【摘要】

ADDP（Advanced Digi Discovery Protocol）协议基于UDP，用于发现局域网内的Digi ConnectPort X系列产品；该类发现协议通常同时支持组播和单播，加之UDP能够伪造源IP的缘故，导致暴露在互联网上的这类服务，极其容易被用作反射攻击。

【正文】

近年来，越来越多的可造成UDP反射攻击的协议进入人们的视线（如CoAP、Ubiquiti、WS-Discovery、OpenVPN、某DVR协议）。这些攻击方式都区别于大家所熟知的DNS、SSDP、NTP、Memcached等反射攻击类型，给DDoS攻击防护带来了一定的挑战。

2020年6月，以色列网络安全公司JSOF曝光了Treck TCP/IP协议栈的若干0-day漏洞，可能导致全球数亿台设备受到影响。在对已公布的白皮书进行分析后，绿盟科技格物实验室发现，其中的一家受影响的厂商Digi生产的设备使用ADDP（Advanced Digi Discovery Protocol）进行设备发现。ADDP使用的组播地址为224.0.5.128，端口2362，但该协议在实现时，也支持单播，加之UDP协议能够伪造源IP，故存在被用作反射攻击的风险。

绿盟科技威胁情报中心（NTI）对该攻击持续监控，已支持对ADDP反射攻击的相关检测及测绘数据检索，可提供最新ADDP暴露资产情报并持续更新。

在NTI上通过特定条件搜索，可获得测绘数据列表：

绿盟科技格物实验室采用绿盟科技威胁情报中心（NTI）在2020年6月的一轮完整测绘数据对ADDP服务的暴露情况进行了分析，关键发现如下：

1. 全球有5000多个IP开放了ADDP服务，存在被利用进行DDoS攻击的风险。这些设备涉及Digi的多款产品，如Connect WAN 3G、ConnectPort WAN VPN、ConnectPort X4、Connect ME4 9210等。

2. 开放ADDP服务的设备暴露数量最多的五个国家依次是美国、意大利、波兰、智利和西班牙，美国的占比达到了43%。

3. ADDP探测报文的长度是14字节，响应报文长度大多是100多个字节，平均长度为126字节，由此可得平均带宽放大因子为9。

4. ADDP作为一种新的反射攻击类型，当前暂未引起攻击者的关注，但其潜在的风险主要有两个：一是可被用于DDoS攻击，二是可被用于发现Digi厂商的设备，后续被用于Ripple20相关的攻击。

防护建议：

1. 作为安全厂商：

1)  可以在扫描类产品中加入ADDP扫描能力，及时发现客户网络中存在的安全隐患。

2)  可以在防护类产品中加入对于ADDP的流量检测能力，及时发现客户网络中存在的安全威胁。也可以关联开放ADDP服务的IP的威胁情报，阻断命中的源IP的连接。

2. 作为设备开发商：

在对ADDP服务发现报文进行回应时，检查该报文的源IP是否是多播地址，如果不是多播地址的话，则不做回应。这样的话，ADDP服务被利用发起反射攻击的难度将大大增加。

3. 作为运营商：

需遵循BCP38网络入口过滤。

4.作为监管部门：

1)  对于网络中的ADDP威胁进行监控，发现问题进行通报。

2)  推动设备中ADDP功能的安全评估，如设备不满足相关要求，禁止设备上市等。

5. 作为设备用户：

1) 如无需要，关闭设备的ADDP发现功能。

2) 尽量将开放ADDP服务的设备部署在局域网中，这样可以增大设备被利用的难度。

3) 如果需要将开放ADDP服务的设备部署在公网上，则在设备之前部署路由器（利用NAT能力）或防护类安全设备（如防火墙），控制外部IP对于设备的访问。

6. 作为有DDoS防护需求的用户：

购买具备ADDP反射攻击防护能力的安全厂商的DDoS防护产品。如已购买，并且产品支持应用层特征的自定义，可以加入相应的特征规则。

《ADDP反射攻击分析》报告详细内容点击阅读原文获取。

（跳转链接：https://mp.weixin.qq.com/s/X93cgSLNdVC8GREZfgu2cQ ）