物联网
安全威胁专题观点 5:通过绿盟威胁捕获系统,我们在 2020 年监测到近 10 种物联网相关威胁,利用的脆弱性
涉及 弱口令、远程命令执行漏洞等。长期以来,攻击者一直企图采取各种新型手段去探测、攻击并控制物联 网设备,不需要花费较高成本即可创建数量庞大的物联网僵尸网络,进而执行传播感染、拒绝服务、域 名劫持和钓鱼欺诈等攻击,危害互联网重要基础设施和广大普通用户。
物联网反射攻击情况
4.4.1.1 简介
近年来,越来越多有脆弱性且可被利用于反射攻击的 UDP协议进入人们的视线,如 CoAP、 Ubiquiti、WS-Disc
overy、OpenVPN、DHDiscover、ADDP 等,这些攻击方式都与物联网有关,且区别 于大家所熟知的 DNS、SSDP、NTP、Memcached 等反射攻击类型,给 DDoS缓解带来了一定的挑战。表 4.2 是本节涉及到的 6 个物联网反射攻击相关协议的简介,从中可以看出,这 6 个协议大致可以 分为三类,第一类是轻量级的通信协议,如 CoAP,在资源受限的物联网设备上使用;第二类是设备发现、 服务发现类协议,用于局域网中的设备和服务发现,这类协议也是种类最多的,很多厂商都实现了自己 的设备和服务发现协议;第三类是 OpenVPN,用于建立 VPN连接。
借助绿盟威胁情报中心(NTI)的全网测绘数据和绿盟威胁捕获系统主动捕获的数据,本节对运行 上述物联网协议的服务的全网暴露情况、反射攻击趋势、攻击者常用的攻击手法、反射攻击带宽放大因 子等进行了分析。
表 4.2 物联网反射攻击相关协议简介
名称 | 常见端口 | 用途 | 其它信息 |
---|---|---|---|
CoAP (Constrained Application Protocol) | 5683 | 使用在资源受限的物联网设备上 | RFC 7252 |
Ubiquiti | 10001 | 设备发现 | |
WS-Discovery (Web Services Dynamic Discovery) | 3702 | 服务发现,类似 | SSDP |
DHDiscover | 37810 23000 | 设备发现 | |
ADDP (Advanced Digi Discovery Protocol) | 2362 | 设备发现 | |
OpenVPN | 1194 | 建立 VPN连接 | |
4.4.1.2 物联网反射攻击相关服务的暴露情况分析 | |||
前述 6 个服务的全球暴露情况如图 4.9 所示,采用的是绿盟威胁情报中心在 2020 年的单次完整测 绘的数据。可见 WS-Discovery、OpenVPN 和 CoAP 服务的暴露数量均在 70 万左右,DHDiscover 也达 到了 30 万左右。 |
图 4.9 物联网服务全球暴露情况
我们对这些服务在被用于反射攻击时的放大因子进行了测算,如表 4.3 所示,WS-Discovery、 DHDiscover 反射攻击的放大因子远高于其他协议,值得引起重视 1。
表 4.3 物联网反射攻击相关协议的放大因子
协议名称 | 放大因子 | |||
---|---|---|---|---|
WS-Discovery(个例) | 443 | |||
DHDiscover(个例) | 178.5 | |||
DHDiscover | 11.4 | |||
Ubiquiti | 35.0 | |||
CoAP(个例) | 24.6 | |||
CoAP | 10.6 | |||
ADDP | 10.1 | |||
OpenVPN | 5.9 | |||
OpenVPN(个例) | 13 | |||
发送包长度(字节) | 响应包平均长度(字节) | 响应数量(个) | ||
- | - | - | ||
3 | 1330 | 28918 | ||
4 | 714.1 | 165335 | ||
62 | 705.3 | 308198 | ||
4 | 139.8 | 102088 | ||
21 | 516 | 235730 | ||
21 | 222 | 723307 | ||
14 | 141.7 | 5764 | ||
14 | 26+14+14+14+14 | 755753 | ||
2 | 26 | 51161 | ||
4.4.1.3 物联网反射攻击分析 | ||||
图 4.10是绿盟威胁捕获系统捕获到的物联网反射攻击情况,时间跨度为 2020 年 6 月 1 日至 10 月 | ||||
我们对于放大因子(bandwidth amplification factor,BAF)的计算采用 NDSS 2014 的论文 Amplification Hell: Revisiting Network Protocols for DDoS Abuse 上对于带宽放大因子的计算方法,不包含 UDP的报文头的长度。 |
27 日。从中可以看出,WS-Discovery 反射攻击最受攻击者欢迎,美国联邦调查局(FBI)在今年也对 其发出了警告 [24]。此外,我们在 8 月 20 日捕获到了较大规模的 OpenVPN 反射攻击;10 月 1 日起, ADDP反射攻击暴增。
另外,为了更好地衡量反射攻击规模,我们对单一蜜罐节点、单一反射攻击类型的单日最大攻击次 数进行了简要分析。其中,WS-Discovery 反射攻击最大攻击次数达到了九千万左右,Ubiquiti 反射攻击 达到了七千万左右,CoAP 和 DHDiscover 反射攻击达到了三千万左右,ADDP反射攻击达到了一千万 左右, OpenVPN 反射攻击只有一天,达到了数十万量级 1。
图 4.10 物联网反射攻击变化情况
图 4.11 是攻击者的常用 Payload 分布情况,出于尽量不扩散攻击报文的考虑,这里我们按照出现 的报文的长度对其命名。从中可以看出,攻击者偏爱短字节 Payload,结合我们在表 4.2 中对于放大因 子的测算,可以看出,采用短字节 Payload 可以造成更大的放大因子。
1 有些反射攻击看起来不够连续,与系统运营有关,但不影响对其攻击量级的认知。
(a)WS-Discovery Payload 分布 (b)CoAP Payload 分布
(c)Ubiquiti Payload 分布 (d)DHDiscover Payload 分布
(e)OpenVPN Payload 分布 (f)ADDP Payload 分布
图 4.11 攻击者常用 Payload 分布情况
图 4.12 是物联网反射攻击的受害者的分布情况,从中可以看出,美国受反射攻击影响最为严重。
(a)WS-Discovery 攻击受害者分布 (b)CoAP 攻击受害者分布
(c)Ubiquiti 攻击受害者分布 (d)DHDiscover 攻击受害者分布
(e)OpenVPN 攻击受害者分布 (f)ADDP 攻击受害者分布
图 4.12 物联网反射攻击受害者分布情况