SSDP:DDoS攻擊的“新寵”
新的研究表明由于越來越多的攻擊者將簡單服務發現協議(Simple Service Discovery Protocol, SSDP)作為目標進行攻擊,上個季度DDoS攻擊的平均規模持續增長,可預計將會有更多的企業遭到DDoS攻擊。
DDoS攻擊防護服務提供商Verisign公司總部位于弗吉尼亞州的雷斯頓,其第三季度分布式拒絕服務趨勢報告(Distributed Denial of Service Trends Report)收集了其提供抵御DDoS攻擊的企業客戶的數據。Verisign公司發現從第二季度到第三季度,DDoS攻擊帶寬超過10Gbps情況增長了38%,而且僅僅占Verisign攻擊監控的所有此類攻擊的1/5。
出人意料的是,根據該報告,DDoS攻擊的整體平均規模從第二季度的12.42 Gbps降到了第三季度的6.46 Gbps。然而,Verisign的副總裁兼首席安全官Danny McPherson說,第二季度異常高的數據主要是由于單個UDP洪水式的DDoS攻擊超過了300Gbps。如果將這個異常從統計數據中消除,那么第二季度平均指數下跌到4.60 Gbps,意味著平均攻擊規模在第三季度環比增長了40%,而且已經增長了5個季度。
Verisign指出除了規模這個因素,上個季度DDoS攻擊的目標被擊中的頻率比以往任何時候都要大。據報告,平均而言,一個典型的目標在本季度面臨3.33個DDoS攻擊,這一數字顯著高于今年前兩個季度。
反病毒廠商卡巴斯基(Kaspersky)實驗室新發布的研究也顯示了可能受到DDoS攻擊的企業數量。基于對來自27個國家共3900個企業(大多數是中型企業)受訪者的調查,卡巴斯基(Kaspersky)發現,18%的企業在2013年4月到2014年5月期間經歷過DDoS攻擊。
卡巴斯基(Kaspersky)表示,DDoS攻擊似乎變得越來越針對具體的行業和地區。例如,38%運營面向公眾的在線服務的企業或提供金融服務的企業遭到攻擊。同一時間,中國的企業也面臨不成比例的DDoS攻擊,34%此類公司也成為攻擊目標。
SSDP:DDoS攻擊的新寵
至于什么在一直推動高容量的DDoS攻擊不斷增長,McPherson說有兩個首要因素。首先,攻擊者已經不再依賴于主要由上傳速度低的家庭系統組成的僵尸網絡,因為具有更大互聯網管道的網頁服務已經變得相對容易妥協。
McPherson指出另一個因素是攻擊者已經越來越多地發現一些低調的收斂性網絡協議,它們有著較大的放大系數,對于DDoS攻擊來說是非常完美的。今年早些時候,攻擊者使用網絡時間協議(NTP)來發動DDoS攻擊,幾乎觸及400 Gbps的帶寬,是有史以來監測到的最大規模之一。這是因為網絡時間協議(NTP)放大系數達到700,與此同時,域名系統(DNS)出于同樣的原因,長期以來一直是DDoS攻擊喜歡的攻擊目標。
第三季度,Verisign發現了第一例利用SSDP的攻擊。SSDP用于網絡服務的發現和通用即插即用(Universal Plug-and-Play)。McPherson指出,Verisign這個季度幫助防御的DDoS攻擊中大約有40%利用了SSDP。他還指出該協議放大系統為30,這使得它被濫用,而且成為Verisign客戶最近面臨的高容量DDoS攻擊的驅動因素。盡管針對SSDP的DDoS攻擊可能沒有達到網絡時間協議(NTP)和域名系統(DNS)產生的規模,但是Verisign發現這類攻擊仍然能達到近15Gbps的帶寬。
DDoS攻擊防護提供商Arbor Networks總部位于馬薩諸塞州的伯靈頓,其在10月份的一次展示中也推出了證據表明,針對SSDP的DDoS攻擊變得越來越普遍。Arbor的研究人員檢測到第三季度有將近30,000個針對SSDP的DDoS。這種攻擊占據了9月份所有DDoS的9%,而且這個月42%的攻擊超過了10Gbps帶寬。因此,Arbor發現在這一季度DDoS上漲大于1Gbps。
McPherson推測,攻擊者對于SSDP的最初興趣可能來源于安全研究員Christian Rossow 2月發布的一份研究報告:“"Amplification Hell: Revisiting Network Protocols for DDoS Abuse”,該報告認為SSDP的放大因素可能會導致其成為DDoS攻擊的目標。不過,McPherson說,攻擊者轉移到SSDP協議,因為它不僅類似于前面所提到的目標如網絡時間協議(NTP),而且該協議已經在多于1500萬網絡互連設備上啟用。
McPherson說,大多數這些協議對于一個企業環境來說實際上并不是必要的,其實這使得很多情況下答案變得很簡單。
“大多數人甚至不知道企業環境中啟用了SSDP,而他們很可能都沒有使用過這個協議。如果你不使用一個協議或應用程序或服務,最好是關掉。”
“其次是確保在網絡外圍,只允許用戶應該連接的協議被使用。從安全的角度來看,這是一個良好的習慣。”
