FBI警告提防新的DDoS攻击途径:CoAP、WS-DD、ARMS和Jenkins 但中国人去年就已经研究透了

FBI认为设备供应商不会禁用这些协议,为此提醒公司企业采取预防性和保护性的措施。
 
美国联邦调查局(FBI)上周发出警报,声称发现几种新的网络协议被不法分子用来发动大规模的分布式拒绝服务(DDoS)攻击。
警报列出三种网络协议和一款Web应用程序是刚发现的DDoS攻击途径。这包括CoAP(受约束的应用协议)、WS-DD(Web服务动态发现)和ARMS(Apple远程管理服务),以及基于Web的Jenkins自动化软件。
FBI根据IT外媒ZDNet之前的报道声称,这四条攻击途径中的三条(CoAP、WS-DD和ARMS)已在实际环境下被人滥用,以发动大规模DDoS攻击。
COAP
2018年12月,网上不法分子开始滥用受约束的应用协议(CoAP)的多播和命令传输功能,发动DDoS反射攻击和放大攻击,放大倍数为34。截至2019年1月,绝大多数可通过互联网访问的CoAP设备都部署在中国,使用移动对等网络。
WS-DD
2019年5月和8月,网上不法分子利用Web服务动态发现(WS-DD)协议实施了两波攻击,前后共有130多起DDoS攻击,其中一些攻击的规模达到了每秒350吉比特(350 Gbps)以上。据另外媒体报告,当年晚些时候,几名安全研究人员报告,网上不法分子使用非标准协议和配置不当的物联网设备以放大DDoS攻击的现象有所增加。物联网设备之所以成为颇 有吸引力的目标,是由于它们使用WS-DD协议自动检测附近新的联网设备。此外,WS-DD使用UDP来进行操作,这使不法分子得以欺骗受害者的IP地址,并导致受害者被来自附近物联网设备的大量数据所淹没。截至2019年8月,有630000个联网的物联网设备启用了WS-DD协议。
ARMS
2019年10月,网上不法分子利用Apple远程管理服务(ARMS)即Apple远程桌面(ARD)功能的一部分,实施了DDoS放大攻击。ARD启用后,ARMS服务开始在端口3283上侦听传输到远程Apple设备的入站命令,攻击者进而可以发动放大倍数为35.5的DDoS放大攻击。ARD主要用于管理许多大学和企业使用的大批Apple Mac。
Jenkins
2020年2月,英国安全研究人员发现了Jenkins服务器的内置网络发现协议中的一个漏洞,这种免费开源自动化服务器用于支持软件开发流程,网上不法分子可利用其漏洞,实施DDoS放大攻击。研究人员估计,网上攻击者可以利用易受攻击的Jenkins服务器针对各行各业目标受害者的网上基础架构,将DDoS攻击流量放大100倍。
FBI官员认为,这些新的DDoS威胁在可预见的未来会继续被利用,造成停机和破坏。
发出警报的目的是提醒美国公司注意迫在眉睫的危险,以便它们可以添置DDoS缓解系统,并与互联网服务提供商积极合作,迅速应对利用这些新途径的任何攻击。
FBI表示,由于这些刚发现的DDoS途径是对相关设备(物联网设备、智能手机和Mac)而言必不可少的网络协议,因此设备制造商不太可能删除或禁用其产品中的这些协议,因此新一波DDoS攻击的威胁近在眼前。
FBI谈到新的DDoS途径时说:“在短期内,网上不法分子很可能会利用数量不断增加的默认已启用内置网络协议的设备,打造能够为发动破坏性的DDoS攻击提供便利的大规模僵尸网络。”
到目前为止,这四条新的DDoS攻击途径被人零星使用,但行业专家预计它们会被DDoS租用服务广泛滥用。
不过,尽管这份警告在业内引发了不小的关注和舆论一定程度上的紧张,但对于网络安全圈专注于DDoS攻击防范研究的安全专家们来说,FBI这次实在是有些“后知后觉”——事实上,基于一系列专业的抗DDoS能力,早在2018年初,百度安全智云盾便展开了针对网络协议漏洞进行DDoS攻击的“捕获行动”,并在次年先后完成了对WS-DD、CoAP及ARMS三种全新DDoS攻击方式的2秒快速识别及流量实时隔离清洗,有效抵御了上述DDoS攻击事件,有力保障了用户的网络安全
ONVIF协议主要被用于在全球范围内,通过开放接口标准以确保在安防场景中不同厂商生产的网络视频产品的互通性。其设备管理和控制部分所定义的接口均以Web Services的形式提供,WS-DISCOVERY接口则是ONVIF协议定义的设备发现接口,数据传输采用UDP的方式实现。

2019年2月,百度安全智云盾捕获了一起利用ONVIF协议进行的反射放大攻击事件。不同于以往的泛洪攻击,此次攻击借助了在物联网设备中被大量使用的UDP协议。这类攻击不会直接攻击受害者IP,而是通过以受害者的IP构造UDP数据包,对反射源发送伪造的数据包。由此,反射源向受害者IP响应的流量远超过攻击者伪造UDP流量的数据,不法分子借此对受害者实施DDoS攻击。单就此次攻击事件而言,其覆盖范围遍及全球60个国家和地区,攻击放大倍数预计在5-14倍区间。

显而易见,百度安全智云盾在去年年初的这次“捕获行动”已经证明了WS-DISCOVERY所存在的接口缺陷。其以网络视频规范定义的服务探测接口为反射源,在不入侵设备构建庞大僵尸网络的前提下,利用物联网设备发起反射攻击,且制造了较大攻击放大倍数。

关于此次基于ONVIF协议的DDoS反射攻击事件的详细解析,可参见此文。

百度安全实验室:基于ONVIF协议的物联网设备参与DDoS反射攻击

CoAP是一种应用在物联网网络的应用层协议,其在继承HTTP协议可靠传输、数据重传、块重传、IP多播等特点的同时,利用二进制格式使请求更加轻量化,从而在对系统资源限制较多的物联网设备中被广泛应用。

2019年4月,一起利用CoAP协议进行的反射放大攻击事件为百度安全智云盾所捕获。其原理与利用ONVIF协议漏洞进行的攻击类似,但影响波及到了更广泛的物联网设备——在被重点监测的两轮攻击行为中,全球有多达72万台主机被发现暴露了相关端口,而这些设备均有可能被不法分子用于反射源攻击。

关于此次基于CoAP协议的DDoS反射攻击事件的详细解析,可参见此文。

百度安全实验室:基于CoAP协议的物联网设备参与DDoS反射攻击

 

netAssistant服务是一种网络调试助手服务,默认支持TCP与UDP两种协议。而借此发起的DDoS攻击是百度安全智云盾在2020年2月在全网范围内首次监测发现,这也是FBI所警告的ARMS的同类型服务,两者均使用3283端口。

此漏洞的来源在于其自身服务的设计缺陷,在使用UDP传输协议的情况下,客户端向netAssistant服务端口(即3283端口)发送一个UDP最小包,netAssistant服务便会返回携带有主机标识的超大包,请求与响应相差数十倍。由于其并未严格限制请求与响应比关系,导致暴露在公网中开启netAssistant服务的网络设备均有可能被当作反射源使用。

在百度安全智云盾所捕获的上述攻击事件中,反射源分布在全球74个国家和地区,其中59%的反射源分布在美国,而这些设备大部分都开启了netAssistant服务。

关于此次基于netAssistant服务的DDoS反射攻击事件的详细解析,可参见此文。

百度安全实验室:全网首次发现基于netAssistant服务的DDoS反射攻击

 

随着5G网络的快速商用和AI、物联网等新兴技术的发展,网络安全的挑战也在不断升级。作为一种延续多年的“经典”攻击方法,DDoS攻击不仅仍然是当前网络安全的最大威胁之一,其破坏力和影响范围也在持续扩大——根据今年3月百度安全联合中国联通智慧安全发布的《2019年DDoS攻击态势分析报告》显示,在过去的一年中,我国遭受的DDoS大流量攻击数量仍在持续攀升,且呈现出超大型攻击占比增加的态势,网络安全形式依旧严峻。

而针对此次FBI预警的关于WS-DD(ONVIF协议)、CoAP及ARMS(netAssistant服务)三种全新DDoS攻击方式所带来的安全风险,不仅需要相关机构能够合理管控UDP服务使用权限和策略,启用授权验证;面向物联网设备,还需要根据实际需要分配公网IP,并为公网访问添加防火墙规则,限制访问IP,减少互联网暴露。当然最重要的,还是应及时接入DDoS云防安全服务提升系统化的综合防御能力。

秉承“有AI,更安全”的理念,依托20年最佳实践的总结与提炼,百度安全智云盾以成熟的防御技术和灵活的合作模式,长期以来为合作伙伴提供了IDC环境下完备、便捷的安全基础设施解决方案。

一方面,面对近年来DDoS攻击的新趋势和新手段,智云盾不仅支持精确清洗、分钟级缓解、自动化应急处理等功能,也与多家运营商建立起了联合防御战线。另一方面,集合百度安全包括本地快速检测、自动化拓展T级云防、资产弱点评估、黑客攻击检测、实时安全防御和威胁情报在内的一系列技术能力,使得智云盾在进一步提高IDC安全水平的同时,也能为最终客户提供更为全面的安全增值产品。

网络安全的攻防从来都是场持久战,面对DDoS攻击方式的不断升级,百度安全也将与产业各界一道,为国内IDC发展保驾护航。

人已赞赏
大事件

四维图新起诉百度地图、360地图侵权 共索赔超3亿元

2020-7-30 13:13:33

大事件

阿里云三大超级数据中心落成:新增超百万台服务器

2020-7-31 12:14:01

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
有新消息 消息中心
搜索