绿盟科技刘文懋RSAC主题演讲:物联网中基于UDP的DDoS新型反射攻击研究

来源:壹点网时间:2021-05-20 11:15:19

RSA作为全球规模最大的网络安全行业会议,迄今已举办30届,一直着眼于推动全球网络安全界的共享、创新与进步。2021年RSA大会,绿盟科技脱颖而出,在物联网安全论坛发表题为《物联网中基于UDP的DDoS新型反射攻击研究》(Research on New Vectors of UDP-Based DDoS Amplification Attacks of IoT,[SAT-M19])的主题演讲,这是中国安全厂商首次登上RSAC大会的主题演讲舞台。绿盟科技创新中心总监刘文懋博士代表绿盟科技的物联网安全研究团队进行了主题演讲。

1.png

下面,绿盟君与大家一起来学习绿盟科技在RSA2021大会上分享精华:

2.png

1. 全球物联网资产暴露情况

随着越来越多的物联网设备接入互联网,物联网联网数每天都在增加。通过对互联网上设备进行扫描,我们发现全球超过70000个开放WS-Discovery、OpenVPN和CoAP协议的物联网服务。

不仅安全厂商可以发现这些物联网暴露资产,攻击者也能够发现这些资产。通过扫描器、僵尸网络或任何可以使用的工具发现物联网资产后,这些资产会容易遭到攻击,以及被利用来进行发起攻击。

3.png

2. 美国是遭受放大反射DDoS攻击影响最大的国家

通过物联网蜜罐捕获和收集受害者的IP地址,在计算目标IP地址的地理位置后,可以看到美国受放大反射DDoS攻击的影响最大。

无论是勒索软件还是DDoS攻击,都可以作为一种黑产服务,此前已经在暗网上出现明码标价提供租用DDoS服务,而暴露的脆弱物联网设备成为了黑产潜在的攻击武器。考虑到美国庞大的商业和IT产业,它成为了网络犯罪的最大目标。

4.png

3. WS-Discovery协议介绍

WS-Discovery是基于UDP的、用于Web服务发现的单播协议。其工作原理是客户端发送UDP探测消息搜索服务,然后等待应答。该协议具体被滥用的情况是:攻击者发送一个3字节的请求:3c、aa、3e,并携带一个欺骗的源地址,服务会回复一个1590字节的响应。

这里使用了BAF(bandwidth amplification factor)带宽放大系统的概念,最早在2014年NDSS的一篇论文《Amplification Hell: Revisiting Network Protocols for DDoS Abuse》中提到的。为了计算BAF,可以将有效负载发送给使用真实源地址公开的所有服务,验证获得的响应结果数据。经过测试,发送的请求的长度3字节时,收到的响应的平均长度是1330,计算出BAF数值是443。利用该协议漏洞,通过WS-Discovery可以产生比请求流量大400多倍以上的恶意流量。

5.png

4. ADDP帮助攻击者找到存在Ripple20漏洞的设备

ADDP是高级设备发现协议(Advanced Device Discovery Protocol),是Digi International公司开发的基于UDP的多播协议。借助ADDP,无论网络如何配置,设备都可以在本地网络上发现其他设备。经过全网扫描测试,我们发送的请求的长度是14字节,而收到的响应的平均长度是141.7字节,对应的BAF是10.1。

事实上,ADDP被许多数码网络设备使用,大量这些设备可能存在Ripple20漏洞。因而,攻击者可以通过发现暴露的ADDP服务,再验证Ripple20漏洞,则可以发起一些攻击。

6.png

除了WS-Discovery、ADDP之外,报告还分析了OpenVPN协议的脆弱性,此外绿盟科技在2018、2019和2020年发布的《物联网安全年报》中分析了SSDP、DHDiscover、Ubiquiti等协议,这些物联网协议都存在相似的脆弱性:基于UDP、支持单播、响应远大于请求长度,因而容易被利用发动DDoS攻击。事实上,在2017年后,利用物联网协议发动DDoS攻击俨然成为了攻击者的重要选择。

7.png

5. 一些建议和观点

给物联网厂商建议:

首先设置首席安全官,组建安全团队。其次在设计环节,默认禁用服务/设备发现功能,非多播不响应,非内网不响应。最后在运营环节,建立应急响应流程并及时发布安全补丁。

给最终用户和机构的建议:

识别自有的物联网设备,检查配置、访问控制策略;持续地使用网络空间测绘技术监控暴露资产;构建识别-评估-治理的安全运营闭环,将物联网安全融入到统一的安全运营体系内。

给物联网客户的解决方案:

关注城市、企业物联网安全隐患, 综合展示物联网各垂直领域风险态势,各地区、部门威胁情况,使用绿盟物联网保护伞解决方案,通过终端SDK、固件检测、准入网关、物联卡分析、物联网安全测评等多个系统的数据,支撑物联网安全态势。

8.png

未来一段时间内,更多物联网协议和设备的漏洞会不断出现,绿盟科技通过创新中心、格物实验室、物联网安全产品部的联合,起到了研、产、用的结合,通过物联网保护伞解决方案,为广大物联网安全场景客户提供保驾护航。

绿盟科技长期致力于物联网安全研究,在物联网sdk、车联网安全等方面取得了显著的研究成果。

绿盟科技车路协同网络安全技术方案, 着眼于规模化车路协同应用,采用了车载可信级安全SDK+路侧智能安全网关+安全运营平台端到端的安全联动架构模式,构建监测、检测、预警、防御、响应与应急处置安全能力,全面覆盖感知侧、传输侧、平台/应用侧防护场景,为智能交通领域的网络安全保驾护航。

9.png

通过车联网终端及平台探针部署、威胁情报采集等,收集车路协同通信网内安全数据信息,并基于大数据关联分析处理,形成了主动探测、被动诱捕、流量分析、僵木蠕、DDoS攻击、APT检测等安全监测、检测、预警、防御、响应与应急处置安全能力,结合安全咨询、渗透测试、全生命周期安全风控等安全服务,构建车路协同安全运营体系;从方案价值看,能够满足车路协同安全合规及新基建网络安全建设安全迫切需求,进一步保障整个车路协同应用安全、可控、健康发展。

在绿盟科技官方微信后台回复“RSA演讲PPT”,即可下载观看刘文懋博士演讲胶片。

免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。

标签:

相关阅读

推荐阅读

五粮液百亿分红派息 高质量发展成效凸显

五粮液百亿分红派息 高质量发展成效凸显

近几年五粮液保持高质量发展与围绕市场提质增效,同时进行科技创新并顺应消费升级进行产品结构、渠道建设、数字化转型、激发市场潜能等多维更多

2022-06-27 10:34:09
五粮液:擦亮“中国酒王”金字招牌 开创新一轮高质量发展

五粮液:擦亮“中国酒王”金字招牌 开创新一轮高

当前,中国经济发展面对需求收缩、供给冲击、预期转弱三重压力,各行各业正在奋力求索解压之道。作为食品饮料产业重要支柱和民族传统工业,更多

2022-06-22 22:43:35
端午家庭聚餐,做到这个一定会让人赞不绝口

端午家庭聚餐,做到这个一定会让人赞不绝口

端午节快到了,假期少不了要和亲戚朋友来一场聚餐。作为热情好客的主人,招待客人一定希望样样周到细致,让客人宾至如归,尤其是准备一桌色更多

2022-05-20 21:22:57
云时代安全防护硬实力|绿盟科技荣获CSA四项大奖

云时代安全防护硬实力|绿盟科技荣获CSA四项大奖

非法威胁流量。平台、网络与舆情安全系统等内容,从多方面多角度助力西青区数字政府建设。如何保障西青区大数据中心的安全可靠和平滑演进,更多

2022-03-11 13:41:35
新氧亚太医美行业颁奖盛典,氐珠PN喜获年度体验官十大口碑品牌

新氧亚太医美行业颁奖盛典,氐珠PN喜获年度体验官

2021年第七届新氧亚太医美行业颁奖盛典,在海南三亚亚特兰蒂斯酒店盛大开启。作为医美行业的一员,氐珠PN一直致力推动医美行业的创新发展,更多

2022-02-18 16:25:59
新氧亚太医美行业颁奖盛典,氐珠PN喜获年度体验官十大口碑品牌

新氧亚太医美行业颁奖盛典,氐珠PN喜获年度体验官

2021年第七届新氧亚太医美行业颁奖盛典,在海南三亚亚特兰蒂斯酒店盛大开启。作为医美行业的一员,氐珠PN一直致力推动医美行业的创新发展,更多

2022-01-20 12:04:02
坚持技术创新 聚力人才培养 | 绿盟科技亮相2021网络空间安全人才峰会

坚持技术创新 聚力人才培养 | 绿盟科技亮相202

12月23日,2021网络空间安全人才峰会暨中国网络空间安全人才教育论坛年会在长沙正式召开。会上,绿盟科技与广州大学网络空间先进技术研究院更多

2021-12-30 10:34:09
第十一届电信和互联网行业网络安全年会|绿盟科技深度参与 安全战队战绩颇丰

第十一届电信和互联网行业网络安全年会|绿盟科技

12月10日,第十一届电信和互联网行业网络安全年会在武汉举办。工业和信息化部网络安全管理局局长隋静、湖北省通信管理局局长吴俊、中国国防更多

2021-12-16 16:06:14
+ 点击查看更多精彩

精彩放送

上月70城房价 34个城市跌回2年前占据70城的近一半
    根据国家统计局发布的2022年6月份70个大中城市商品住宅销售价格变...
金融管理部门:房地产销售和融资同步回暖 积累的需求开始释放
    随着稳经济大盘政策落地显效,叠加全国疫情逐步好转,积累的需求...
房地产行业仍处于深度调整期回暖未及预期 政策内容逐渐向限购限贷等方面延伸
    2022年上半年,房地产行业仍处于深度调整期,回暖未及预期。且全...
中交地产成“涨幅王” 渝股今年上半年表现如何?
    渝股今年上半年表现如何? 截至2022年7月1日收盘,沪深65家重庆A...
“小麦大蒜换房” 中小城市为卖房有多拼?是否有本末倒置之嫌?
    近日,河南某开发商推出小麦换房大蒜换房活动。其中,小麦按照2元...
5月份商品住宅销售价格同比涨幅回落或降幅扩大 同比下降城市个数增加
    5月份商品住宅销售价格同比涨幅回落或降幅扩大——国家统计局城市...
    最新见闻