执行摘要     

      WS-Discovery（WSD）因可被用于DDoS反射攻击而逐渐引起人们的关注。本文对WSD进行了简单介绍，之后，分别从互联网暴露情况和蜜罐捕获的威胁两个角度进行了分析。

本文的关键发现如下：

-       自WSD反射攻击在今年2月被百度安全研究人员披露以来，今年下半年利用WSD进行反射攻击的事件明显增多。蜜罐捕获的WSD反射攻击事件从8月中旬开始呈现上升趋势，9月份之后增长快速，需要引起相关人员（如安全厂商、服务提供商、运营商等）足够的重视。

-       全球有约91万个IP开放了WSD服务，存在被利用进行DDoS攻击的风险，其中有约73万是视频监控设备，约占总量的80%。

-       开放WSD服务的设备暴露数量最多的五个国家依次是中国、越南、巴西、美国和韩国。而其中的视频监控设备暴露数量，又以越南最多。

-       约有24%的设备对于WSD的回复报文的源端口并不是3702端口，这对DDoS防护提出了新挑战。

-       攻击者在进行WSD反射攻击时，通常不会采用合法的服务发现报文作为攻击载荷，而是尝试通过一些长度很短的载荷来进行攻击。出现最多的是一个三个字节的攻击载荷，约占所有攻击数量的三分之二。

-       我们对这个三字节的攻击载荷进行了全网探测，发现并非所有的WSD服务都对其进行响应，有回应的IP数量接近3万个。该载荷所造成的反射攻击的平均带宽放大因子为443。

-       92%的攻击事件中，攻击者只会攻击目标IP的一个端口。但是，也有3%的事件，攻击者会攻击目标IP的上千个端口。这会影响目标IP路径上的带宽，造成路径上的转发设备超过带宽随机丢报文。

-       攻击者在进行DDoS攻击时，还有可能攻击目标IP所在的网段，这同样会影响目标IP路径上的带宽。在这种情况下，用户甚至都不知道自己遭受了攻击。

1.  WSD简介

       WS-Discovery（Web Services Dynamic Discovery，WSD）是一种局域网内的服务发现多播协议，但是因为设备厂商的设计不当，当一个正常的IP地址发送服务发现报文时，设备也会对其进行回应，加之设备暴露在互联网上，则可被攻击者用于DDoS反射攻击。今年2月，百度的安全研究人员[1]发布了一篇关于WSD反射攻击[①]的文章。这是我们发现的关于WSD反射攻击的最早的新闻报道。ZDNet的文章[2]中提到，今年5月也出现过利用WSD的反射攻击，到今年8月的时候，有多个组织开始采用这种攻击方式。Akamai[3]提到有游戏行业的客户受到峰值为35 Gbps的WSD反射攻击。

       WSD协议所对应的端口号是3702。当前，视频监控设备的ONVIF规范[4]里面提到使用WSD作为服务发现协议，一些打印机[5]也开放了WSD服务。

2. WSD暴露情况分析

       为了精确刻画WSD反射攻击的情况，我们一方面对暴露在互联网上的WSD服务进行了测绘，另一方面我们做了WSD蜜罐，并部署在了我司伏影实验室的蜜网系统中。这两方面的数据将分别在本章和第三章进行介绍。

如无特殊说明，本章所提到的数据为全球单轮次测绘数据（2019年7月）。数据来自绿盟威胁情报中心（NTI），NTI已提供对于WSD服务的检索支持。

       全球有约91万个IP开放了WSD服务，存在被利用进行DDoS攻击的风险，其中有约73万是视频监控设备，约占总量的80%。

                                                      图 2.1  开放WSD服务的设备类型分布情况

开放WSD服务的设备暴露数量最多的五个国家依次是中国、越南、巴西、美国和韩国。而其中的视频监控设备暴露数量，又以越南最多。

                                                       图 2.2  开放WSD服务的设备国家分布情况

                                                    图 2.3  开放WSD服务的视频监控设备的国家分布情况

约有24%的设备对于WSD的回复报文的源端口并不是3702端口，这对DDoS防护提出了新挑战。

       对于这一现象的分析来自A10 Networks公司的WSD安全研究报告[7]，提到有约46%的设备会采用随机端口进行回复。我们对这一现象进行了验证。在我们的数据中，约有24%的设备对于WSD的回复报文的源端口并不是3702端口。更进一步，我们发现，这些端口中，并不是所有的都是随机端口（图2.4），也存在固定端口的情况（图2.5），如1024端口。如果对于DDoS攻击的防护策略仅仅是阻断源端口为3702的报文，则并不能实现完全防护WSD反射攻击的效果。采用WSD服务的不同类型的设备（表2.1）中，视频监控设备、计算机和打印机均有一定比例的这种现象出现。

                                                       图 2.4  回复报文的源端口为随机端口的示例

                                                      图 2.5  回复报文的源端口不是3702端口但是为固定端口的示例

                                                          表 2.1  各设备类型的回复报文的源端口不是3702的占比情况

       我们在进行相关研究的过程中，也找到了多个对于WSD服务暴露数量的统计数据，不同出处给出的数量有一定差异，在这里进行说明。ZDNet上的文章[2]来自zeroBS[8]的研究，他们给出的数量63万来自网络空间搜索引擎BinaryEdge[9]，从其给出截图可以看出，该数据仅为3702端口的数量。而我们得到的3702端口的暴露数量为69万，基本与其一致。A10 Networks[7]给出的数据是85万和我们得到的91万数据总量也基本一致。唯一让笔者比较困惑的是Shodan[10]的数据，其给出的3702端口的暴露数量是17万，经过分析，我们发现Shodan仅仅对ONVIF设备进行探测，并没有探测打印机、计算机等设备，对于返回报文的源端口不是3702的数据也会进行丢弃处理，按照这样的筛选条件，我们得到的数据是53万，与Shodan的数据规模依旧相差很大。

3.  WSD反射攻击分析

我们在全球部署了多个WSD蜜罐，通过蜜罐捕获到的数据来说明当前WSD反射攻击相关的威胁态势。数据来源于从2019.7.10至2019.9.21共74天的日志数据。下面我们将分别从攻击手法、攻击事件、受害者三个维度对蜜罐捕获的日志进行分析。

3.1  攻击手法分析

下面，我们将分别从攻击载荷的长度、攻击流量的源端口的数量和受害者IP的网段分布三个角度来分析攻击者的攻击手法。

我们对WSD反射攻击日志数据中的payload进行了统计，出于尽量不扩散攻击报文的考虑，这里我们按照出现的报文的长度对其命名。可以看到，前五种攻击payload占了所有攻击数量的99%以上。我们还发现这五种payload都不是合法的服务发现报文，最短的payload只有2个字节。出现最多的是一个三个字节的payload，约占所有攻击数量的三分之二。

                                                                      图 3.1  蜜罐捕获的WSD反射攻击的payload占比情况

我们对payload3进行了全网探测，发现并非所有的WSD服务都对这样的payload进行响应，有回应的IP数量为28918个。

对payload3有回应的设备暴露数量最多的三个国家依次是美国、韩国和中国（图3.2）。我们也对这些设备的类型进行了统计，以视频监控设备和打印机为主，其中视频监控设备占比为75%。

我们对探测到的回复报文的长度进行了分析，其长度从几百到几千字节不等，平均长度为1330字节。由此可得平均带宽放大因子（bandwidthamplification factor，BAF）[②][11]为443。假设设备带宽为10Mbps，则利用这些设备最大可造成282Gbps的反射攻击。

                                                           图 3.2  对payload3有回应的设备的国家分布情况

我们发现在同一攻击事件中，蜜罐所捕获到的攻击流量的源端口的数量有一定差异，因此，图3.3对各个攻击事件的攻击流量的源端口的数量进行了统计。从图中可以看出，在特定的一次反射攻击事件中，攻击中会倾向于只攻击目标IP的一个端口，如DNS服务的53端口、HTTP服务的80端口等。但同时，我们也发现，也有3%的攻击事件，目标IP会有上千个端口收到反射攻击报文。即便目标IP上的相应端口没有开放，但是这样的攻击也会影响目标IP路径上的带宽，造成路径上的转发设备超过带宽随机丢报文，也会一定程度上影响到目标IP所提供的服务质量。

                                                                 图 3.3  蜜罐所捕获到的攻击事件的源端口数量分布

在对攻击事件中的受害者IP进行梳理的过程中，我们发现部分IP位于同一网段。在我们目前的数据中，在同一时段位于同一网段的不同IP的数量不太多，1个到6个不等。我们随机选取若干IP进行分析，判断其是否是来自同一域名或者有一定关联性。发现确实存在不相关的现象。我们认为有必要提一下这种现象。这说明，即便用户购买了DDoS防护服务，但是如果其所在的网段受到攻击，依旧有可能影响用户IP路径上的带宽。而在这种情况下，用户甚至都不知道自己遭受了攻击，但是有可能该用户的业务可用性受到了影响。

3.2  攻击事件分析

我们对蜜网WSD日志数据中的攻击事件进行了分析，这里我们将一天内一个独立IP的日志看作一次攻击事件，攻击事件的数量我们将以天为单位进行呈现，如图3.4所示。直观来看，WSD反射攻击事件从8月中旬开始呈现上升趋势，9月份之后增长快速。这说明WSD反射攻击已经逐渐开始被攻击作为一种DDoS攻击的常规武器使用，需要引起相关人员（如安全厂商、服务提供商、运营商等）足够的重视。

                                                                           图 3.4  WSD反射攻击事件变化情况

从攻击持续时长来看，大部分攻击事件集中在5分钟至半小时之间，有38.4%的攻击事件持续时间在5~10分钟之间，33.6%的攻击事件持续时间在10分钟至半小时，仅有0.3%的攻击事件持续事件在12小时以上，其中持续最长的攻击事件进行了约50个小时，我们的蜜罐单节点最大收到约2400万个数据包。

                                                                             图 3.5  WSD反射攻击持续时长分布

3.3  受害者分析

WSD反射攻击受害者IP数量的国家分布情况如图3.6所示，共有24个国家和地区受到过攻击。从图中可以看出，中国是受害最严重的国家，中国的IP占全部受害者IP的33%，排在第二位的是美国，占比为21%。

                                                                 图 3.6  WSD反射攻击受害者的国家分布

4.  小结

本文首先对WSD进行了介绍，之后分别从互联网暴露情况和蜜罐捕获到的威胁角度进行了分析。WSD作为一种新的反射攻击类型，潜力巨大。在WSD反射攻击逐渐进入大家视野之时，需要多方参与才能提升WSD的安全性。

作为安全厂商：

（1）    可以在扫描类产品中加入WSD扫描能力，及时发现客户网络中存在的安全隐患。

（2）    可以在防护类产品中加入对于WSD的流量检测能力，及时发现客户网络中存在的安全威胁。对于WSD反射攻击报文的源端口可能不是3702的情况，在发生DDoS反射攻击时，除了面向源端口进行流量控制策略外，还需要对报文特征进行检测。也可以关联开放WSD服务的IP的威胁情报，阻断命中的源IP的报文。作为设备开发商，在对WSD服务发现报文进行回应时，检查该报文的源IP是否是多播地址，如果不是多播地址的话，则不做回应。这样的话，WSD反射攻击、SSDP反射攻击则将不再存在。作为电信运营商，也需要对自己所管理的网络中的DDoS攻击进行治理。作为监管部门：（1）    对于网络中的WSD威胁进行监控，发现问题进行通报。（2）    推动设备中WSD功能的安全评估，如设备不满足相关要求，禁止设备上市等。作为设备用户：

（1）    如无需要，关闭设备的WSD发现功能。（2）    尽量将开放WSD服务的设备部署在局域网中，这样可以增大设备被利用的难度。（3）    如果需要将开放WSD服务的设备部署在公网上，则在设备之前部署路由器（利用NAT能力）或防护类安全设备（如防火墙），控制外部IP对于设备的访问。

作为有DDoS防护需求的用户，购买具备WSD反射攻击防护能力的安全厂商的DDoS防护产品。如已购买，并且产品支持应用层特征的自定义，可以加入相应的特征规则。

说明：WSD反射攻击报文有明显特征，绿盟威胁情报中心（NTI）可提供最新WSD暴露资产情报（持续更新）。欢迎联系我们交流。如需要，可留言或联系nti@nsfocus.com。

参考文献

[1] 基于ONVIF协议的物联网设备参与DDoS反射攻击,https://www.freebuf.com/articles/system/196186.html, 2019/9/24

[2] Protocolused by 630,000 devices can be abused for devastating DDoS attacks, https://www.zdnet.com/article/protocol-used-by-630000-devices-can-be-abused-for-devastating-ddos-attacks/,2019/9/24

[3] NEWDDOS VECTOR OBSERVED IN THE WILD: WSD ATTACKS HITTING 35/GBPS, https://blogs.akamai.com/sitr/2019/09/new-ddos-vector-observed-in-the-wild-wsd-attacks-hitting-35gbps.html, 2019/9/24

[4] ONVIFApplication Programmer’s Guide, https://www.onvif.org/wp-content/uploads/2016/12/ONVIF_WG-APG-Application_Programmers_Guide-1.pdf, 2019/9/19

[5] HPWeb Jetadmin – Ports, https://support.hp.com/lv-en/document/c05996543, 2019/9/19

[6] WebServices Dynamic Discovery (WSDiscovery), http://specs.xmlsoap.org/ws/2005/04/discovery/ws-discovery.pdf, 2019/9/19

[7] WS-DISCOVERYAMPLIFICATION ATTACK, https://downloads-a10networks.s3-us-west-2.amazonaws.com/collateral/A10-MS-23239-EN.pdf, 2019/9/19

[8] NewDDoS Attack-Vector via WS-Discovery/SOAPoverUDP, Port 3702, https://zero.bs/new-ddos-attack-vector-via-ws-discoverysoapoverudp-port-3702.html, 2019/9/19

[9] BinaryEdge,https://www.binaryedge.io/, 2019/9/19

[10] Shodan,https://www.shodan.io/search?query=port%3A3702, 2019/9/19

[11] AmplificationHell: Revisiting Network Protocols for DDoS Abuse, https://www.ndss-symposium.org/ndss2014/programme/amplification-hell-revisiting-network-protocols-ddos-abuse/,2019/9/19

[①]原文中的表述是ONVIF反射攻击，但我们经过分析后发现除ONVIF设备外，打印机等也有可能参与其中。ONVIF在设备发现阶段是基于WSD协议进行通信的。从反射攻击的角度来看，攻击者并非只针对ONVIF设备。虽然百度并没有提WSD反射攻击，但我们认为这是对于WSD反射攻击的首次报道。

[②] 放大因子我们采用NDSS 2014的论文Amplification Hell: Revisiting Network Protocols for DDoS Abuse上对于带宽放大因子的定义，不包含UDP的报文头。