De grote pestkop van internetbeveiliging:Distributed Denial of Service (DDoS) die het normale verkeer van een gerichte server of netwerk verpest met een stortvloed aan HTTP-verzoeken, misvormde pakketten. Botsing, bam boem. Missies volbracht. Gebruikers kunnen niet meer naar binnen.

Jonathan Respeto van Akamai heeft woensdag een aantal lelijke bevindingen geblogd. Een team bij Akamai had een nieuwe DDoS-vector onderzocht die gebruikmaakt van een UDP-amplificatietechniek die bekend staat als WS-Discovery (WSD). De situatie is nu zodanig dat "meerdere bedreigingsactoren" deze DDoS-methode gebruiken om aanvallen op te voeren.

Voor degenen die minder bekend zijn met het ontdekkingsjargon, UDP staat voor User Datagram Protocol. TechTarget vertelt de lezers dat het een alternatief communicatieprotocol is voor het Transmission Control Protocol dat wordt gebruikt voor het tot stand brengen van verbindingen met lage latentie en verliestolerantie tussen applicaties op internet.

Op woensdag, Respeto blogde dat "Aangezien UDP een staatloos protocol is, verzoeken aan de WSD-service kunnen worden vervalst."

WSD staat voor Web Services Dynamic Discovery. Catalin Cimpanu in ZDNet beschreef WSD als "een multicast-protocol dat op lokale netwerken kan worden gebruikt om andere apparaten in de buurt te 'ontdekken' die via een bepaald protocol of een bepaalde interface communiceren."

OKE, dan is hier de lelijke rol die WSD in dit geval speelt, zoals Akamai's Respeto ontdekte.

Hij gaf een geschiedenis van hoe het tot stand kwam en de problemen nu:

WSD werd geleverd als een standaard functieset en service vanaf Windows Vista. Het is sinds 2008 opgenomen in HP-printers. Wat betreft apparaten waarvan het Acamai-team op internet ontdekte dat ze onjuist blootstellen aan en reageren op WSD, "de meeste bestaan ​​uit CCTV-camera's en DVR-systemen [digitale videorecorder], een trend die op dit moment niet verwonderlijk is."

Anthony Spadafora in TechRadar zei dat de techniek van de aanvallers bij het misbruiken van het WSD-protocol "door een breed scala aan netwerkapparaten werd gebruikt om automatisch verbinding met elkaar te maken. eisen van een apparaat."

Wat bracht Akamai voor het eerst op het sloopkogelspoor? Respeto zei dat "een van onze klanten onder vuur kwam te liggen. De aanval, die gericht waren op de game-industrie, woog 35/Gbps bij piekbandbreedte." Meer onderzoek door het team werd gedaan naar WSD-protocolimplementaties:

Respeto zei:"de SIRT was in staat om versterkingssnelheden tot 15 te bereiken, 300% van de oorspronkelijke bytegrootte. Dit plaatst WSD op de 4e plaats op het leaderboard voor DDoS-aanvallen voor de hoogste gereflecteerde versterkingsfactor."

Van het serviceproviderbedrijf DDoS-GUARD:

"Bepaalde commando's naar UDP-protocollen lokken reacties uit die veel groter zijn dan het oorspronkelijke verzoek. aanvallers werden beperkt door het lineaire aantal pakketten dat rechtstreeks naar het doelwit werd gestuurd om een ​​DoS-aanval uit te voeren; nu kan een enkel pakket tussen 10 en 100 keer de oorspronkelijke bandbreedte genereren. Dit wordt een versterking van de aanval genoemd."

Iets dat de Bandwidth Amplification Factor wordt genoemd, kan het potentiële effect van een versterkingsaanval meten, en wordt "berekend als het aantal UDP-payloadbytes dat een versterker verzendt om een ​​vraag te beantwoorden, vergeleken met het aantal UDP-payloadbytes van de query."

Er is weinig excuus om hier 'so what' te zeggen. Spadafora zei dat de versterking "WSD tot een van de krachtigste technieken in het arsenaal van een hacker maakt voor het versterken van DDoS-aanvallen die verlammend kunnen zijn voor bedrijven en consumenten."

Een reden tot bezorgdheid deze keer was de grote hoeveelheid beschikbare apparaten.

Spadafora:"...de nieuwe techniek die door hackers wordt gebruikt, is nog steeds reden tot bezorgdheid vanwege de hoeveelheid beschikbare apparaten die volgens Akamai meer dan 802k bedraagt." Lily Hay Newman in Bedrade :"Akamai schat dat maar liefst 800, 000 apparaten die op internet worden weergegeven, kunnen WS-Discovery-opdrachten ontvangen. Wat betekent dat door het verzenden van 'sondes, een soort appèlverzoek, je kunt een brandslang met gegevens genereren en op doelen richten."

Wat hebben de hackers eraan? Wat halen ze hier uit? Robert Hackett op donderdag in Fortuin een poging gewaagd om antwoorden te krijgen. Hij zei dat het offline halen van doelen in "distributed denial of service"-aanvallen "soms gewoon voor schoppen en giechelen was, andere keren totdat een slachtoffer losgeld betaalt."

Verzachting?

Respeto zei:"Alleen het plaatsen van blokken op de UDP-bronpoort 3702 zal voorkomen dat het verkeer uw servers bereikt. Maar dat is slechts de helft van het probleem, omdat het verkeer nog steeds de bandbreedte op uw router overbelast. Dit is waar uw DDoS-beperkingsprovider zou binnenkomen en de benodigde ACL zou toevoegen om het aanvalsverkeer te blokkeren."

ACL staat voor Access Control Lists. ACL's zijn de pakketfilters van een netwerk, zei iTT-systemen . "Ze kunnen beperken, vergunning, of verkeer weigeren dat essentieel is voor de veiligheid. Met een ACL kunt u de stroom van pakketten regelen voor een enkel IP-adres of een groep IP-adressen of een ander voor protocollen, zoals TCP, UDP, ICMP, enzovoort."

Enkele conclusies van Respeto:

(1) "WSD is een groot risico op internet dat serieuze bandbreedte kan opdrijven met behulp van CCTV en DVR's.". Fabrikanten kunnen de reikwijdte van het UDP-protocol op poort 3702 beperken tot de multicast IP-ruimte.

(2) "Organisaties moeten klaar zijn om verkeer naar hun DDoS-beperkingsprovider te leiden als ze worden getroffen door deze grote aanval. Vanwege de grote versterkingsfactoren, we verwachten dat aanvallers weinig tijd zullen verspillen aan het gebruik van WSD voor gebruik als reflectievector."

Wat is het volgende?

Hackett zag dat "beveiligingsgerichte groepen" waarschijnlijk degenen die in het bezit zijn van kwetsbare apparaten, of het nu bedrijven of consumenten zijn, zullen proberen deze te updaten. Voor de technisch ingestelde hij voegde toe, "dat betekent het blokkeren van communicatie naar poort 3702." Ze kunnen ook aanbevelen om firewalls toe te passen of apparaten van het openbare internet te verwijderen. "Uiteindelijk, als het probleem uit de hand loopt, Internet Service Providers kunnen worden ingeschakeld, verdacht verkeer blokkeren."

© 2019 Wetenschap X Netwerk