Geçtiğimiz günlerde WS-Discovery protokolünün kötüye kullanımının büyük DDoS saldırılarına yol açabileceğine dair bir haber yayınlamıştık.
Akamai, bir DDoS saldırısının, oyun endüstrisindeki müşterilerinden birini hedef aldığını bildirdi.Bu saldırıda WS-Discovery (WSD) olarak bilinen bir UDP amplifikasyon tekniği kullandı. Saldırı, saniyede 35 GB trafik oluşturdu ve şirketin amplifikasyon faktörü açısından gördüğü dördüncü en büyük DDoS saldırısıdır.
Web Servisleri Dinamik Keşif protokolü (WSD), ağ cihazlarının kullanıcı datagram protokolü paketlerini göndermesine ve ayrıca bunları alıp yanıtlamasına olanak tanır.
- WSD, TCP ve UDP 3702 portu üzerinden çalışır ve internete bağlı birçok cihazda bulunur.
- Sahte iade IP adresine sahip bir UDP paketi göndererek taklit edilebilir. Yanıt sahte IP adresine gönderilecektir ve bu hackerlar DDoS hedeflerine trafiği hedeflemelerine izin verir.
- Amplifikasyon saldırılarının amacı, büyük bir yanıtı tetiklemek için az miktarda veri göndermektir. IOT cihazlarının yanlış tasarlanmış olanları WSD protokolünün DDoS saldırılarında çok kullanılmasına neden olmaktadır.
Akamai blogundan Jonathan Respeto, WSD’nin LAN tabanlı bir teknoloji olarak tasarlandığını ve İnternet’te çalışmak için tasarlanmadığını söyledi.
Araştırma bulguları
Sistemler, bilinen açıkları aramak için yararlanılabilen geçerli bir XML isteği gönderirken dahili IP adresi ve model numarasını sızdırabilir.
- Akamai’deki araştırma ekibi tarafından, 783 baytlık bir istek büyüklüğündeki taramaya yanıt veren 802.155 cihaz gözlendi.
- Medyan tepki boyutu 1517 bayt idi ve bu da %193’lük bir amplifikasyon olduğunu gösteriyordu.
- Araştırmacılar ayrıca adı açıklanmayan bir üreticinin yaklaşık 2.000 cihazından gelen yanıtları 153 kat arttırabildiler.
Saldırıyı Azaltma
Akamai, 3702 numaralı UDP portunu engellemenin bu tür saldırıları önlemeye yardımcı olabileceğini, ancak sorunun ortadan kaldırılmayacağını söyledi. Bunun nedeni, trafiğin yönlendiricilerdeki bant genişliğini de tıkanmasıdır. DDoS azaltma sağlayıcıları saldırı trafiğini engellemede yardımcı olabilir.
“Herkes WSD saldırıları için potansiyel bir hedef, bu nedenle kuruluşlar bu büyük saldırıyla karşılaşırlarsa trafiği DDoS azaltma sağlayıcılarına yönlendirmeye hazır olmalıdır. Büyük amplifikasyon faktörleri nedeniyle, saldırganların yansıma vektörü olarak WSD’yi kullanmak için çok az zaman harcayacaklarını umuyoruz ”dedi.