美国联邦调查局(FBI)本月发布公告要企业IT特别注意一些新兴的设备内置的网络协议,可能遭到黑客发动分布式拒绝服务(DDoS)攻击。
DDoS是黑客造成大规模破坏的一种手法,攻击者冒充调用来源的IP,针对一台服务器发送少量调用,引发服务器针对目标机器大量回应,以瘫痪其运行。而从2018年12月,黑客开始针对物联网(IoT)设备内置的网络协议发动DDoS攻击,使终端机器运行性能下降或功能丧失。所谓内置网络协议涵盖网络管理、网络设备发现(discovery)及网页传输协议。
研究人员发现,过去一些新兴的内置网络协议如Jenkins、ARMS、WS-DD、CoAP尚未或鲜少被开采,但近年可能性大增。首先是Jenkins开源软件开发自动化服务器,今年2月英国研究发现Jenkins一个漏洞,可能被用来对目标Jenkins服务器发送100倍流量的DDoS放大攻击。
其次是苹果的Apple Remote Management Service (ARMS)。它属于苹果远程桌面(Appel Remote Desktop)的一部分,许多大学和企业以ARD来管理大量苹果Mac计算机。当苹果设备打开ARD时,ARMS开始听取port 3283的传入指令,可使攻击者发送放大因素(amplification factor)达35.5:1的DDoS放大流量。
第三是Web Services Dynamic Discovery(WS-DD)。去年5月和8月黑客分别发动130几次的DDoS攻击,其中2波攻击中几次好几次出现超过350 Gbps的流量。下半年还有黑客利用非标准协议及组态错误的IoT设备发动DDoS放大式攻击。FBI指出,IoT设备之所以成为目标,因为这些设备使用WS-DD协议自动侦测附近的新联网设备,此外WS-DD靠的是UDP运行,这让攻击者可假冒受害机器的IP,而使其遭到附近IoT设备流量的围攻。到去年8月为止,打开WS-DD协议的IoT设备竟高达63万台。
最后是Constrained Application Protocol (CoAP)。2018年12月有黑客滥用了CoAP的群播(multi-cast)和指令发送功能,制造DDoS反射式及放大攻击,放大因素(amplification factor)达到34倍。截至2019年1月,大部分CoAP设备位于中国,且使用行动点对点(p2p)网络。
关闭上述4种内置网络协议可以防止DDoS放大攻击,但是却会降低企业生产力和联网功能,影响企业关闭的意愿。另一方面,厂商也会担心影响使用体验而不会默认关闭这些协议,因此FBI呼吁用户应该自己做好预防规划。
FBI建议企业可以使用DoS攻击缓解服务,企业可协助侦测DDoS及流量重引导服务、找ISP提供网络流量管控,后者也能发生攻击时提供调查用的鉴识资料。此外企业也应确保设备安装最新的软件及安全修补程序、变更设备的默认用户名称和密码,并激活网络防火墙,关闭传输端口转发(port forwarding)。