Vă rugăm, aşteptaţi...

Serviciul Tehnologia Informației și Securitate Cibernetică informează: Atacatorii folosesc protocolul WS-Discovery pentru atacuri DDoS

Serviciul Tehnologia Informației și Securitate Cibernetică informează: Atacatorii folosesc protocolul WS-Discovery pentru atacuri DDoS

Serviciul Tehnologia Informației și Securitate Cibernetică informează: Atacatorii folosesc protocolul WS-Discovery pentru atacuri DDoS

Comunicate de presă , / Mar, 05.11.2019 - 09:44

Inginerii de securitate avertizează despre o nouă metodă de lansare a atacurilor de refuz de distribuire a serviciilor (DDoS) care este una dintre cele mai puternice din toate timpurile. Este vorba despre compromiterea protocolului de descoperire dinamică a serviciilor web (WS-DD, WSD sau WS-Discovery).

 

WS-Discovery este un protocol multicast utilizat pe scară largă de dispozitivele conectate la internet, fiind conceput pentru a face dispozitivele IoT, precum camere IP, imprimante, electrocasnice, să comunice cu un limbaj standard. Este utilizat pentru detectarea și schimbul de date prin SOAP folosind pachete UDP, motiv pentru care WS-Discovery este uneori numit SOAP-over-UDP.

 

Printre motivele de bază din cauza cărora atacatorii folosesc protocolul WS-Discovery ca un instrument perfect pentru a provoca atacuri DDoS se numără faptul că acesta se bazează pe UDP, ceea ce înseamnă că destinația pachetului trimis poate fi falsificată. Este suficient ca răufăcătorii să trimită pachetul UDP către serviciul WS-Discovery al dispozitivului folosind o adresă IP de retur falsă. Dispozitivul va răspunde la aceasta și va oferi astfel, atacatorilor, acces la controlul traficului WS-Discovery. Datorită faptului că răspunsul WS-Discovery este mai mare decât solicitarea inițială, nu este dificil pentru atacatori să controleze atacurile DDoS.         

 

Coeficientul de aplificare al atacurilor de acest tip a ajuns la 300 și chiar 500 Gbps, în timp ce pentru alte protocoalele UDP a fost înregistrat o medie de 10 Gbps.

 

Eliminarea vectorilor de atac este posibilă numai dacă sunt urmați și respectați pașii potriviți. Dacă credeți că dispozitivele din rețeua dvs sunt vulnerabile, asigurați-vă că urmați următoarele instrucțiuni:

 

  • - Pentru început este importantă blocarea portului sursă UDP 3702
  • - Adaugați o listă de control (ACL) pentru ruterele dvs, dacă dețineți un ACL Cisco:
  • 1.  ipv4 access-list [ACCESS-LIST NAME] 1 deny udp any eq 3702 host [TARGET IP] 
  • 2. ipv4 access-list [ACCESS-LIST NAME] 2 deny udp any host [TARGET IP] fragments
  • - Dacă aveți un APL Linux iptables : iptables -A INPUT -i [interface] -p udp -m udp --sport 3702 -j DROP 

Comunicare

Comunicate de presă
Proiecte
Galerie foto