物联网反射攻击情况

物联网

安全威胁专题观点 5：通过绿盟威胁捕获系统，我们在 2020 年监测到近 10 种物联网相关威胁，利用的脆弱性涉及 弱口令、远程命令执行漏洞等。长期以来，攻击者一直企图采取各种新型手段去探测、攻击并控制物联 网设备，不需要花费较高成本即可创建数量庞大的物联网僵尸网络，进而执行传播感染、拒绝服务、域 名劫持和钓鱼欺诈等攻击，危害互联网
重要基础设施和广大普通用户。

物联网反射攻击情况

4.4.1.1　简介
近年来，越来越多有脆弱性且可被利用于反射攻击的 UDP协议进入人们的视线，如 CoAP、 Ubiquiti、WS-Discovery、OpenVPN、DHDiscover、ADDP 等，这些攻击方式都与物联网有关，且区别 于大家所熟知的 DNS、SSDP、NTP、Memcache
d 等反射攻击类型，给 DDoS缓解带来了一定的挑战。表 4.2 是本节涉及到的 6 个物联网反射攻击相关协议的简介，从中可以看出，这 6 个协议大致可以 分为三类，第一类是轻量级的通信协议，如 CoAP，在资源受限的物联网设备上使用；第二类是设备发现、 服务发现类协议，用于局域网中的设备和服务发现，这类协议也是种类最多的，很多厂商都实现了自己 的设备和服务发现协议；第三类是 OpenVPN，用于建立 VPN连接。
借助绿盟威胁情报中心（NTI）的全网测绘数据和绿盟威胁捕获系统主动捕获的数据，本节对运行 上述物联网协议的服务的全网暴露情况、反射攻击趋势、攻击者常用的攻击手法、反射攻击带宽放大因 子等进行了分析。
表 4.2　物联网反射攻击相关协议简介

名称	常见端口	用途	其它信息
CoAP (Constrained Application Protocol)	5683	使用在资源受限的物联网设备上	RFC 7252
Ubiquiti	10001	设备发现
WS-Discovery (Web Services Dynamic Discovery)	3702	服务发现，类似	SSDP
DHDiscover	37810 23000	设备发现
ADDP (Advanced Digi Discovery Protocol)	2362	设备发现
OpenVPN	1194	建立 VPN连接
4.4.1.2　物联网反射攻击相关服务的暴露情况分析
前述 6 个服务的全球暴露情况如图 4.9 所示，采用的是绿盟威胁情报中心在 2020 年的单次完整测 绘的数据。可见 WS-Discovery、OpenVPN 和 CoAP 服务的暴露数量均在 70 万左右，DHDiscover 也达 到了 30 万左右。

图 4.9　物联网服务全球暴露情况
我们对这些服务在被用于反射攻击时的放大因子进行了测算，如表 4.3 所示，WS-Discovery、 DHDiscover 反射攻击的放大因子远高于其他协议，值得引起重视 1。
表 4.3　物联网反射攻击相关协议的放大因子

协议名称				放大因子
WS-Discovery（个例）				443
DHDiscover（个例）				178.5
DHDiscover				11.4
Ubiquiti				35.0
CoAP（个例）				24.6
CoAP				10.6
ADDP				10.1
OpenVPN				5.9
OpenVPN（个例）				13
发送包长度（字节）	响应包平均长度（字节）	响应数量（个）
-	-	-
3	1330	28918
4	714.1	165335
62	705.3	308198
4	139.8	102088
21	516	235730
21	222	723307
14	141.7	5764
14	26+14+14+14+14	755753
2	26	51161
4.4.1.3　物联网反射攻击分析
图 4.10是绿盟威胁捕获系统捕获到的物联网反射攻击情况，时间跨度为 2020 年 6 月 1 日至 10 月
我们对于放大因子（bandwidth amplification factor，BAF）的计算采用 NDSS 2014 的论文 Amplification Hell: Revisiting Network Protocols for DDoS Abuse 上对于带宽放大因子的计算方法，不包含 UDP的报文头的长度。

27 日。从中可以看出，WS-Discovery 反射攻击最受攻击者欢迎，美国联邦调查局（FBI）在今年也对 其发出了警告 [24]。此外，我们在 8 月 20 日捕获到了较大规模的 OpenVPN 反射攻击；10 月 1 日起， ADDP反射攻击暴增。
另外，为了更好地衡量反射攻击规模，我们对单一蜜罐节点、单一反射攻击类型的单日最大攻击次 数进行了简要分析。其中，WS-Discovery 反射攻击最大攻击次数达到了九千万左右，Ubiquiti 反射攻击 达到了七千万左右，CoAP 和 DHDiscover 反射攻击达到了三千万左右，ADDP反射攻击达到了一千万 左右， OpenVPN 反射攻击只有一天，达到了数十万量级 1。
图 4.10　物联网反射攻击变化情况
图 4.11 是攻击者的常用 Payload 分布情况，出于尽量不扩散攻击报文的考虑，这里我们按照出现 的报文的长度对其命名。从中可以看出，攻击者偏爱短字节 Payload，结合我们在表 4.2 中对于放大因 子的测算，可以看出，采用短字节 Payload 可以造成更大的放大因子。
1　有些反射攻击看起来不够连续，与系统运营有关，但不影响对其攻击量级的认知。

（a）WS-Discovery Payload 分布 （b）CoAP Payload 分布
（c）Ubiquiti Payload 分布 （d）DHDiscover Payload 分布
（e）OpenVPN Payload 分布 （f）ADDP Payload 分布
图 4.11　攻击者常用 Payload 分布情况

图 4.12 是物联网反射攻击的受害者的分布情况，从中可以看出，美国受反射攻击影响最为严重。
（a）WS-Discovery 攻击受害者分布 （b）CoAP 攻击受害者分布
（c）Ubiquiti 攻击受害者分布 （d）DHDiscover 攻击受害者分布
（e）OpenVPN 攻击受害者分布 （f）ADDP 攻击受害者分布
图 4.12　物联网反射攻击受害者分布情况

参考资料

绿盟 2020物联网安全年报

友情链接

GB-T 36466-2018 信息安全技术 工业控制系统风险评估实施指南