很好,WS-Discovery反射攻击已经成功引起我们的注意
作者: 日期:2019年10月18日 阅:2,496

自WSD反射攻击在今年2月被国内安全研究人员披露以来,今年下半年利用WSD进行反射攻击的事件明显增多。绿盟伏影实验室的蜜网系统捕获的WSD反射攻击事件从8月中旬开始呈现上升趋势,9月份之后增长快速,需要引起相关人员(如安全厂商、服务提供商、运营商等)足够的重视。

下面是我们的一些关键发现:

–    全球有约91万个IP开放了WSD服务,存在被利用进行DDoS攻击的风险,其中有约73万是视频监控设备,约占总量的80%。

–    开放WSD服务的设备暴露数量最多的五个国家依次是中国、越南、巴西、美国和韩国。而其中的视频监控设备暴露数量,又以越南最多。

–    约有24%的设备对于WSD的回复报文的源端口并不是3702端口,这对基于源端口过滤的传统DDoS防护提出了新挑战。

–    攻击者在进行WSD反射攻击时,通常不会采用合法的服务发现报文作为攻击载荷,而是尝试通过一些长度很短的载荷来进行攻击。出现最多的是一个三个字节的攻击载荷,约占所有攻击数量的三分之二。

–    我们对这个三字节的攻击载荷进行了全网探测,发现并非所有的WSD服务都对其进行响应,有回应的IP数量接近3万个。该载荷所造成的反射攻击的平均带宽放大因子为443。

WS-Discovery(Web Services Dynamic Discovery,WSD)是一种局域网内的服务发现多播协议,但是因为设备厂商的设计不当,当一个正常的IP地址发送服务发现报文时,设备也会对其进行回应,加之设备暴露在互联网上,则可被攻击者用于DDoS反射攻击。WSD协议所对应的端口号是3702。当前,视频监控设备的ONVIF规范里面提到使用WSD作为服务发现协议,一些打印机也开放了WSD服务。

WSD作为一种新的反射攻击类型,潜力巨大。随着ONVIF组织的壮大,相信会有越来越多的设备支持ONVIF,也即开放WSD服务,由此而带来的威胁也将越来越大。在WSD反射攻击逐渐进入大家视野之时,企业安全正面临着更加严峻的挑战。

为更好地帮助企业抵御WSD反射攻击,提升安全防护水平,绿盟科技格物实验室对WS-Discovery反射攻击进行深度分析。分析报告详情可点击阅读原文进行查看,用户也可以在绿盟威胁情报中心( https://nti.nsfocus.com/  )下载PDF版报告。

此外,绿盟威胁情报中心(NTI)一直支持对于WSD服务的检索,可提供最新WSD暴露资产情报并持续更新。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章