Mindre kendt protokol kan bruges til at forstærke DDoS-angreb

Sikkerhedsfolk advarer nu om Web Services Dynamic Discovery-protokollen (til tider forkortet WS-Discovery), der kan bruges til at udføre store DDoS-angreb.

Det oplyser ZDNet, som blandt andet henviser til en analyse fra det tyske it-sikkerhedsfirma ZeroBS GmbH.

Flere har nok ikke hørt om WS-Discovery, som automatisk kan finde tjenester på et netværk, men ifølge ZDNet er protokollen understøttet af ca. 630.000 enheder.

ZDNet har haft kendskab til problemet med protokollen siden maj i år, men mediet er gået stille med dørene for ikke at skabe unødigt fokus på, at protokollen kan udnyttes.

Siden er flere grupper dog begyndt at bruge WS-Discovery til angreb, fortæller ZDNet i forbindelse med, hvorfor mediet omtaler sagen nu.

UDP og spoofing

WS-Discovery er en multicast-protokol til device discovery. Protokollen kommunikerer via SOAP-formatet over UDP.

Med UDP er det muligt at spoofe afsender-ip-adressen. I forhold til WS-Discovery betyder det, at en angriber kan sende en pakke med en forfalsket ip-adresse til en enhed, der understøtter protokollen.

Enheden kan så lokkes til at sende trafik retur til den forfalskede ip-adresse, som på den måde kan nedlægges. Hvad værre er, så er det muligt at få WS-Discovery-enheden til at svare tilbage med en trafik, der er mange gange større end den pakke, angriberen oprindeligt sendte.

Det betyder altså, at en angriber med selv en beskeden båndbredde kan foranledige et relativt stort DDoS-angreb. Fænomenet med trafik-forstærkningen omtales også som et amplifikationsangreb.

For nogle år siden blev NTP-servere udnyttet i lignende angreb.