Vos �quipements bas�s sur le protocole ONVIF refl�te la participation des attaques DDoS

I. Vue d'ensemble

D'apr�s le point d'attaque initi� par p�riph�rique choses pass�es de vue, la plupart des attaques inondations. Mirai virus tristement c�l�bre est l'utilisation du dispositif de choses de lacunes, un grand nombre d'envahisseurs �quipements r�seau, la mise en uvre de construction botnet d'attaques DDoS. Cependant, cette attaque est diff�rent des attaques contre les inondations conventionnelles, cette attaque en utilisant beaucoup de choses � utiliser les caract�ristiques du protocole UDP initi� amplifie une attaque DDoS.

En second lieu, l'�tude d'attaque

syst�me de bouclier Zhiyun d�tecte une attaque, le trafic d'attaque automatique de pr�l�vement, paquet �chantillon d'experts en s�curit� rapidement proc�d� � une analyse approfondie et des exercices. Les attaques impliquant une source de r�flexion totale. 1665

2.1 Analyse des paquets d'attaque

Par sac d'�chantillonnage d'attaque de bouclier nuage Chi trouv�, le port source 3702 se refl�te le trafic, si la fl�che rouge vers le port source de r�flexion:

Sac Attaque d'�chantillonnage 1. La figure Source Port Fig.

des donn�es de charge utile de paquet afficher le format du savon format XML, SOAP format de donn�es XML repr�sent� sur la figure 2 comme suit.:

La figure 2 savon contenu des donn�es XML

Ici, nous allons s�parer le contenu de la charge utile du paquet extrait, comme le montre la figure 3:

La figure 3 donn�es s�par�e du savon extraite du contenu XML

Pour cette attaque, on extrait les donn�es de trafic de demande correspondant du centre intellectuel de bouclier de nuages pour l'analyse de la menace, c'est le reflet de l'utilisation du protocole ONVIF attaque. Chi experts en s�curit� bouclier nuage analysant les attaques refl�tent les attaques de r�flexion classiques caract�ristiques similaires, � l'exception que l'utilisation de choses comme un dispositif de source de r�flexion.

Ce qui suit �laborera sur le principe d'attaque de r�flexion.

2.2 attaques

Les attaques DDoS type de r�flexion n'attaque pas directement victime IP, la configuration IP, mais dans le paquet UDP victime, et transmet le paquet � la source de r�flexion fausse, source de r�flexion en r�ponse au d�bit d�passe de loin l'attaquant IP victime UDP forge les donn�es de trafic, ce mode de r�alisation DDoS pirates repose attaque DDoS forme de r�alisation des victimes, le type de r�flexion illustr� � la figure 4 comme suit:

4 une vue sch�matique d'attaques de r�flexion FIG

Figure 4 pirates de faux paquets UDP envoy�s � l'amplificateur, � travers le bouclier nuage �quipe de chi DDoS attaques sur la transformation de la reproduction standard et paquet de demande WS-DISCOVERY, cha�ne de charge utile apr�s la transformation de la mani�re suivante:

< soap: Envelope > < soap: Header > < WSA: Action > < / Wsa: Action > < WSA: MessageID > urn: UUID: < / Wsa: MessageID > < WSA: Pour > < / Wsa: Pour > < / Soap: En-t�te > < savon: corps > < tns: Sonde / > < / Soap: Body > < / Soap: Envelope >

Utilisation de la transmission UDP, la cha�ne est envoy�e sur le port 3702, le serveur renvoie le ciblage paquet de r�ponse WS-DISCOVERY. savon format XML d�fini par WS-DISCOVERY est pas satisfaite, l'interface est pas le paquet de demande de r�ponse est mis au rebut.

2.3 grossissement

Selon nos �tudes pr�c�dentes sur un grossissement de r�flexion, en utilisant un grossissement statistique scientifique lorsque, en r�ponse � l'en-t�te de demande est vide m�me r�seau doit �tre pris en compte.

Nous avons essay� de bouclier Zhiyun Centre des menaces prises pour les pirates r�flexion paquet de requ�te d'attaque reproduit, et d'optimiser le contenu demand�, ce qui r�duit la taille de la charge utile a demand� � 211 octets, en r�ponse � la longueur du paquet de r�ponse d'une adresse de p�riph�rique vid�o unique est 1515 octets (feuille regard�, en-t�te de tranche est de 34 + 4 + 20 = 58), la figure 5 est un th�me r�current.:

5 la figure WS-DISCOVERY th�me r�current

Par cons�quent, le grossissement est calcul� (1515 + 66 + 58) / (211 + 66) = 5,92 fois.

En trouvant les �chantillons r�els Zhiyun paquets de l'attaque d'�cran, en r�ponse au contenu de la plupart des 3558 octets sont divis�es en paquets de r�ponse de trois pi�ces, la longueur totale peut atteindre 3558 * 2 + 66 + 58 = 3740 octets, ce qui dans le cas o� le grossissement maximum est 3740/277 = 13,5 fois.

Par cons�quent, � partir des observations actuelles nous avons suppos� que le grossissement de 5-14 fois.

En troisi�me lieu, l'analyse de la source de r�flexion

Chi experts en s�curit� bouclier nuage en r�fl�chissant sur l'enqu�te IP source a r�v�l� que la source principale est l'utilisation de la source de r�flexion est un dispositif de cam�ra vid�o, ces appareils IP sur un total de 60 pays et r�gions. Dans lequel la plupart du temps la source de r�flexion en Chine Taiwan, en Hongrie et aux �tats-Unis.

Ces dispositifs ont adopt� le protocole protocole unifi� de gestion des communications ONVIF faire.

3.1 ONVIF protocole d�crit

ONVIF s'engage � promouvoir l'application de la vid�o r�seau sur le march� de la s�curit� gr�ce � une norme d'interface ouverte globale, la sp�cification d'interface veillera � ce que les diff�rents fabricants de produits vid�o r�seau ont l'interop�rabilit�. Les services Web sont la sp�cification section de contr�le de gestion des p�riph�riques d'interface ONVIF et forme d�finie. Serveur et les donn�es d'interaction client en utilisant le format de donn�es xml savon.

pirate WS-DISCOVERY utilise cette interface � l'interface de d�couverte de dispositif, d'une mani�re protocole de transfert de donn�es d�fini par l'ONVIF d'utiliser UDP.

3.2 interfaces d�fectueuses WS-DISCOVERY

�quipement de support du protocole ONVIF n�cessaire pour la d�tection des p�riph�riques et des �quipements de d�tection ONVIF d�couverte de service de protocole est inf�rieure � WS-D�COUVERTE que nous disons.

WS-DECOUVERTE, le client 3702 transmet un message de diffusion � l'adresse IP du port de la source de r�flexion, attendez que le dispositif de r�seau en r�ponse � leur protocole ONVIF IP, UUID, Adresse du PE et d'autres informations.

Strictement parlant exposer le port UDP fournit des services dans le r�seau public, il doit se conformer strictement par le rapport de la demande et la taille de r�ponse de 1: 1 relation, mais ici ONVIF comme la d�tection de p�riph�rique de port 3702 ne suit pas ce principe, entra�nant une exposition au r�seau public le port 3702 est utilis� comme une source de r�flexion.

3.3 port du protocole ONVIF 3702 est expos� sur l'�tat du r�seau public

Une recherche a r�v�l� que environ 21 millions de consoles dans le monde entier l'exposition du port 3702, si pris en charge ONVIF protocole, peuvent �tre utilis�s comme une source d'attaque de r�flexion, comme le montre la figure 6 du SHODAN de 3702 li�es au port:

La figure 63.702 profil de port (donn�es de shodan.io)

bouclier nuage de r�flexion Source pour capturer la sagesse des attaques impliquant l'analyse, qui comprend beaucoup d'exposition au dispositif de r�seau public IOT, la plupart des �quipements vid�o, une petite partie du dispositif d'imprimante et d'autres choses, impliquant de nombreuses entreprises, y compris certains les principaux fabricants d'�quipement vid�o.

les tendances d'attaque de r�flexion Quatre, DDoS

Les sp�cifications service r�seau vid�o d'attaque d�finit la sonde d'interface est utilis� comme source de r�flexion, le facteur de r�flexion est plus grande attaque, et l'utilisation du dispositif r�fl�chissant les choses beaucoup de mal. Par rapport � l'attaque traditionnelle de DRDOS, l'attaque utilise un dispositif de choses de la vuln�rabilit� du protocole, avec la popularit� des choses, des attaques similaires seront de plus en plus.

Avec les attaques des choses dispositif lancement DDoS, le r�sum� vis� choses �quipement Mirai pour la ligne de but de l'infection dans un �norme botnet lanc� des attaques DDoS, et l'attaque est diff�rente, ce qui refl�te l'utilisation des choses d'attaque initi�e appareil sans dispositif d'intrusion la construction d'un grand botnet peut �tre r�alis�, la popularit� des choses ont facilit� la mise en uvre des grandes attaques de pirates de flux.

Cinqui�mement, les recommandations de pr�vention

1) services Internet

Lorsqu'un) UDP est d�sactiv�, ne peut pas �tre d�sactiv�, assurer les demandes et r�ponses ne sont pas des relations multiples

b) permettre la v�rification de l'autorisation

2) pour les utilisateurs d'entreprise

a) Si aucune UDP d'affaires concern�, le paquet UDP peut �tre filtr� pr�sent dans la partie sup�rieure ou pare-feu.

b) fournir aux op�rateurs peuvent rechercher trou noir UDP de services de r�seau IP ne site Web externe

c) peut choisir d'acc�der � des services de s�curit� de pr�vention DDoS nuage

3) Les choses utilisateur

a) S'il n'y a pas d'exigences d'acc�s du public, des �quipements de r�seau IP ne permet pas le r�seau public.

b) S'il y a une des exigences d'acc�s au r�seau public, vous devez ajouter des r�gles de pare-feu pour limiter l'acc�s � la propri�t� intellectuelle, afin de r�duire l'exposition � l'Internet.

c) le dispositif de configuration initiale, de pr�f�rence de communication TCP sur la configuration de communication de dispositif.

* Auteur: Baidu Security Labs, s'il vous pla�t indiquer de FreeBuf.COM

Route de la soie

Apprenez � conna�tre la Chine

Vos �quipements bas�s sur le protocole ONVIF refl�te la participation des attaques DDoS