Internetsäkerhetens stora översittare:Distributed Denial of Service (DDoS) som förstör normal trafik på en riktad server eller nätverk med en flod av HTTP-förfrågningar, felformade paket. Krascha, bam bom. Uppdrag utförda. Användare kan inte komma in igen.

Akamais Jonathan Respeto bloggade några fula fynd i onsdags. Ett team på Akamai hade kollat ​​på en ny DDoS-vektor som utnyttjar en UDP-förstärkningsteknik känd som WS-Discovery (WSD). Situationen nu är sådan att "flera hotaktörer" utnyttjar denna DDoS-metod för att öka attackerna.

För dem som är mindre bekanta med upptäcktsspråk, UDP står för User Datagram Protocol. TechTarget berättar för läsarna att det är ett alternativt kommunikationsprotokoll till Transmission Control Protocol som används för att upprätta förbindelser med låg latens och förlusttolererande mellan applikationer på internet.

På onsdag, Respeto bloggade att "Eftersom UDP är ett statslöst protokoll, förfrågningar till WSD-tjänsten kan vara falska."

WSD står för Web Services Dynamic Discovery. Catalin Cimpanu in ZDNet beskrev WSD som "ett multicast-protokoll som kan användas på lokala nätverk för att 'upptäcka' andra närliggande enheter som kommunicerar via ett visst protokoll eller gränssnitt."

OK, så här är den fula rollen WSD spelar i det här fallet, som Akamais Respeto upptäckte.

Han gav en historia om hur det kom till och problemet nu:

WSD levererades som en standardfunktionsuppsättning och tjänst från och med Windows Vista. Den har funnits med i HP-skrivare sedan 2008. När det gäller enheter som Acamai-teamet upptäckte på Internet vara felaktigt exponerade och svarar på WSD, "de flesta består av CCTV-kameror och DVR-system [digital videoinspelare], en trend som inte är förvånande just nu."

Anthony Spadafora in TechRadar sade att angriparnas teknik för att missbruka WSD-protokollet "användes av ett brett spektrum av nätverksenheter för att automatiskt ansluta till varandra. WSD-protokollet tillåter enheter att skicka UDP-paket (User Datagram Protocol) över port 3702 för att beskriva kapaciteten och krav på en enhet."

Vad var det som först satte Akamai på vägen för förstörelseboll? Respeto sa att "en av våra kunder kom under beskjutning. Attacken, som riktade sig till spelindustrin, vägde in vid 35/Gbps vid toppbandbredd." Mer forskning av teamet gjordes på implementeringar av WSD-protokoll:

Respeto sa "SIRT kunde uppnå amplifieringshastigheter på upp till 15, 300 % av den ursprungliga bytestorleken. Detta placerar WSD på 4:e plats på topplistan för DDoS attacker för högsta reflekterade förstärkningsfaktor."

Från tjänsteleverantörsföretaget DDoS-GUARD:

"Vissa kommandon till UDP-protokoll framkallar svar som är mycket större än den ursprungliga begäran. Tidigare, angripare begränsades av det linjära antalet paket som skickades direkt till målet för att utföra en DoS-attack; nu kan ett enda paket generera mellan 10 och 100 gånger den ursprungliga bandbredden. Detta kallas en förstärkning av attacken."

Något som kallas Bandwidth Amplification Factor kan mäta den potentiella effekten av en förstärkningsattack, och "beräknas som antalet UDP-nyttolastbyte som en förstärkare skickar för att svara på en fråga, jämfört med antalet UDP-nyttolastbytes för frågan."

Det finns knappa ursäkter för att säga "så vad" här. Spadafora sa att förstärkningen "gör WSD till en av de mest kraftfulla teknikerna i en hackers arsenal för att förstärka DDoS-attacker som kan vara förödande för företag och konsumenter."

En anledning till oro den här gången hängde på själva poolen av tillgängliga enheter.

Spadafora:"...den nya tekniken som används av hackare är fortfarande anledning till oro på grund av mängden tillgängliga enheter som Akamai uppskattar är över 802k." Lily Hay Newman in Trådbunden :"Akamai uppskattar att så många som 800, 000 enheter exponerade på internet kan ta emot WS-Discovery-kommandon. Vilket betyder att genom att skicka 'sonder, ett slags uppropsbegäran, du kan generera och rikta en brandslang av data mot mål."

Vad är det för hackare? Vad får de ut av det här? Robert Hackett på torsdag i Förmögenhet tog ett hugg på svar. Han sa att att slå ut mål offline i "distribuerade överbelastningsattacker" var "ibland bara för sparkar och fniss, andra gånger tills ett offer betalar lösen."

Begränsning?

Respeto sa att "Bara att placera block på UDP-källporten 3702 kommer att förhindra trafiken från att träffa dina servrar. Men det är bara hälften av problemet, eftersom trafiken fortfarande överbelastas bandbredden på din router. Det är här din DDoS-reducerande leverantör skulle komma in och lägga till den nödvändiga ACL för att blockera attacktrafiken."

ACL står för Access Control Lists. ACL:er är paketfiltren i ett nätverk, sa iTT-system . "De kan begränsa, tillåta, eller neka trafik som är avgörande för säkerheten. En ACL låter dig kontrollera flödet av paket för en enskild eller grupp av IP-adresser eller olika för protokoll, som TCP, UDP, ICMP, etc."

Några av Respetos slutsatser:

(1) "WSD är en stor risk på Internet som kan öka viss bandbredd med hjälp av CCTV och DVR.". Tillverkare kan begränsa omfattningen av UDP-protokollet på port 3702 till multicast IP-utrymmet.

(2) "Organisationer bör vara redo att dirigera trafik till sin DDoS-reducerande leverantör om de drabbas av denna stora attack. På grund av dess stora förstärkningsfaktorer, vi förväntar oss att angripare kommer att slösa lite tid på att utnyttja WSD för användning som en reflektionsvektor."

Vad kommer härnäst?

Hackett såg "säkerhetsinriktade grupper" som sannolikt att försöka övertala de som har sårbara enheter – oavsett om det är företag eller konsumenter – att uppdatera dem. För den tekniskt sinnade, han lade till, "det innebär att blockera kommunikation till port 3702." De kan också rekommendera att använda brandväggar eller ta bort enheter från det offentliga Internet. "I sista hand, om problemet går över styr, Internetleverantörer kan dras in, blockerar misstänkt trafik."

© 2019 Science X Network