基于CoAP协议的物联网设备参与DDos反射攻击与 基于ONVIF协议的物联网设备参与DDos攻击
基于CoAP协议的物联网设备参与DDos反射攻击与 基于ONVIF协议的物联网设备参与DDos攻击
1.基于CoAP协议的物联网设备参与DDos反射攻击
1.1攻击包分析
红色箭头是反射源端口
数据包中的payload显示的数据可是是XML的数据格式,并且wireshark将此种协议别欧式为CoAP协议
1.2攻击原理
反射类型的DDoS攻击并不会直接攻击受害者IP,而是以受害者的IP构造UDP数据包,对反射源发送伪造的数据包,反射源向受害者IP响应的流量远超过攻击者伪造UDP流量的数据,DDoS黑客组织依靠此方式对受害者实施DDoS攻击,反射类型如下图3所示:
图3中黑客给放大器发送伪造的UDP数据包,经过智云盾团队对DDoS事件攻击的复现以及对标准CoAP协议DISCOVERY请求的复现,复现之后的payload字符串如下:
利用UDP的传输方式,发送该字符串到指定目标的5683端口,服务端返回DISCOVERY响应包。不满足CoAP定义的数据包格式,5683端口丢弃请求数据包不做响应。
1.3放大倍数
我们尝试对智云盾威胁中心截取到的黑客进行反射攻击的请求包进行复现,响应的单个反射源数据包长度为1023字节,下图4是利用攻击事件反射源的复现截图
所以计算得到放大倍数为(1023+24)/(65+24)= 11.76倍。
通过从智云盾攻击采样包的实际情况中发现,黑客利用了CoAP的DISCOVERY类型的请求作为反射源请求进行反射攻击。请求Uri-Path是./well-known/core。这种Uri的接口请求返回值内容固定。
因此从目前观察到的2次CoAP的攻击事件中,我们推测此次放大倍数在11.76倍。
2.基于ONVIF协议的物联网设备参与DDos攻击
2.1 攻击包分析
通过对智云盾的攻击采样包发现,反射流量的来源端口是3702,下图红色箭头指向的是反射源端口:
数据包中的payload显示数据格式为soap xml的格式,soap xml数据格式如下图2所示:
针对此次攻击事件,我们从智云盾威胁中心提取对应的请求流量数据进行分析,这是一次利用了ONVIF协议进行的反射攻击。智云盾安全专家分析此次反射攻击与以往的反射攻击特征相似,不同之处在于利用物联网设备当作反射源。
2.2 攻击原理
反射类型的DDoS攻击并不会直接攻击受害者IP,而是以受害者的IP构造UDP数据包,对反射源发送伪造的数据包,反射源向受害者IP响应的流量远超过攻击者伪造UDP流量的数据,DDoS黑客组织依靠此方式对受害者实施DDoS攻击,反射类型如下图4所示:
2.3 放大倍数
我们尝试对智云盾威胁中心截取到的黑客进行反射攻击的请求包进行复现,并优化了请求内容,将请求的payload大小降低到了211个字节,响应单个视频设备地址的响应包长度为1515字节(有分片,分片包头为34+4+20=58),下图5是复现截图:
所以计算得到放大倍数为(1515+66+58)/(211+66)= 5.92倍。
通过从智云盾攻击采样包的实际情况中发现,响应内容最多的有长达3558字节,分片成3个响应包,总长可以达到3558+66+58*2=3740字节,这种情况下的最大放大倍数为3740/277=13.5倍。
因此从目前观察中我们推测此次放大倍数在5-14倍
3.反射源分析
3.1 ONVIF协议介绍
ONVIF致力于通过全球性的开放接口标准来推进网络视频在安防市场的应用,这一接口规范将确保不同厂商生产的网络视频产品具有互通性。ONVIF规范中设备管理和控制部分所定义的接口均以Web Services的形式提供。服务端与客户端的数据交互采用soap xml数据格式。
本次黑客使用的WS-DISCOVERY接口是ONVIF协议定义的设备发现接口,数据传输采用UDP的方式实现。
3.2 WS-DISCOVERY接口缺陷
ONVIF协议要求实现ONVIF协议服务的设备支持设备发现以及探测,设备发现也就是下文我们要说的WS-DISCOVERY。
WS-DISCOVERY,客户端向反射源IP的3702端口发送广播消息,等待网内ONVIF协议设备响应自己的IP,UUID,EP Address等信息。
严格上来说暴露在公网提供服务的UDP端口,应该严格遵循请求与响应大小比例为1:1的关系,但此处ONVIF用作设备探测的3702端口未遵循这一原则,导致暴露在公网的3702端口被当作反射源使用。
暴露在公网提供服务的UDP端口,应该严格遵循请求与响应大小比例为1:1的关系,但此处ONVIF用作设备探测的3702端口未遵循这一原则,导致暴露在公网的3702端口被当作反射源使用。