DDoS攻击武器库再扩充:瞄准CoAP协议

DDoS攻击武器库再扩充:瞄准CoAP协议

约束应用协议(CoAP)是一种主要为物联网设备而设计的协议,然而其被滥用的现象正日益严重。据安全研究人员称,CoAP现在被网络犯罪分子用来执行大规模DDoS攻击。CoAP的正式名称为RFC 7252,但开发人员可能不太了解它,因为它在2014年才获得批准,直到最近才被广泛使用。

CoAP所谓何物?两大漏洞影响

CoAP属于机器对机器(M2M)协议的范畴,这些M2M协议被用于在低计算能力和内存稀缺的设备上运行。

CoAP 具有如下特点(官方介绍):

在受限环境中满足M2M要求的Web协议;

支持可靠性的UDP [RFC0768]绑定,支持单播和多播请求;

异步消息交换;

低头部开销和解析复杂性;

支持 URI 和 Content-type;

简单的代理和缓存功能;

无状态 HTTP 映射,允许构建代理,以统一方式通过 HTTP 访问 CoAP 资源,或者通过 CoAP 变换实现 HTTP 简单接口;

支持对数据报传输层安全(DTLS)[RFC6347]的绑定。

作为一个应用层协议,CoAP与HTTP有类似之处,但仍有一个主要的区别:CoAP运行在UDP上而非HTTP运行的TCP。与TCP相比,UDP是一种更轻量级的数据传输格式。但是,使用基于UDP的协议会带来一系列漏洞,如IP地址欺骗和数据包放大,这两种漏洞对于发起大规模DDoS攻击非常使实用。

DDoS攻击武器库再扩充:瞄准CoAP协议

当攻击者向目标设备——CoAP客户端(IoT设备)发送一个小的UDP数据包后,该设备会使用更大的数据包进行响应,这会带来更加严重的DDoS攻击,而这个数据包响应的大小被称为放大系数。当使用CoAP协议攻击IoT设备时,放大系数可以在10到50范围之间变化,具体取决于初始数据包和由此产生的响应(程度以及您正在阅读的协议分析)。因此,它是DDoS攻击者的有力目标。

此外,由于CoAP容易受到IP地址欺骗,攻击者可以通过将发送方IP地址替换为他们想要发起DDoS攻击的受害者IP地址,从而使受害者获得放大的CoAP流量的影响。

尽管CoAP协议的设计者为其增加了安全功能以防止出现此类问题,但正如美国知名网络公司Cloudflare的研究人员曾指出的那样,如果设备制造商真的实现这些CoAP协议的安全功能,那么CoAP协议就失去了其轻量级协议的核心优势,变得不再便捷。这也就是为什么如今大多数CoAP协议都是在“NoSec”模式下运行——这种模式可以保持该协议的轻便,但也极容易受到DDoS攻击影响。

CoAP协议的兴起

自发布以来,CoAP协议的漏洞仍然相对不被注意,因为很少有设备使用到它。然而最近,随着CoAP协议的使用量大幅增加,情况发生了明显的变化。目前据估计使用该协议的设备有数十万台,这与去年形成了鲜明对比,当时只有几千台设备上使用了CoAP协议。

根据eCrimeLabs创始人Dennis Rand的说法,使用CoAP协议的设备数量在2017年11月仅为6,500台,在一个月内增加到26,000台,而到了2018年5月这一数字为278,000台。Rand在今年夏天的RVAsec安全会议上发表讲话时表示,目前在Shodan上可查到的这些设备的数量在58万到60万台之间。Rand称在QLC链中使用CoAP协议是设备数量激增的原因。QLC链(以前称为QLink)是一个项目,意图利用中国各地可用的WiFi节点,构建一个基于区块链的分散移动网络。

DDoS攻击武器库再扩充:瞄准CoAP协议

但是,攻击者已经在积极利用这些漏洞。一位匿名安全研究人员表示,最近几个月偶尔发生的CoAP攻击,平均频率为55Gbps,最高频率为320Gbps。研究人员补充说,目前58万个CoAP设备中有一半以上容易被攻击者滥用,放大系数高达46倍。

研究人员记录的大多数攻击都针对中国大陆以外的各种中国在线服务和一些MMORPG(在线角色扮演)平台。据外媒报道,这种DDoS攻击的平均频率已经超过普通DDoS攻击4.6Gbps这一平均值的十倍以上。目前尚不清楚CoAP是否会在DDoS-for-hire平台上提供攻击选项,一旦发生这种情况,此类攻击的负面影响将进一步加剧。

预警未能引起足够重视

与其他以物联网为重点的协议类似,配置和发布CoAP设备的制造商没有足够重视安全性,这被认为是导致设备易受攻击的主要原因。许多协议通常是由设备制造商偶然或故意错误配置的,设备制造商则更倾向于将交互操作的简便性和实用性(而不是安全性)作为配置的首要参考因素。

然而,一些专家甚至早在2013年——CoAP协议获得批准之前——就已经对这种攻击发出了警告。如果各国政府对物联网设备及其安全性实施严格的监管,这种威胁很可能得到预防。在本周即将在伦敦举行的黑帽安全会议上,趋势科技的研究员Federico Maggi将介绍他对基于CoAP协议的DDoS攻击的研究。

DDoS攻击武器库再扩充:瞄准CoAP协议

原创文章,作者:M4ble,如若转载,请注明出处:http://www.mottoin.com/iot/133204.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code