本文讲的是 超过10万台含有组播DNS的设备可被用于放大DDoS攻击,超过十万个设备带有一种配置错误的服务,称为组播DNS,可以从互联网上接受请求,有可能被滥用作为DDoS攻击的放大器。
组播DNS(mDNS)是一种协议,使得本地网络中的设备能够发现彼此本身和彼此的服务。该协议被PC和嵌入式设备广泛使用,比如NAS系统、打印机和其它设备。
mDNS协议允许查询请求通过单播地址被发送到特定的设备上。不过,官方的规范建议,在接受类似的查询请求时,mDNS服务应该核查请求来源是否是同子网,若不是,该请求应当被忽略。
一位安全研究人员发现,有些mDNS的实现方式并未遵循官方建议,会响应来源于互联网的请求。这种行为的后果是双重的。
一方面,取决于请求的类型,mDNS响应有可能泄露设备本身和所用服务的敏感信息,比如其型号、序列号、主机名、物理MAC地址、网络配置和其它信息。这些信息有可能为黑客所用。
另一方面的后果就更加严重了。由于mDNS响应包的体积比请求包的体积更大,而且IP来源地址可以被伪造,从互联网上接受mDNS请求的设备有可能被滥用以反射、放大DDoS攻击。
DDoS反射使得攻击者得以隐藏恶意流量的来源。攻击者可以通过伪造的源地址向脆弱设备发送mDNS请求,使这些设备向受害IP发送未经请求的响应,而不是直接向目标地址发送大量数据包。
DDoS放大基于反射效应之上,但同样增大了攻击者发送的恶意流量。由于mDNS响应包体积大于请求包,受害方受到的流量将会比攻击者发送的流量更大。
在测试中,一些有漏洞的mDNS服务让流量增长了9.75倍。实际的放大比例根据服务器设置和请求包本身的大小有所不同,合理的估计放大倍数应该是1.3。
放大技术在近年的几次大型DDoS攻击中有所体现。有几项协议在没有合理配置的情况下有可能被滥用,比如DNS(域名解析协议)、SNMP(简单网络管理协议)、NTP(网络时间协议)。
研 究者发现有超过10万个使用mDNS服务的设备可能响应来自互联网的请求,并被DDoS攻击者利用。这包括一些NAS(网络接入存储器)、打印机、 Windows和Linux设备。其中一些设备属于更大的网络系统,比如企业和大学,而且安全性能很差,甚至没有配备任何安全措施。
研究人员警告了CERT(计算机安全应急响应组),CERT在周二发布了关于本问题的公告。
公告中写道,如果机构并不需要mDNS服务,可以考虑封锁mDNS的UDP端口5353,以防止数据通过此端口出入内网。
佳能、惠普、IBM和群晖科技的一些设备在出厂时的默认设置就是响应来源于互联网的mDNS请求。不过,CERT表示,还不清楚这些设备上运行的哪些程序会实际响应这些请求。
Linux系统上的零配置网络设置包Avahi也受到此漏洞的影响。
原文发布时间为:四月 4, 2015
本文作者:Venvoo
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/7227.html
