SSDP：DDoS***的“新宠”

2014-12-02 09:05 作者：Brandan Blevins 翻译：柳芒 TechTarget中国 字号：T | T



新研究表明：***者已经转向利用简单服务发现协议(SSDP)——该协议因其放大系数而被滥用，其结果导致分布式拒绝服务***规模变得更大、发生亦更为普遍。AD：2014WOT全球软件技术峰会北京站 课程视频发布新的研究表明由于越来越多的***者将简单服务发现协议(Simple Service Discovery Protocol, SSDP)作为目标进行***，上个季度DDoS***的平均规模持续增长，可预计将会有更多的企业遭到DDoS***。DDoS***防护服务提供商Verisign公司总部位于弗吉尼亚州的雷斯顿，其第三季度分布式拒绝服务趋势报告(Distributed Denial of Service Trends Report)收集了其提供抵御DDoS***的企业客户的数据。Verisign公司发现从第二季度到第三季度，DDoS***带宽超过10Gbps情况增 长了38%，而且仅仅占Verisign***监控的所有此类***的1/5。出人意料的是，根据该报告，DDoS***的整体平均规模从第二季度的12.42 Gbps降到了第三季度的6.46 Gbps。然而，Verisign的副总裁兼首席安全官Danny McPherson说，第二季度异常高的数据主要是由于单个UDP洪水式的DDoS***超过了300Gbps。如果将这个异常从统计数据中消除，那么第二 季度平均指数下跌到4.60 Gbps，意味着平均***规模在第三季度环比增长了40%，而且已经增长了5个季度。Verisign指出除了规模这个因素，上个季度DDoS***的目标被击中的频率比以往任何时候都要大。据报告，平均而言，一个典型的目标在本季度面临3.33个DDoS***，这一数字显著高于今年前两个季度。反病毒厂商卡巴斯基(Kaspersky)实验室新发布的研究也显示了可能受到DDoS***的企业数量。基于对来自27个国家共3900个企业(大 多数是中型企业)受访者的调查，卡巴斯基(Kaspersky)发现，18%的企业在2013年4月到2014年5月期间经历过DDoS***。卡巴斯基(Kaspersky)表示，DDoS***似乎变得越来越针对具体的行业和地区。例如，38%运营面向公众的在线服务的企业或提供金融服务的企业遭到***。同一时间，中国的企业也面临不成比例的DDoS***，34%此类公司也成为***目标。SSDP：DDoS***的新宠至于什么在一直推动高容量的DDoS***不断增长，McPherson说有两个首要因素。首先，***者已经不再依赖于主要由上传速度低的家庭系统组成的僵尸网络，因为具有更大互联网管道的网页服务已经变得相对容易妥协。McPherson指出另一个因素是***者已经越来越多地发现一些低调的收敛性网络协议，它们有着较大的放大系数，对于DDoS***来说是非常完美的。今 年早些时候，***者使用网络时间协议(NTP)来发动DDoS***，几乎触及400 Gbps的带宽，是有史以来监测到的最大规模之一。这是因为网络时间协议(NTP)放大系数达到700，与此同时，域名系统(DNS)出于同样的原因，长 期以来一直是DDoS***喜欢的***目标。第三季度，Verisign发现了第一例利用SSDP的***。SSDP用于网络服务的发现和通用即插即用(Universal Plug-and-Play)。McPherson指出，Verisign这个季度帮助防御的DDoS***中大约有40%利用了SSDP。他还指出该协议 放大系统为30，这使得它被滥用，而且成为Verisign客户最近面临的高容量DDoS***的驱动因素。尽管针对SSDP的DDoS***可能没有达到网 络时间协议(NTP)和域名系统(DNS)产生的规模，但是Verisign发现这类***仍然能达到近15Gbps的带宽。DDoS***防护提供商Arbor Networks总部位于马萨诸塞州的伯灵顿，其在10月份的一次展示中也推出了证据表明，针对SSDP的DDoS***变得越来越普遍。Arbor的研究 人员检测到第三季度有将近30,000个针对SSDP的DDoS。这种***占据了9月份所有DDoS的9%，而且这个月42%的***超过了10Gbps带 宽。因此，Arbor发现在这一季度DDoS上涨大于1Gbps。McPherson推测，***者对于SSDP的最初兴趣可能来源于安全研究员Christian Rossow 2月发布的一份研究报告：“"Amplification Hell: Revisiting Network Protocols for DDoS Abuse”，该报告认为SSDP的放大因素可能会导致其成为DDoS***的目标。不过，McPherson说，***者转移到SSDP协议，因为它不仅类 似于前面所提到的目标如网络时间协议(NTP)，而且该协议已经在多于1500万网络互连设备上启用。McPherson说，大多数这些协议对于一个企业环境来说实际上并不是必要的，其实这使得很多情况下答案变得很简单。“大多数人甚至不知道企业环境中启用了SSDP，而他们很可能都没有使用过这个协议。如果你不使用一个协议或应用程序或服务，最好是关掉。”“其次是确保在网络外围，只允许用户应该连接的协议被使用。从安全的角度来看，这是一个良好的习惯。”