Discovery协议被滥用于发起DDoS攻击?(针对基础网络该如何做好DDOS防御?)
本文由世外云(www.shiwaiyun.com)小编为大家整理,本文主要介绍了Discovery协议被滥用于发起DDoS攻击的相关知识,希望对你有一定的参考价值和帮助,记得关注和收藏网址哦!
Discovery协议被滥用于发起DDoS攻击?
早在今年5月的,就有外媒报道称WS-Discovery协议被滥用来发动DDoS攻击。为了防止被更多别有用心的人利用,研究人员只能忍住不透露更多细节。
然而,最近一个月以来,滥用WS-Discovery协议发起的大规模DDoS攻击愈演愈烈,频率几乎达到了每周一次。
作为一个多播协议,这个协议最初用于 "探索与发现通过本地网络上的特定协议或接口进行通信的其它邻近设备。
(标题来自ZDNet)
该协议有时被称为UDP上的SOAP,因为它通过SOAP消息格式支持设备之间的发现和通信,并使用UDP数据包。
尽管普通人不熟悉它,WS-Discovery已经被ONVIF采用。作为一个行业组织,ONVIF致力于促进网络产品互操作性的标准化接口。
其成员包括安讯士、索尼、博世等行业巨头,为ONVIF的标准化奠定了基础。作为即插即用互操作性的一部分,该组织从2010年中期开始在标准中推荐WS-Discovery协议用于设备发现。
作为持续标准工作的一部分,WS-Discovery协议已经在一系列产品中使用,涵盖了IP摄像机、打印机、家用电器、DVR等类别。
根据互联网搜索引擎BinaryEdge的搜索结果,目前有近63万台基于ONVIF WS-Discovery协议的设备处于在线状态,这使其面临巨大的风险。
问题是,这是一个基于UDP的协议,这意味着数据包的目的地可能被欺骗。攻击者可以伪造返回IP地址,并将UDP数据包发送到设备的WS-Discovery服务器。
当设备发送回复时,它会将数据包发送到被篡改的IP地址,这样攻击者就可以在WS-Discovery设备上反弹流量,并将其瞄准所需的DDoS攻击目标。
第二,WS-Discovery的响应会比初始输入大很多倍。基于这一原理的DDoS攻击会对受害者造成极大的伤害。研究人员称之为DDoS放大因子。
(2019年5月的数据,图片来自:塔克·普雷斯顿)
ZDNet指出,这种协议在世界各地的DDoS攻击中都有观察到,放大倍数高达300~500。相比之下,其他基于UDP协议的攻击平均只有10次。
网络安全公司ZeroBS GmbH一直在追。幸运的是,在本月发生的一次事件之后,它发现带有超级倍数的WS-Discovery DDoS攻击并不常见。
即便如此,2018年末在GitHub上发布的发起WS-Discovery DDoS攻击的概念验证脚本仍然声称可以实现70~150倍的放大。
(图片来自:ZeroBS GmbH)
今年5月,安全研究员塔克·普雷斯顿(Tucker Preston)首次宣布了一项基于滥用WS-Discovery协议的大规模攻击。通过对130起事件的观察,可以看出部分攻击的规模超过350 Gbps。
在随后的几个月里,袭击事件有所减少,但在8月份再次升级。与第一波攻击不同,这次攻击规模小得多,很可能是由普通攻击者发起的,他们不 我对协议了解不多。
放大倍数不到10,最大也只有40 Gbps,而发起WS-Discov
针对基础网络该如何做好DDOS防御?
,什么是分布式拒绝服务?分布式拒绝服务(DDoS)是指以客户端/服务器模式的,将多台计算机组合成一个攻击平台,对一个或多个目标发起DDoS攻击,从而成倍增加DDoS攻击的威力。
通常,攻击者使用非法帐户在一台计算机上安装DDoS主程序,并在网络上的多台计算机上安装代理。在设定的时间,主程序会和大量的代理进行通信,代理收到指令就会攻击。在客户机/服务器模式下,主程序可以在几秒钟内激活数百或数千个代理程序。
常见的DDoS攻击包括格式错误的消息、传输层DDoS攻击、DNS DDoS攻击、连接DDoS攻击和Web应用层DDoS攻击。每种类型的具体介绍请参考下面的描述。
格式错误的消息
畸形消息攻击是指通过向目标系统发送有缺陷的IP消息,导致目标系统在处理此类消息时崩溃,从而造成拒绝服务的攻击。
畸形消息主要包括以下类型:Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形消息、TCP畸形消息和UDP畸形消息。
2.传输层的DDoS攻击
传输层DDoS攻击主要指Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等攻击。
与Syn Flood攻击一样例如,它使用TCP协议的三次握手机制。当服务器收到一个Syn请求时,服务器必须使用一个队列将连接保存一段时间。因此,服务器的资源是通过不断地向服务器发送Syn请求来消耗的,而不是响应Syn Ack消息。当监控队列已满时,服务器将无法响应正常用户的请求,从而达到拒绝服务攻击的目的。
3.DNS DDoS攻击
DNS DDoS攻击主要指DNS请求洪流、DNS响应洪流、假源和真源DNS查询洪流、权威服务器攻击和本地服务器攻击。
以DNS查询洪水攻击为例,它本质上执行的是一个真实的查询请求,属于正常的业务行为。然而,如果多个傀儡机同时发起大量的域名查询请求,服务器可以 t响应正常的查询请求,导致拒绝服务。
4.连接DDoS攻击
I类DDoS攻击主要指TCP慢速连接攻击、连接耗尽攻击、Loic、Hoic、Slowloris、pyrolis、Xoic等慢速攻击。
以Slowloris攻击为例。它的目标是Web服务器的并发限制。当Web服务器的并发连接数达到限制时,Web服务无法接受新的请求。具体来说,当Web服务接收到一个新的HTTP请求时,它建立一个新的连接来处理该请求,并在处理完成后关闭该连接;如果连接一直处于连接状态,当接收到新的HTTP请求时,需要建立新的连接进行处理;当所有连接都已连接时,Web将无法处理任何新的请求。
Slowloris攻击利用HTTP协议的特性来达到其攻击目的。HTTP请求标记了报头的结尾。如果Web服务器只收到,则认为HTTP Headers部分没有结束,会保持连接,等待后续的请求内容。
5.web应用层的DDoS攻击
Web应用层攻击主要指HTTP Get Flood、HTTP Post Flood、CC等攻击。
通常应用层攻击完全模拟用户请求,类似于各种搜索引擎和爬虫。这些攻击与正常业务没有严格的界限,很难区分。
Web服务中消耗大量资源的一些事务和页面。比如Web应用中的分页和分表,如果控制页面的参数过大,频繁的翻页会占用更多的Web服务资源。尤其是在高并发、频繁调用的情况下,像这样的事务已经成为早期CC攻击的目标。
由于目前的攻击大多是混合型的,模拟用户行为的频繁操作可以视为CC攻击。比如各种抢票软件在线。车站的访问,某种程度上是CC的攻击。
CC攻击针对的是Web应用的后端业务,不仅会导致拒绝服务,还会直接影响Web应用的功能和性能,包括Web响应时间、数据库服务、磁盘读写等。
二。主要防御方法
目前最有效、最主动的策略是清理流量,过滤每个请求,切割流量,将正常请求转发到真实服务器,直接拦截非法请求。
2-@ .com DDOS攻击会导致网络崩溃、在线业务中断、信息泄露等一系列网络安全问题。当我们发现服务器被攻击,不要 不要太惊慌。第一检查网站的服务器是否被黑过,找出网站的黑链,然后做好网站的安全防御。打开IP PING可以防止它被扫描,并关闭不必要的端口。这些都是简单的攻击,只能预防。对于大流量DDOS攻击,必须有足够的带宽和防火墙来防御。你的防御能力比攻击者更强。;s攻击流量,可以防范。但光是硬防御的成本就相当高,企业如果对成本控制有要求,可以选择制墨商。安全集群防护和防御能力非常好,成本低于阿里云和网易云。
