原標(biāo)題:綠盟科技劉文懋RSAC主題演講:物聯(lián)網(wǎng)中基于UDP的DDoS新型反射攻擊研究
RSA作為全球規(guī)模最大的網(wǎng)絡(luò)安全行業(yè)會(huì)議,迄今已舉辦30屆,一直著眼于推動(dòng)全球網(wǎng)絡(luò)安全界的共享����、創(chuàng)新與進(jìn)步�。2021年RSA大會(huì),綠盟科技脫穎而出,在物聯(lián)網(wǎng)安全論壇發(fā)表題為《物聯(lián)網(wǎng)中基于UDP的DDoS新型反射攻擊研究》(Research on New Vectors of UDP-Based DDoS Amplification Attacks of IoT,[SAT-M19])的主題演講,這是中國(guó)安全廠商首次登上RSAC大會(huì)的主題演講舞臺(tái)�。綠盟科技創(chuàng)新中心總監(jiān)劉文懋博士代表綠盟科技的物聯(lián)網(wǎng)安全研究團(tuán)隊(duì)進(jìn)行了主題演講。
下面,綠盟君與大家一起來(lái)學(xué)習(xí)綠盟科技在RSA2021大會(huì)上分享精華:
1. 全球物聯(lián)網(wǎng)資產(chǎn)暴露情況
隨著越來(lái)越多的物聯(lián)網(wǎng)設(shè)備接入互聯(lián)網(wǎng),物聯(lián)網(wǎng)聯(lián)網(wǎng)數(shù)每天都在增加��。通過(guò)對(duì)互聯(lián)網(wǎng)上設(shè)備進(jìn)行掃描,我們發(fā)現(xiàn)全球超過(guò)70000個(gè)開(kāi)放WS-Discovery��、OpenVPN和CoAP協(xié)議的物聯(lián)網(wǎng)服務(wù)�����。
不僅安全廠商可以發(fā)現(xiàn)這些物聯(lián)網(wǎng)暴露資產(chǎn),攻擊者也能夠發(fā)現(xiàn)這些資產(chǎn)��。通過(guò)掃描器����、僵尸網(wǎng)絡(luò)或任何可以使用的工具發(fā)現(xiàn)物聯(lián)網(wǎng)資產(chǎn)后,這些資產(chǎn)會(huì)容易遭到攻擊,以及被利用來(lái)進(jìn)行發(fā)起攻擊。
2. 美國(guó)是遭受放大反射DDoS攻擊影響最大的國(guó)家
通過(guò)物聯(lián)網(wǎng)蜜罐捕獲和收集受害者的IP地址,在計(jì)算目標(biāo)IP地址的地理位置后,可以看到美國(guó)受放大反射DDoS攻擊的影響最大�。
無(wú)論是勒索軟件還是DDoS攻擊,都可以作為一種黑產(chǎn)服務(wù),此前已經(jīng)在暗網(wǎng)上出現(xiàn)明碼標(biāo)價(jià)提供租用DDoS服務(wù),而暴露的脆弱物聯(lián)網(wǎng)設(shè)備成為了黑產(chǎn)潛在的攻擊武器�����?紤]到美國(guó)龐大的商業(yè)和IT產(chǎn)業(yè),它成為了網(wǎng)絡(luò)犯罪的最大目標(biāo)����。
3. WS-Discovery協(xié)議介紹
WS-Discovery是基于UDP的�����、用于Web服務(wù)發(fā)現(xiàn)的單播協(xié)議����。其工作原理是客戶(hù)端發(fā)送UDP探測(cè)消息搜索服務(wù),然后等待應(yīng)答���。該協(xié)議具體被濫用的情況是:攻擊者發(fā)送一個(gè)3字節(jié)的請(qǐng)求:3c�����、aa�、3e,并攜帶一個(gè)欺騙的源地址,服務(wù)會(huì)回復(fù)一個(gè)1590字節(jié)的響應(yīng)�����。
這里使用了BAF(bandwidth amplification factor)帶寬放大系統(tǒng)的概念,最早在2014年NDSS的一篇論文《Amplification Hell: Revisiting Network Protocols for DDoS Abuse》中提到的��。為了計(jì)算BAF,可以將有效負(fù)載發(fā)送給使用真實(shí)源地址公開(kāi)的所有服務(wù),驗(yàn)證獲得的響應(yīng)結(jié)果數(shù)據(jù)����。經(jīng)過(guò)測(cè)試,發(fā)送的請(qǐng)求的長(zhǎng)度3字節(jié)時(shí),收到的響應(yīng)的平均長(zhǎng)度是1330,計(jì)算出BAF數(shù)值是443��。利用該協(xié)議漏洞,通過(guò)WS-Discovery可以產(chǎn)生比請(qǐng)求流量大400多倍以上的惡意流量。
4. ADDP幫助攻擊者找到存在Ripple20漏洞的設(shè)備
ADDP是高級(jí)設(shè)備發(fā)現(xiàn)協(xié)議(Advanced Device Discovery Protocol),是Digi International公司開(kāi)發(fā)的基于UDP的多播協(xié)議����。借助ADDP,無(wú)論網(wǎng)絡(luò)如何配置,設(shè)備都可以在本地網(wǎng)絡(luò)上發(fā)現(xiàn)其他設(shè)備。經(jīng)過(guò)全網(wǎng)掃描測(cè)試,我們發(fā)送的請(qǐng)求的長(zhǎng)度是14字節(jié),而收到的響應(yīng)的平均長(zhǎng)度是141.7字節(jié),對(duì)應(yīng)的BAF是10.1����。
事實(shí)上,ADDP被許多數(shù)碼網(wǎng)絡(luò)設(shè)備使用,大量這些設(shè)備可能存在Ripple20漏洞。因而,攻擊者可以通過(guò)發(fā)現(xiàn)暴露的ADDP服務(wù),再驗(yàn)證Ripple20漏洞,則可以發(fā)起一些攻擊��。
除了WS-Discovery����、ADDP之外,報(bào)告還分析了OpenVPN協(xié)議的脆弱性,此外綠盟科技在2018、2019和2020年發(fā)布的《物聯(lián)網(wǎng)安全年報(bào)》中分析了SSDP���、DHDiscover���、Ubiquiti等協(xié)議,這些物聯(lián)網(wǎng)協(xié)議都存在相似的脆弱性:基于UDP、支持單播�、響應(yīng)遠(yuǎn)大于請(qǐng)求長(zhǎng)度,因而容易被利用發(fā)動(dòng)DDoS攻擊。事實(shí)上,在2017年后,利用物聯(lián)網(wǎng)協(xié)議發(fā)動(dòng)DDoS攻擊儼然成為了攻擊者的重要選擇���。
5. 一些建議和觀點(diǎn)
給物聯(lián)網(wǎng)廠商建議:
首先設(shè)置首席安全官,組建安全團(tuán)隊(duì)�。其次在設(shè)計(jì)環(huán)節(jié),默認(rèn)禁用服務(wù)/設(shè)備發(fā)現(xiàn)功能,非多播不響應(yīng),非內(nèi)網(wǎng)不響應(yīng)。最后在運(yùn)營(yíng)環(huán)節(jié),建立應(yīng)急響應(yīng)流程并及時(shí)發(fā)布安全補(bǔ)丁�����。
給最終用戶(hù)和機(jī)構(gòu)的建議:
識(shí)別自有的物聯(lián)網(wǎng)設(shè)備,檢查配置�����、訪問(wèn)控制策略;持續(xù)地使用網(wǎng)絡(luò)空間測(cè)繪技術(shù)監(jiān)控暴露資產(chǎn);構(gòu)建識(shí)別-評(píng)估-治理的安全運(yùn)營(yíng)閉環(huán),將物聯(lián)網(wǎng)安全融入到統(tǒng)一的安全運(yùn)營(yíng)體系內(nèi)����。
給物聯(lián)網(wǎng)客戶(hù)的解決方案:
關(guān)注城市、企業(yè)物聯(lián)網(wǎng)安全隱患, 綜合展示物聯(lián)網(wǎng)各垂直領(lǐng)域風(fēng)險(xiǎn)態(tài)勢(shì),各地區(qū)���、部門(mén)威脅情況,使用綠盟物聯(lián)網(wǎng)保護(hù)傘解決方案,通過(guò)終端SDK�����、固件檢測(cè)���、準(zhǔn)入網(wǎng)關(guān)、物聯(lián)卡分析�����、物聯(lián)網(wǎng)安全測(cè)評(píng)等多個(gè)系統(tǒng)的數(shù)據(jù),支撐物聯(lián)網(wǎng)安全態(tài)勢(shì)��。
未來(lái)一段時(shí)間內(nèi),更多物聯(lián)網(wǎng)協(xié)議和設(shè)備的漏洞會(huì)不斷出現(xiàn),綠盟科技通過(guò)創(chuàng)新中心���、格物實(shí)驗(yàn)室�、物聯(lián)網(wǎng)安全產(chǎn)品部的聯(lián)合,起到了研���、產(chǎn)����、用的結(jié)合,通過(guò)物聯(lián)網(wǎng)保護(hù)傘解決方案,為廣大物聯(lián)網(wǎng)安全場(chǎng)景客戶(hù)提供保駕護(hù)航����。
綠盟科技長(zhǎng)期致力于物聯(lián)網(wǎng)安全研究,在物聯(lián)網(wǎng)sdk、車(chē)聯(lián)網(wǎng)安全等方面取得了顯著的研究成果����。
綠盟科技車(chē)路協(xié)同網(wǎng)絡(luò)安全技術(shù)方案, 著眼于規(guī)模化車(chē)路協(xié)同應(yīng)用,采用了車(chē)載可信級(jí)安全SDK+路側(cè)智能安全網(wǎng)關(guān)+安全運(yùn)營(yíng)平臺(tái)端到端的安全聯(lián)動(dòng)架構(gòu)模式,構(gòu)建監(jiān)測(cè)�����、檢測(cè)、預(yù)警�、防御、響應(yīng)與應(yīng)急處置安全能力,全面覆蓋感知側(cè)���、傳輸側(cè)�、平臺(tái)/應(yīng)用側(cè)防護(hù)場(chǎng)景,為智能交通領(lǐng)域的網(wǎng)絡(luò)安全保駕護(hù)航����。
通過(guò)車(chē)聯(lián)網(wǎng)終端及平臺(tái)探針部署、威脅情報(bào)采集等,收集車(chē)路協(xié)同通信網(wǎng)內(nèi)安全數(shù)據(jù)信息,并基于大數(shù)據(jù)關(guān)聯(lián)分析處理,形成了主動(dòng)探測(cè)�、被動(dòng)誘捕、流量分析�����、僵木蠕���、DDoS攻擊�、APT檢測(cè)等安全監(jiān)測(cè)���、檢測(cè)�、預(yù)警�、防御����、響應(yīng)與應(yīng)急處置安全能力,結(jié)合安全咨詢(xún)���、滲透測(cè)試、全生命周期安全風(fēng)控等安全服務(wù),構(gòu)建車(chē)路協(xié)同安全運(yùn)營(yíng)體系;從方案價(jià)值看,能夠滿(mǎn)足車(chē)路協(xié)同安全合規(guī)及新基建網(wǎng)絡(luò)安全建設(shè)安全迫切需求,進(jìn)一步保障整個(gè)車(chē)路協(xié)同應(yīng)用安全��、可控����、健康發(fā)展。
在綠盟科技官方微信后臺(tái)回復(fù)“RSA演講PPT”,即可下載觀看劉文懋博士演講膠片����。
投稿郵箱:chuanbeiol@163.com 詳情請(qǐng)?jiān)L問(wèn)川北在線:http://fishbao.com.cn/
