威廉希尔中文网站

?
400-818-6868

安全研究

研究报告
WS-Discovery反射攻击深度分析报告

WS-Discovery(WSD)因可被用于DDoS反射攻击而逐渐引起人们的关注。本文对WSD进行了简单介绍,之后,分别从互联网暴露情况和蜜罐捕获的威胁两个角度进行了分析。 

本文的关键发现如下: 

- 自WSD反射攻击在今年2月被百度安全研究人员披露以来,今年下半年利用WSD进行反射攻击的事件明显增多。蜜罐捕获的WSD反射攻击事件从8月中旬开始呈现上升趋势,9月份之后增长快速,需要引起相关人员(如安全厂商、服务提供商、运营商等)足够的重视。 

- 全球有约91万个IP开放了WSD服务,存在被利用进行DDoS攻击的风险,其中有约73万是视频监控设备,约占总量的80%。 

- 开放WSD服务的设备暴露数量最多的五个国家依次是中国、越南、巴西、美国和韩国。而其中的视频监控设备暴露数量,又以越南最多。 

- 约有24%的设备对于WSD的回复报文的源端口并不是3702端口,这对DDoS防护提出了新挑战。 

- 攻击者在进行WSD反射攻击时,通常不会采用合法的服务发现报文作为攻击载荷,而是尝试通过一些长度很短的载荷来进行攻击。出现最多的是一个三个字节的攻击载荷,约占所有攻击日志数量的三分之二。 

- 我们对这个三字节的攻击载荷进行了全网探测,发现并非所有的WSD服务都对其进行响应,有回应的IP数量接近3万个。对其有回应的设备暴露数量最多的三个国家依次是美国、韩国和中国。这些设备以视频监控设备和打印机为主。该载荷所造成的反射攻击的平均带宽放大因子为443。 

- 92%的攻击事件中,攻击者只会攻击目标IP的一个端口。但是,也有3%的事件,攻击者会攻击目标IP的上千个端口。这会影响目标IP路径上的带宽,造成路径上的转发设备超过带宽随机丢报文。 

- 攻击者在进行DDoS攻击时,还有可能攻击目标IP所在的网段,这同样会影响目标IP路径上的带宽。在这种情况下,用户甚至都不知道自己遭受了攻击。 

- 蜜罐数据显示,中国是WSD反射攻击受害最严重的国家,中国的IP占全部受害者IP的33%,排在第二位的是美国,占比为21%。 




报告下载

WS-Discovery反射攻击深度分析报告.pdf


浏览次数:

关 闭
XML 地图 | Sitemap 地图