物联网
安全威胁专题观点 5:通过绿盟威胁捕获系统,我们在 2020 年监测到近 10 种物联网相关威胁,利用的脆弱性涉及 弱口令、远程命令执行漏洞等。长期以来,攻击者一直企图采取各种新型手段去探测、攻击并控制物联 网设备,不需要花费较高成本即可创建数量庞大的物联网僵尸网络,进而执行传播感染、拒绝服务、域 名劫持和钓鱼欺诈等攻击,危害互联网 重要基础设施和广大普通用户。
物联网反射攻击情况
4.4.1.1 简介 近年来,越来越多有脆弱性且可被利用于反射攻击的 UDP协议进入人们的视线,如 CoAP、 Ubiquiti、WS-Discov ery、OpenVPN、DHDiscover、ADDP 等,这些攻击方式都与物联网有关,且区别 于大家所熟知的 DNS、SSDP、NTP、Memcached 等反射攻击类型,给 DDoS缓解带来了一定的挑战。表 4.2 是本节涉及到的 6 个物联网反射攻击相关协议的简介,从中可以看出,这 6 个协议大致可以 分为三类,第一类是轻量级的通信协议,如 CoAP,在资源受限的物联网设备上使用;第二类是设备发现、 服务发现类协议,用于局域网中的设备和服务发现,这类协议也是种类最多的,很多厂商都实现了自己 的设备和服务发现协议;第三类是 OpenVPN,用于建立 VPN连接。 借助绿盟威胁情报中心(NTI)的全网测绘数据和绿盟威胁捕获系统主动捕获的数据,本节对运行 上述物联网协议的服务的全网暴露情况、反射攻击趋势、攻击者常用的攻击手法、反射攻击带宽放大因 子等进行了分析。 表 4.2 物联网反射攻击相关协议简介
| 名称 | 常见端口 | 用途 | 其它信息 | |
|---|---|---|---|---|
| CoAP (Constrained Application Protocol) | 5683 | 使用在资源受限的物联网设备上 | RFC 7252 | |
| Ubiquiti | 10001 | 设备发现 | 厂商 Ubiquiti 的设备使用 | |
| WS-Discovery (Web Services Dynamic Discovery) | 3702 | 服务发现,类似 | SSDP | 被 ONVIF组织、HP 打印机、某 NAS厂商采用 |
| DHDiscover | 37810 23000 | 设备发现 | 视频监控设备相关 | |
| ADDP (Advanced Digi Discovery Protocol) | 2362 | 设备发现 | 厂商 Digi的设备使用 | |
| OpenVPN | 1194 | 建立 VPN连接 | 当 OpenVPN 发送出数据包后,若在超时时间内没有 收到对应的确认包,则会进行多次数据重传,直到 socket 超时(默认 30s) | |
| 4.4.1.2 物联网反射攻击相关服务的暴露情况分析 | ||||
| 前述 6 个服务的全球暴露情况如图 4.9 所示,采用的是绿盟威胁情报中心在 2020 年的单次完整测 绘的数据。可见 WS-Discovery、OpenVPN 和 CoAP 服务的暴露数量均在 70 万左右,DHDiscover 也达 到了 30 万左右。 |
图 4.9 物联网服务全球暴露情况
我们对这些服务在被用于反射攻击时的放大因子进行了测算,如表 4.3 所示,WS-Discovery、 DHDiscover 反射攻击的放大因子远高于其他协议,值得引起重视 1。
表 4.3 物联网反射攻击相关协议的放大因子
| 协议名称 | 放大因子 | |||
|---|---|---|---|---|
| WS-Discovery(个例) | 443 | |||
| DHDiscover(个例) | 178.5 | |||
| DHDiscover | 11.4 | |||
| Ubiquiti | 35.0 | |||
| CoAP(个例) | 24.6 | |||
| CoAP | 10.6 | |||
| ADDP | 10.1 | |||
| OpenVPN | 5.9 | |||
| OpenVPN(个例) | 13 | |||
| 发送包长度(字节) | 响应包平均长度(字节) | 响应数量(个) | ||
| - | - | - | ||
| 3 | 1330 | 28918 | ||
| 4 | 714.1 | 165335 | ||
| 62 | 705.3 | 308198 | ||
| 4 | 139.8 | 102088 | ||
| 21 | 516 | 235730 | ||
| 21 | 222 | 723307 | ||
| 14 | 141.7 | 5764 | ||
| 14 | 26+14+14+14+14 | 755753 | ||
| 2 | 26 | 51161 | ||
| 4.4.1.3 物联网反射攻击分析 | ||||
| 图 4.10是绿盟威胁捕获系统捕获到的物联网反射攻击情况,时间跨度为 2020 年 6 月 1 日至 10 月 | ||||
| 我们对于放大因子(bandwidth amplification factor,BAF)的计算采用 NDSS 2014 的论文 Amplification Hell: Revisiting Network Protocols for DDoS Abuse 上对于带宽放大因子的计算方法,不包含 UDP的报文头的长度。 |
27 日。从中可以看出,WS-Discovery 反射攻击最受攻击者欢迎,美国联邦调查局(FBI)在今年也对 其发出了警告 [24]。此外,我们在 8 月 20 日捕获到了较大规模的 OpenVPN 反射攻击;10 月 1 日起, ADDP反射攻击暴增。 另外,为了更好地衡量反射攻击规模,我们对单一蜜罐节点、单一反射攻击类型的单日最大攻击次 数进行了简要分析。其中,WS-Discovery 反射攻击最大攻击次数达到了九千万左右,Ubiquiti 反射攻击 达到了七千万左右,CoAP 和 DHDiscover 反射攻击达到了三千万左右,ADDP反射攻击达到了一千万 左右, OpenVPN 反射攻击只有一天,达到了数十万量级 1。 图 4.10 物联网反射攻击变化情况 图 4.11 是攻击者的常用 Payload 分布情况,出于尽量不扩散攻击报文的考虑,这里我们按照出现 的报文的长度对其命名。从中可以看出,攻击者偏爱短字节 Payload,结合我们在表 4.2 中对于放大因 子的测算,可以看出,采用短字节 Payload 可以造成更大的放大因子。 1 有些反射攻击看起来不够连续,与系统运营有关,但不影响对其攻击量级的认知。
(a)WS-Discovery Payload 分布 (b)CoAP Payload 分布 (c)Ubiquiti Payload 分布 (d)DHDiscover Payload 分布 (e)OpenVPN Payload 分布 (f)ADDP Payload 分布 图 4.11 攻击者常用 Payload 分布情况
图 4.12 是物联网反射攻击的受害者的分布情况,从中可以看出,美国受反射攻击影响最为严重。 (a)WS-Discovery 攻击受害者分布 (b)CoAP 攻击受害者分布 (c)Ubiquiti 攻击受害者分布 (d)DHDiscover 攻击受害者分布 (e)OpenVPN 攻击受害者分布 (f)ADDP 攻击受害者分布 图 4.12 物联网反射攻击受害者分布情况
