潮人地東莞seo博客小編下面跟大家分享關(guān)于seo推廣技巧之:基于ONVIF協(xié)議的物聯(lián)網(wǎng)設(shè)備參與DDoS反射攻擊等問題,希望seo專員在做seo優(yōu)化的過程中有所幫助,內(nèi)容僅供參考。
今天潮人地東莞seo博客和朋友們分享的主題是基于ONVIF協(xié)議的物聯(lián)網(wǎng)設(shè)備參與DDoS反射攻擊,正文部分的內(nèi)容是轉(zhuǎn)載自百度安全指數(shù)平臺(tái),感興趣的朋友可以收藏一下。
1、概述
百度安全智云盾團(tuán)隊(duì)在2019年2月為某第三方IDC提供DDoS防御能力時(shí),捕獲到一次利用物聯(lián)網(wǎng)設(shè)備發(fā)起的DDoS事件。智云盾系統(tǒng)在2秒內(nèi)識(shí)別攻擊,實(shí)時(shí)對(duì)流量做了隔離和清洗,保障用戶免遭DDoS的傷害。
seo博客相關(guān)推薦閱讀:網(wǎng)站優(yōu)化seo:如何進(jìn)行SEO搜索引擎優(yōu)化,常見的SEO搜索優(yōu)化方案有那幾種
根據(jù)以往的物聯(lián)網(wǎng)設(shè)備發(fā)起的攻擊來看,大多是泛洪攻擊。臭名昭著的mirai病毒就是利用了物聯(lián)網(wǎng)設(shè)備的漏洞,大量入侵物聯(lián)網(wǎng)設(shè)備,構(gòu)建僵尸網(wǎng)絡(luò)實(shí)施DDoS攻擊。但是本次攻擊事件不同于以往的泛洪攻擊,本次攻擊利用了物聯(lián)網(wǎng)大量使用UDP協(xié)議的特點(diǎn)發(fā)起的反射放大的DDoS攻擊
。
2、攻擊研究
智云盾系統(tǒng)檢測到攻擊時(shí),自動(dòng)seo推廣官網(wǎng)文章對(duì)攻擊流量進(jìn)行采樣,安全專家杭州seo的優(yōu)化網(wǎng)絡(luò)推廣對(duì)采樣包及時(shí)進(jìn)行了深層次的分析和演練。本次攻擊事件共涉及反射源1665個(gè)。
2.1 攻擊包分析
通過對(duì)智云盾的攻擊采樣包發(fā)現(xiàn),反射流量的來源端口是3702,下圖紅色箭頭指向的是反射源端口:
數(shù)據(jù)包中的payload顯示數(shù)據(jù)格式為soap xml的格式,soap xml數(shù)據(jù)格式如下圖2所示:
這里我們將數(shù)據(jù)包的payload內(nèi)容單獨(dú)提取出來,如下圖3所示:
針對(duì)此次攻擊事件,我們從智云盾威脅中心提取對(duì)應(yīng)的請(qǐng)求流量數(shù)據(jù)進(jìn)行分析,這是一次利用了ONVIF協(xié)議進(jìn)行的反射攻擊。智云盾安全專家分析此次反射攻擊與以往的反射攻擊特征相似,不同之處在于利用物聯(lián)網(wǎng)設(shè)備當(dāng)作反射源。
下面將詳細(xì)闡述一下反射攻擊原理。
2.2 攻擊原理
反射類型的DDoS攻擊并不會(huì)直接攻擊受害者IP,而是以受害者的IP構(gòu)造UDP數(shù)據(jù)包,對(duì)反射源發(fā)送偽造的數(shù)據(jù)包,反射源向受害者IP響應(yīng)的流量遠(yuǎn)超過攻擊者偽造UDP流量的數(shù)據(jù),DDoS黑客組織依靠此方式對(duì)受害者實(shí)施DDoS攻擊,反射類型如下圖4所示:
圖4中黑客給放大器發(fā)送偽造的UDP數(shù)據(jù)包,經(jīng)過智云盾團(tuán)隊(duì)對(duì)DDoS事件攻擊的復(fù)現(xiàn)以及對(duì)標(biāo)準(zhǔn)WS-DISCOVERY請(qǐng)求數(shù)據(jù)包的改造,改造之后的payload字符串如下:
利用UDP的傳輸方式,發(fā)送該字符串到指定目標(biāo)的3702端口,服務(wù)端返回WS-DISCOVERY響應(yīng)包。不滿足WS-DISCOVERY定義的soap xml格式,接口丟棄請(qǐng)求數(shù)據(jù)包不做響應(yīng)。
2.3 放大倍數(shù)
按照我們前期對(duì)反射放大倍數(shù)的研究,采用科學(xué)的統(tǒng)計(jì)放大倍數(shù)時(shí),請(qǐng)求響應(yīng)的包頭甚至是網(wǎng)絡(luò)間隙都要考慮在內(nèi)。詳細(xì)的方案可以參閱《MEMCACHED DRDoS攻擊趨勢》一文。
我們嘗試對(duì)智云盾威脅中心截取到的黑客進(jìn)行反射攻擊的請(qǐng)求包進(jìn)行復(fù)現(xiàn),并優(yōu)化了請(qǐng)求內(nèi)容,將請(qǐng)求的payload大小降低到了211個(gè)字節(jié),響應(yīng)單個(gè)視頻設(shè)備地址的響應(yīng)包長度為1515字節(jié)(有分片,分片包頭為34+4+20=58),下圖5是復(fù)現(xiàn)截圖:
所以計(jì)算得到放大倍數(shù)為(1515+66+58)/(211+66)= 5.92倍。
通過從智云盾攻擊采樣包的實(shí)際情況中發(fā)現(xiàn),響應(yīng)內(nèi)容最多的有長達(dá)3558字節(jié),分片成3個(gè)響應(yīng)包,總長可以達(dá)到3558+66+58*2=3740字節(jié),這種情況下的最大放大倍數(shù)為3740/277=13.5倍。
因此從目前觀察中我們推測此次放大倍數(shù)在5-14倍。
3、反射源分析
智云盾安全專家通過對(duì)反射源IP進(jìn)行調(diào)查發(fā)現(xiàn),其中被利用的反射源主要來源是視頻攝像設(shè)備,這些設(shè)備的IP一共跨越了全球60個(gè)國家和地區(qū)。其中反射源大多分布在中國臺(tái)灣,匈牙利和美國。
這些設(shè)備統(tǒng)一都采用了ONVIF協(xié)議做通訊管理協(xié)議。
3.1 ONVIF協(xié)議介紹
ONVIF致力于通過全球性的開放接口標(biāo)準(zhǔn)來推進(jìn)網(wǎng)絡(luò)視頻在安防市場的應(yīng)用,這一接口規(guī)范將確保不同廠商生產(chǎn)的網(wǎng)絡(luò)視頻產(chǎn)品具有互通性。ONVIF規(guī)范中設(shè)備管理和控制部分所定義的接口均以Web Services的形式提供。服務(wù)端與客戶端的數(shù)據(jù)交互采用soap xml數(shù)據(jù)格式。
本次黑客使用的WS-DISCOVERY接口是ONVIF協(xié)議定義的設(shè)備發(fā)現(xiàn)接口,數(shù)據(jù)傳輸采用UDP的方式實(shí)現(xiàn)。
3.2 WS-DISCOVERY接口缺陷
ONVIF協(xié)議要求實(shí)現(xiàn)ONVIF協(xié)議服務(wù)的設(shè)備支持設(shè)備發(fā)現(xiàn)以及探測,設(shè)備發(fā)現(xiàn)也就是下文我們要說的WS-DISCO潛江包年seo推廣哪里好VERY。
WS-DISCOVERY,客戶端向反射源IP的3702端口發(fā)送廣播消息,等待網(wǎng)內(nèi)ONVIF協(xié)議設(shè)備響應(yīng)自己的IP,UUID,EP Address等信息。
嚴(yán)格上來說暴露在公網(wǎng)提供服務(wù)的UDP端口,應(yīng)該嚴(yán)格遵循請(qǐng)求與響應(yīng)大小比例為1:1的關(guān)系,但此處ONVIF用作設(shè)備探測的3702端口未遵循這一原則,導(dǎo)致暴露在公網(wǎng)的3702端口被當(dāng)作反射源使用。
3.3 ONVIF協(xié)議3702端口公網(wǎng)暴露狀況
從SHODAN上對(duì)3702相關(guān)的端口進(jìn)行檢索發(fā)現(xiàn),全球約有21萬臺(tái)主機(jī)暴露了3702端口,如果支持ONVIF協(xié)議,都可能被用作反射源攻擊,如下圖6所示:
從智云盾捕獲到的攻擊事件涉及的反射來源分析,其中包括了大量暴露在公網(wǎng)的物聯(lián)網(wǎng)設(shè)備,多數(shù)為視頻設(shè)備,少部分為打印機(jī)等其他物聯(lián)網(wǎng)設(shè)備,涉及廠商較多,包括一些知名的視頻設(shè)備廠商。
4、DDoS反射攻擊趨勢
此次攻擊是網(wǎng)絡(luò)視頻規(guī)范定義的服務(wù)探測接口被利用作為反射源,反射攻擊倍數(shù)較大,并且利用了物聯(lián)網(wǎng)設(shè)備進(jìn)行反射,危害較大。與傳統(tǒng)的DRDoS攻擊相比較,此次攻擊采用了物聯(lián)網(wǎng)設(shè)備的協(xié)議漏洞,隨著物聯(lián)網(wǎng)的普及,相類似的攻擊活動(dòng)將越來越多。
借助物聯(lián)網(wǎng)設(shè)備發(fā)起DDoS攻擊,概述中提到的Mirai以物聯(lián)網(wǎng)設(shè)備為感染目標(biāo)行成龐大的僵尸網(wǎng)絡(luò)發(fā)起DDoS攻擊,與此次攻擊事件不同的是,利用物聯(lián)網(wǎng)設(shè)備發(fā)起反射攻擊無須入侵設(shè)備構(gòu)建龐大的僵尸網(wǎng)絡(luò)即可實(shí)現(xiàn),物聯(lián)網(wǎng)的普及也為黑客實(shí)施大流量攻擊提供了便利。
5、防范建議
1) 對(duì)互聯(lián)網(wǎng)服務(wù)
a) 禁用UDP,不能禁用時(shí),確保請(qǐng)求與響應(yīng)不要有倍數(shù)關(guān)系
b) 啟用授權(quán)驗(yàn)證
2) 對(duì)企業(yè)用戶
a) 如果沒有UDP相關(guān)業(yè)務(wù),可以在上層或者本機(jī)防火墻過濾掉UDP包。
b) 可以尋求運(yùn)營商提供UDP黑洞的IP網(wǎng)段做對(duì)外網(wǎng)站服務(wù)
c) 可以選擇接入DDoS云防安全服務(wù)
3)對(duì)物聯(lián)網(wǎng)用戶
a) 如果沒有公網(wǎng)訪問需求,物聯(lián)網(wǎng)設(shè)備不啟用公網(wǎng)IP。
b) 如果有公網(wǎng)訪問需求,應(yīng)添加防火墻規(guī)則,限制訪問IP,減少互聯(lián)網(wǎng)暴露。
c) 設(shè)備初始配置時(shí),設(shè)備通信配置上優(yōu)先選擇TCP通信。
原文鏈接地址:https://bsi.baidu.com/article/detail/128
以上是潮人地東莞seo博客跟大家分享關(guān)于seo推廣技巧之:基于ONVIF協(xié)議的物聯(lián)網(wǎng)設(shè)備參與DDoS反射攻擊等問題,希望能對(duì)大家有所幫助,若有不足之處,請(qǐng)諒解,我們大家可以一起討論關(guān)于網(wǎng)站seo優(yōu)化排名的技巧,一起學(xué)習(xí),以上內(nèi)容僅供參考。
