I. Vue d'ensemble
D'après le point d'attaque initié par périphérique choses passées de vue, la plupart des attaques inondations. Mirai virus tristement célèbre est l'utilisation du dispositif de choses de lacunes, un grand nombre d'envahisseurs équipements réseau, la mise en uvre de construction botnet d'attaques DDoS. Cependant, cette attaque est différent des attaques contre les inondations conventionnelles, cette attaque en utilisant beaucoup de choses à utiliser les caractéristiques du protocole UDP initié amplifie une attaque DDoS.
En second lieu, l'étude d'attaque
système de bouclier Zhiyun détecte une attaque, le trafic d'attaque automatique de prélèvement, paquet échantillon d'experts en sécurité rapidement procédé à une analyse approfondie et des exercices. Les attaques impliquant une source de réflexion totale. 1665
2.1 Analyse des paquets d'attaque
Par sac d'échantillonnage d'attaque de bouclier nuage Chi trouvé, le port source 3702 se reflète le trafic, si la flèche rouge vers le port source de réflexion:
Sac Attaque d'échantillonnage 1. La figure Source Port Fig.des données de charge utile de paquet afficher le format du savon format XML, SOAP format de données XML représenté sur la figure 2 comme suit.:
La figure 2 savon contenu des données XMLIci, nous allons séparer le contenu de la charge utile du paquet extrait, comme le montre la figure 3:
La figure 3 données séparée du savon extraite du contenu XMLPour cette attaque, on extrait les données de trafic de demande correspondant du centre intellectuel de bouclier de nuages pour l'analyse de la menace, c'est le reflet de l'utilisation du protocole ONVIF attaque. Chi experts en sécurité bouclier nuage analysant les attaques reflètent les attaques de réflexion classiques caractéristiques similaires, à l'exception que l'utilisation de choses comme un dispositif de source de réflexion.
Ce qui suit élaborera sur le principe d'attaque de réflexion.
2.2 attaques
Les attaques DDoS type de réflexion n'attaque pas directement victime IP, la configuration IP, mais dans le paquet UDP victime, et transmet le paquet à la source de réflexion fausse, source de réflexion en réponse au débit dépasse de loin l'attaquant IP victime UDP forge les données de trafic, ce mode de réalisation DDoS pirates repose attaque DDoS forme de réalisation des victimes, le type de réflexion illustré à la figure 4 comme suit:
4 une vue schématique d'attaques de réflexion FIGFigure 4 pirates de faux paquets UDP envoyés à l'amplificateur, à travers le bouclier nuage équipe de chi DDoS attaques sur la transformation de la reproduction standard et paquet de demande WS-DISCOVERY, chaîne de charge utile après la transformation de la manière suivante:
< soap: Envelope > < soap: Header > < WSA: Action > < / Wsa: Action > < WSA: MessageID > urn: UUID: < / Wsa: MessageID > < WSA: Pour > < / Wsa: Pour > < / Soap: En-tête > < savon: corps > < tns: Sonde / > < / Soap: Body > < / Soap: Envelope >Utilisation de la transmission UDP, la chaîne est envoyée sur le port 3702, le serveur renvoie le ciblage paquet de réponse WS-DISCOVERY. savon format XML défini par WS-DISCOVERY est pas satisfaite, l'interface est pas le paquet de demande de réponse est mis au rebut.
2.3 grossissement
Selon nos études précédentes sur un grossissement de réflexion, en utilisant un grossissement statistique scientifique lorsque, en réponse à l'en-tête de demande est vide même réseau doit être pris en compte.
Nous avons essayé de bouclier Zhiyun Centre des menaces prises pour les pirates réflexion paquet de requête d'attaque reproduit, et d'optimiser le contenu demandé, ce qui réduit la taille de la charge utile a demandé à 211 octets, en réponse à la longueur du paquet de réponse d'une adresse de périphérique vidéo unique est 1515 octets (feuille regardé, en-tête de tranche est de 34 + 4 + 20 = 58), la figure 5 est un thème récurrent.:
5 la figure WS-DISCOVERY thème récurrentPar conséquent, le grossissement est calculé (1515 + 66 + 58) / (211 + 66) = 5,92 fois.
En trouvant les échantillons réels Zhiyun paquets de l'attaque d'écran, en réponse au contenu de la plupart des 3558 octets sont divisées en paquets de réponse de trois pièces, la longueur totale peut atteindre 3558 * 2 + 66 + 58 = 3740 octets, ce qui dans le cas où le grossissement maximum est 3740/277 = 13,5 fois.
Par conséquent, à partir des observations actuelles nous avons supposé que le grossissement de 5-14 fois.
En troisième lieu, l'analyse de la source de réflexion
Chi experts en sécurité bouclier nuage en réfléchissant sur l'enquête IP source a révélé que la source principale est l'utilisation de la source de réflexion est un dispositif de caméra vidéo, ces appareils IP sur un total de 60 pays et régions. Dans lequel la plupart du temps la source de réflexion en Chine Taiwan, en Hongrie et aux États-Unis.
Ces dispositifs ont adopté le protocole protocole unifié de gestion des communications ONVIF faire.
3.1 ONVIF protocole décrit
ONVIF s'engage à promouvoir l'application de la vidéo réseau sur le marché de la sécurité grâce à une norme d'interface ouverte globale, la spécification d'interface veillera à ce que les différents fabricants de produits vidéo réseau ont l'interopérabilité. Les services Web sont la spécification section de contrôle de gestion des périphériques d'interface ONVIF et forme définie. Serveur et les données d'interaction client en utilisant le format de données xml savon.
pirate WS-DISCOVERY utilise cette interface à l'interface de découverte de dispositif, d'une manière protocole de transfert de données défini par l'ONVIF d'utiliser UDP.
3.2 interfaces défectueuses WS-DISCOVERY
équipement de support du protocole ONVIF nécessaire pour la détection des périphériques et des équipements de détection ONVIF découverte de service de protocole est inférieure à WS-DÉCOUVERTE que nous disons.
WS-DECOUVERTE, le client 3702 transmet un message de diffusion à l'adresse IP du port de la source de réflexion, attendez que le dispositif de réseau en réponse à leur protocole ONVIF IP, UUID, Adresse du PE et d'autres informations.
Strictement parlant exposer le port UDP fournit des services dans le réseau public, il doit se conformer strictement par le rapport de la demande et la taille de réponse de 1: 1 relation, mais ici ONVIF comme la détection de périphérique de port 3702 ne suit pas ce principe, entraînant une exposition au réseau public le port 3702 est utilisé comme une source de réflexion.
3.3 port du protocole ONVIF 3702 est exposé sur l'état du réseau public
Une recherche a révélé que environ 21 millions de consoles dans le monde entier l'exposition du port 3702, si pris en charge ONVIF protocole, peuvent être utilisés comme une source d'attaque de réflexion, comme le montre la figure 6 du SHODAN de 3702 liées au port:
La figure 63.702 profil de port (données de shodan.io)bouclier nuage de réflexion Source pour capturer la sagesse des attaques impliquant l'analyse, qui comprend beaucoup d'exposition au dispositif de réseau public IOT, la plupart des équipements vidéo, une petite partie du dispositif d'imprimante et d'autres choses, impliquant de nombreuses entreprises, y compris certains les principaux fabricants d'équipement vidéo.
les tendances d'attaque de réflexion Quatre, DDoS
Les spécifications service réseau vidéo d'attaque définit la sonde d'interface est utilisé comme source de réflexion, le facteur de réflexion est plus grande attaque, et l'utilisation du dispositif réfléchissant les choses beaucoup de mal. Par rapport à l'attaque traditionnelle de DRDOS, l'attaque utilise un dispositif de choses de la vulnérabilité du protocole, avec la popularité des choses, des attaques similaires seront de plus en plus.
Avec les attaques des choses dispositif lancement DDoS, le résumé visé choses équipement Mirai pour la ligne de but de l'infection dans un énorme botnet lancé des attaques DDoS, et l'attaque est différente, ce qui reflète l'utilisation des choses d'attaque initiée appareil sans dispositif d'intrusion la construction d'un grand botnet peut être réalisé, la popularité des choses ont facilité la mise en uvre des grandes attaques de pirates de flux.
Cinquièmement, les recommandations de prévention
1) services Internet
Lorsqu'un) UDP est désactivé, ne peut pas être désactivé, assurer les demandes et réponses ne sont pas des relations multiples
b) permettre la vérification de l'autorisation
2) pour les utilisateurs d'entreprise
a) Si aucune UDP d'affaires concerné, le paquet UDP peut être filtré présent dans la partie supérieure ou pare-feu.
b) fournir aux opérateurs peuvent rechercher trou noir UDP de services de réseau IP ne site Web externe
c) peut choisir d'accéder à des services de sécurité de prévention DDoS nuage
3) Les choses utilisateur
a) S'il n'y a pas d'exigences d'accès du public, des équipements de réseau IP ne permet pas le réseau public.
b) S'il y a une des exigences d'accès au réseau public, vous devez ajouter des règles de pare-feu pour limiter l'accès à la propriété intellectuelle, afin de réduire l'exposition à l'Internet.
c) le dispositif de configuration initiale, de préférence de communication TCP sur la configuration de communication de dispositif.
* Auteur: Baidu Security Labs, s'il vous plaît indiquer de FreeBuf.COM