟悉发现行话的人，udp代表用户数据报协议。TechTarget告诉读者，它是传输控制协议的另一种通信协议，用于在Internet上的应用程序之间建立低延迟和允许丢失的连接。

周三，respeto在博客中写道，“由于udp是一个无状态协议，对wsd服务的请求可能会被欺骗。”

wsd代表web服务动态发现。zdnet中的catalin cimpanu将wsd描述为“一种多播协议，可在本地网络上用于‘发现’通过特定协议或接口进行通信的其他附近设备。”

好吧，下面是wsd在本例中扮演的丑陋角色，这是akamai的respeto发现的。

他提供了它是如何产生和现在的麻烦的历史：

wsd作为默认功能集和服务从windows vista开始提供。从2008年开始，它就包含在惠普打印机中。至于Acamai团队在互联网上发现的不正确曝光和响应WSD的设备，“大多数都是由闭路电视摄像机和DVR（数字视频录像机）系统组成，这一趋势在目前并不奇怪。”

TechRadar的Anthony Spadafora说，攻击者滥用WSD协议的技术“被广泛的网络设备用来自动连接。wsd协议允许设备通过端口3702发送用户数据报协议（udp）数据包，以描述设备的功能和要求。”

是什么首先让AKAMAI走上了毁灭之路？Respeto说“我们的一个客户受到了攻击。这次针对游戏行业的攻击在峰值带宽时达到了35/Gbps。“该团队对wsd协议的实现做了更多的研究：

respeto说：“sirt能够实现高达原始字节大小15300%的放大率。这使得wsd在ddos攻击排行榜上排名第四，反映的放大系数最高。”

来自服务提供商公司DDoS Guard：

“对udp协议的某些命令会导致比初始请求大得多的响应。以前，攻击者受到直接发送到目标的数据包的线性数量的限制，以执行DoS攻击；现在，单个数据包可以生成原始带宽的10到100倍。这被称为攻击的放大。”

称为带宽放大因子的东西可以测量放大攻击的潜在影响，并且“计算为放大器发送给应答查询的udp有效负载字节数，与查询的udp有效负载字节数相比。”

在这里几乎没有理由说“那又怎样”。斯帕达福拉说，这种放大“使wsd成为黑客武器库中放大ddos攻击的最强大技术之一，这种攻击可能会对企业和消费者造成损害。”

这一次，有一个值得关注的问题是，这完全取决于可用设备的池。

Spadafora:“……黑客使用的新技术仍然令人担忧，因为可用设备池超过了80.2万台。”Lily Hay Newman在Wired中说：“据AKAMAI估计，在Internet上公开的多达80万台设备可以接收WS-Discovery命令。这意味着，通过发送“探测”（一种点名请求），您可以在目标上生成和定向大量数据。”

对黑客有什么好处？他们从中得到了什么？罗伯特哈克特周四在《财富》杂志上对答案进行了尝试。他说，在“分布式拒绝服务”攻击中，将目标下线“有时只是为了开玩笑，有时直到受害者支付赎金”。

缓解？

respeto说，“只要在udp源端口3702上放置块，就可以防止通信量攻击您的服务器。但这仅仅是问题的一半，因为流量仍然会阻塞路由器上的带宽。这就是您的DDoS缓解提供商将加入并添加所需的ACL以阻止攻击流量的地方。”