攻防最前線:CoAP將成為下一個將被DDoS攻擊嚴重濫用的協議
安全研究人員表示,RFC 7252,又名為約束應用協議(CoAP),即將成為DDoS攻擊中被濫用最嚴重的協議之一。
什麼是CoAP?
CoAP在2014年被正式批准,直至今年才被廣泛使用。它是一種輕量級的機器對機器(M2M)協議,可以在記憶體和計算資源稀缺的智慧裝置上執行。簡單來說,CoAP與HTTP非常類似,但是它不是在TCP包上工作,而是在UDP上工作,UDP是一種可以替代TCP更輕便的資料傳輸格式。
就像HTTP用於在客戶端和伺服器之間傳輸資料和命令(GET,POST,CONNECT等)一樣,CoAP也允許相同的多播和命令傳輸功能,但不要那麼多資源,這使它成為飛速發展的物聯網裝置環境中的理想選擇。然而,就像任何其它基於UDP的協議一樣,CoAP天生就容易受到IP地址欺騙和資料包放大的影響,這也是它容易被DDoS攻擊濫用的主要原因。
攻擊者可以向CoAP客戶端(IoT裝置)傳送一個小的UDP資料包,客戶端將使用更大的資料包進行響應。在DDoS攻擊的世界中,這個資料包響應的大小被稱為放大係數,對於CoAP,係數範圍可以從10到50,具體取決於初始資料包和由此產生的響應(程度以及您正在閱讀的協議分析)。
此外,由於CoAP容易受到IP欺騙,因此攻擊者可以將“發件人IP地址”替換為他們想要發起DDoS攻擊的受害者的IP地址,而該受害者將獲得放大的CoAP流量的影響。
設計CoAP的人增加了安全功能以防止出現這些型別的問題,但正如Cloudflare 曾指出的那樣,如果裝置製造商實現這些CoAP安全功能,那麼CoAP協議就會不再那麼便捷,從而否定了輕量級協議的所有優點。這就是今天的大多數CoAP實施都使用“NoSec”安全模式代替強化安全模式的原因,這種模式可以保持協議的輕便,但也容易受到DDoS攻擊影響。
COAP的崛起
過去由於CoAP的作用,即使所有裝置都在NoSec模式下執行,那些易受攻擊的裝置也不會出現問題。但現實情況發生了變化,根據eCrimeLabs創始人丹尼斯•蘭德(Dennis Rand)今年在RVAsec安全會議上發表的演講內容,自2017年11月以來,CoAP裝置的數量激增。造成這種爆炸式增長的原因是CoAP被用作QLC鏈(以前稱為QLink)的一部分。QLC鏈是一個專案,意圖利用中國各地可用的WiFi節點,構建一個基於區塊鏈的分散行動網路。
裝置數量圖
但這種隨時可用且安全性差的CoAP客戶的突然增長現象並未引起注意。在過去的幾周裡,通過CoAP進行的第一次DDoS攻擊已經開始發揮作用。
一位處理DDoS攻擊安全研究員告訴外媒,過去幾個月CoAP攻擊頻率越來越高,從偶爾發生發展到傳輸速度平均值為55Gbps,最大的一次達320Gbps。根據專業處理DDos的公司Link11的資料,55Gbps的平均攻擊強度比4.6Gbps的普通DDoS攻擊高出一個數量級。在Shodan目前可用的58萬個CoAP裝置中,大約330,000個(ab)用於中繼和放大DDoS攻擊,放大係數高達46倍。在研究人員記錄的攻擊中, 大多數針對的是中國的各種線上服務,以及中國大陸以外的一些MMORPG(線上角色扮演)平臺 。目前還不清楚CoAP是否已被新增為DDoS for hire平臺的攻擊選項,但一旦發生這種情況,此類攻擊的負面影響將進一步加劇。
就像使用IoT開發的大多數協議的情況一樣,問題關鍵似乎不在於與安全功能相關的協議設計,而在於裝置製造商如何在實時裝置中配置和運送CoAP。
而遺憾的是,這並非罕見。許多協議通常是由裝置製造商偶然或故意錯誤配置的,裝置製造商在則更傾向於將互動操作的簡便性和實用性(而不是安全性)作為配置的首要參考因素。不少人認為,如果世界各國對物聯網裝置及其安全功能有更嚴格的規定,那麼此類災難完全可以避免。
宣告:本文來自黑客視界,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。