安全研究人员警告ws-k8凯发游戏

早在今年五月，外媒就已经报道过 ws-discovery 协议被滥用于发起 ddos 攻击。为了防止被更多别有用心者利用，研究人员只能相对克制地不披露更多细节。然而最近一个月，滥用 ws-discovery 协议发起的大规模 ddos 攻击已经愈演愈烈，频度几乎达到了一周一次。作为一种多播协议，该协议原本用于在本地网络上“发现”通过特定协议或接口进行通信的附近其它设备。

（题图 via zdnet）

鉴于该协议通过 soap 消息传递格式来支持设备间的发现和通信，并且使用了 udp 数据包，因此有时也被称作 soap-over-udp 。

尽管普通人不太熟悉，但 ws-discovery 已被 onvif 所采用。作为一个行业组织，onvif 致力于促进网络产品互操作性的标准化接口。

其成员包括 axis、sony、bosch 等业内巨头，为 onvif 的标准化奠定了基础。作为即插即用互操作性的一部分，该组织从 2010 年中期开始，在标准中推荐用于设备发现的 ws-discovery 协议。

作为标准持续化工作的一部分，ws-discovery 协议已被用到一系列产品上，涵盖 ip 摄像头、打印机、家用电器、dvr 等各种类别。

根据互联网搜索引擎 binaryedge 检索结果，目前有近 63 万台基于 onvif ws-discovery 发现协议的设备在线，这让它们处于极大的风险之中。

问题在于这是一个基于 udp 的协议，意味着数据包目的地可被欺骗。攻击者能够伪造返回 ip 地址，将 udp 数据包发送到设备的 ws-discovery 服务端。

当设备传递回复时，就会将数据包发送到被篡改的 ip 地址，使得攻击者能够在 ws-discovery 设备上反弹流量，将之瞄向所需的 ddos 攻击目标。

其次，ws-discovery 的响应，会比初始输入大许多倍。基于这项原理的 ddos 攻击，会对受害者造成极大的伤害。研究人员称之为 ddos 放大因子。

2019 年 5 月数据（图自：tucker preston）

zdnet 指出，该协议已在世界各地的 ddos 攻击中被观察到，放大倍数高达 300~500 。相比之下，其它基于 udp 协议的攻击，平均也只有 10 倍。

网络安全公司 zerobs gmbh 一直在追踪本月发生的一起事件，庆幸的是，其发现超大倍数的 ws-discovery ddos 攻击并非常态。

即便如此，2018 年末在 github 上发布的用于启动 ws-discovery ddos 攻击的概念验证脚本，还是声称可实现 70~150 的放大倍数。

（图自：zerobs gmbh）

今年 5 月的时候，安全研究人员 tucker preston 首次公布了基于滥用 ws-discovery 协议的大规模攻击事件。通过对 130 起事件的观察，可知其中一些攻击的规模超过了 350 gbps 。

接下来几个月的攻击有所减少，但在 8 月份又再次升级。与第一波攻击不同的是，这次的攻击要小得多，很可能是不怎么了解该协议的普通攻击者所发起的。

放大系数不超过 10，最高只冲到 40 gbps，且只有 5000 台设备（主要是 ip 摄像头和打印机）被纳入发起 ws-discovery ddos 攻击的僵尸网络中。