9455澳门新葡萄娱乐场官网版

9455澳门新葡萄娱乐场官网版

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

威胁情报专栏|ADDP反射攻击来袭?NTI已支持相关检测

2020-07-23

近年来,越来越多的可造成UDP反射攻击的协议进入人们的视线(如CoAP、Ubiquiti、WS-Discovery、OpenVPN、某DVR协议)。这些攻击方式都区别于大家所熟知的DNS、SSDP、NTP、Memcached等反射攻击类型,给DDoS攻击防护带来了一定的挑战。

2020年6月,以色列网络安全公司JSOF曝光了Treck TCP/IP协议栈的若干0-day漏洞,可能导致全球数亿台设备受到影响。在对已公布的白皮书进行分析后,9455澳门新葡萄娱乐场官网版格物实验室发现,其中的一家受影响的厂商Digi生产的设备使用ADDP(Advanced Digi Discovery Protocol)进行设备发现。ADDP使用的组播地址为224.0.5.128,端口2362,但该协议在实现时,也支持单播,加之UDP协议能够伪造源IP,故存在被用作反射攻击的风险。

9455澳门新葡萄娱乐场官网版威胁情报中心(NTI)对该攻击持续监控,已支持对ADDP反射攻击的相关检测及测绘数据检索,可提供最新ADDP暴露资产情报并持续更新。

在NTI上通过特定条件搜索,可获得测绘数据列表:

9455澳门新葡萄娱乐场官网版格物实验室采用9455澳门新葡萄娱乐场官网版威胁情报中心(NTI)在2020年6月的一轮完整测绘数据对ADDP服务的暴露情况进行了分析,关键发现如下:

1. 全球有5000多个IP开放了ADDP服务,存在被利用进行DDoS攻击的风险。这些设备涉及Digi的多款产品,如Connect WAN 3G、ConnectPort WAN VPN、ConnectPort X4、Connect ME4 9210等。

2. 开放ADDP服务的设备暴露数量最多的五个国家依次是美国、意大利、波兰、智利和西班牙,美国的占比达到了43%。

3. ADDP探测报文的长度是14字节,响应报文长度大多是100多个字节,平均长度为126字节,由此可得平均带宽放大因子为9。

4. ADDP作为一种新的反射攻击类型,当前暂未引起攻击者的关注,但其潜在的风险主要有两个:一是可被用于DDoS攻击,二是可被用于发现Digi厂商的设备,后续被用于Ripple20相关的攻击。

防护建议:

1.     作为安全厂商:

1)      可以在扫描类产品中加入ADDP扫描能力,及时发现客户网络中存在的安全隐患。

2)      可以在防护类产品中加入对于ADDP的流量检测能力,及时发现客户网络中存在的安全威胁。也可以关联开放ADDP服务的IP的威胁情报,阻断命中的源IP的连接。

2.     作为设备开发商:

在对ADDP服务发现报文进行回应时,检查该报文的源IP是否是多播地址,如果不是多播地址的话,则不做回应。这样的话,ADDP服务被利用发起反射攻击的难度将大大增加。

3.     作为运营商:

需遵循BCP38网络入口过滤。

4.     作为监管部门:

1)      对于网络中的ADDP威胁进行监控,发现问题进行通报。

2)      推动设备中ADDP功能的安全评估,如设备不满足相关要求,禁止设备上市等。

5.     作为设备用户:

1)      如无需要,关闭设备的ADDP发现功能。

2)      尽量将开放ADDP服务的设备部署在局域网中,这样可以增大设备被利用的难度。

3)      如果需要将开放ADDP服务的设备部署在公网上,则在设备之前部署路由器(利用NAT能力)或防护类安全设备(如防火墙),控制外部IP对于设备的访问。

6.     作为有DDoS防护需求的用户:

购买具备ADDP反射攻击防护能力的安全厂商的DDoS防护产品。如已购买,并且产品支持应用层特征的自定义,可以加入相应的特征规则。

《ADDP反射攻击分析》报告详细内容点击阅读原文获取。

(跳转链接:https://mp.weixin.qq.com/s/X93cgSLNdVC8GREZfgu2cQ )

<<上一篇

聚焦 Bot 威胁管理 立体化黑产掌控

>>下一篇

9455澳门新葡萄娱乐场官网版入选四川省第一届网络安全应急处置支撑单位

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入9455澳门新葡萄娱乐场官网版,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
9455澳门新葡萄娱乐场官网版社区
9455澳门新葡萄娱乐场官网版社区
资料下载|在线问答|技术交流

© 2024 NSFOCUS 9455澳门新葡萄娱乐场官网版 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号

XML 地图