bbin宝盈集团

English

安全产品与方案
行业解决方案
安全服务与运营
安全研究
合作伙伴
技术支持

基础设施安全
数据安全
云计算安全
工业互联网安全
物联网安全
信息技术应用创新
全部产品
全部解决方案

基础设施安全

网络安全

安全管理

应用安全

终端安全

身份与访问管理

解决方案

CH

安全产品与方案

基础设施安全网络安全安全管理应用安全终端安全身份与访问管理解决方案数据安全数据安全产品解决方案云计算安全云计算安全产品解决方案工业互联网安全工业互联网安全产品解决方案物联网安全物联网安全产品解决方案信息技术应用创新信创类安全产品
行业解决方案

政府运营商金融能源交通企业科教文卫
安全服务与运营

专业安全服务应急响应红蓝对抗重保支持咨询服务安全开发安全测试培训与教育可管理安全服务 More 可管理检测与响应服务 bbin宝盈集团主机卫士系统 HGS bbin宝盈集团数据安全交换系统 DES bbin宝盈集团视频安全交换系统 VES bbin宝盈集团安全隔离与信息单向导入系统 SUCS bbin宝盈集团工控安全审计系统 SAS-ICS bbin宝盈集团工业安全隔离装置 ISID bbin宝盈集团工控安全入侵检测系统 IDS-ICS bbin宝盈集团工控漏洞扫描系统 ICSScan bbin宝盈集团工业网络安全监测管理平台 NSFOCUS INSP bbin宝盈集团工业防火墙 ISG bbin宝盈集团工业网络安全合规评估工具 ISCAT 工业互联网安全解决方案智慧城市安全运营智慧城市安全运营 bbin宝盈集团云 bbin宝盈集团云
安全研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2023年度报告安全公告威胁通告
合作伙伴

合作伙伴合作伙伴动态成为合作伙伴申请成为合作伙伴
技术支持

服务支持服务热线维保服务产品支持产品安全常见问题产品生命周期公告软件升级行业资讯产品安全软件升级

返回列表

威胁情报专栏|ADDP反射攻击来袭？NTI已支持相关检测

2020-07-23

近年来，越来越多的可造成UDP反射攻击的协议登录人们的视线（如CoAP、Ubiquiti、WS-Discovery、OpenVPN、某DVR协议）。这些攻击方式都区别于大家所熟知的DNS、SSDP、NTP、Memcached等反射攻击类型，给DDoS攻击防护带来了一定的挑战。

2020年6月，以色列网络安全公司JSOF曝光了Treck TCP/IP协议栈的若干0-day漏洞，可能导致全球数亿台设备受到影响。在对已公布的白皮书进行分析后，bbin宝盈集团科技格物实验室发现，其中的一家受影响的厂商Digi生产的设备使用ADDP（Advanced Digi Discovery Protocol）进行设备发现。ADDP使用的组播地址为224.0.5.128，端口2362，但该协议在实现时，也支持单播，加之UDP协议能够伪造源IP，故存在被用作反射攻击的风险。

bbin宝盈集团科技威胁情报中心（NTI）对该攻击持续监控，已支持对ADDP反射攻击的相关检测及测绘数据检索，可提供最新ADDP暴露资产情报并持续更新。

在NTI上通过特定条件搜索，可获得测绘数据列表：

bbin宝盈集团科技格物实验室采用bbin宝盈集团科技威胁情报中心（NTI）在2020年6月的一轮完整测绘数据对ADDP服务的暴露情况进行了分析，关键发现如下：

1. 全球有5000多个IP开放了ADDP服务，存在被利用进行DDoS攻击的风险。这些设备涉及Digi的多款产品，如Connect WAN 3G、ConnectPort WAN VPN、ConnectPort X4、Connect ME4 9210等。

2. 开放ADDP服务的设备暴露数量最多的五个国家依次是美国、意大利、波兰、智利和西班牙，美国的占比达到了43%。

3. ADDP探测报文的长度是14字节，响应报文长度大多是100多个字节，平均长度为126字节，由此可得平均带宽放大因子为9。

4. ADDP作为一种新的反射攻击类型，当前暂未引起攻击者的关注，但其潜在的风险主要有两个：一是可被用于DDoS攻击，二是可被用于发现Digi厂商的设备，后续被用于Ripple20相关的攻击。

防护建议：

1. 作为安全厂商：

1) 可以在扫描类产品中加入ADDP扫描能力，及时发现客户网络中存在的安全隐患。

2) 可以在防护类产品中加入对于ADDP的流量检测能力，及时发现客户网络中存在的安全威胁。也可以关联开放ADDP服务的IP的威胁情报，阻断命中的源IP的连接。

2. 作为设备开发商：

在对ADDP服务发现报文进行回应时，检查该报文的源IP是否是多播地址，如果不是多播地址的话，则不做回应。这样的话，ADDP服务被利用发起反射攻击的难度将大大增加。

3. 作为运营商：

需遵循BCP38网络入口过滤。

4. 作为监管部门：

1) 对于网络中的ADDP威胁进行监控，发现问题进行通报。

2) 推动设备中ADDP功能的安全评估，如设备不满足相关要求，禁止设备上市等。

5. 作为设备用户：

1) 如无需要，关闭设备的ADDP发现功能。

2) 尽量将开放ADDP服务的设备部署在局域网中，这样可以增大设备被利用的难度。

3) 如果需要将开放ADDP服务的设备部署在公网上，则在设备之前部署路由器（利用NAT能力）或防护类安全设备（如防火墙），控制外部IP对于设备的访问。

6. 作为有DDoS防护需求的用户：

购买具备ADDP反射攻击防护能力的安全厂商的DDoS防护产品。如已购买，并且产品支持应用层特征的自定义，可以加入相应的特征规则。

《ADDP反射攻击分析》报告详细内容点击阅读原文获取。

（跳转链接：http://mp.weixin.qq.com/s/X93cgSLNdVC8GREZfgu2cQ ）

<<上一篇

聚焦 Bot 威胁管理立体化黑产掌控

>>下一篇

bbin宝盈集团科技入选四川省第一届网络安全应急处置支撑单位

✕

您的联系方式

购买热线

提交项目需求

欢迎加入bbin宝盈集团科技，成为我们的合作伙伴！

*请描述您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方式

*姓名
*联系电话
*邮箱
*职务
*公司
*城市
*行业
*验证码
提交到邮箱

服务支持

智能客服

智能客服

购买/售后技术问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

支持热线

支持热线

400-818-6868

bbin宝盈集团科技社区

bbin宝盈集团科技社区

资料下载|在线问答|技术交流

信息安全

官网地图| 法律声明| 投资者关系

关于我们: 公司介绍; 公司荣誉; bbin宝盈集团书橱; bbin宝盈集团新闻; 工作机会

如何购买: 提交项目需求; 在线咨询; 请求回电; 购买热线

bbin宝盈集团: 公司总部; 分支机构; 全球分支机构

快速链接: bbin宝盈集团云; bbin宝盈集团威胁情报中心NTI; 技术博客; 成功案例; TechWorld技术嘉年华

微博

微信

B站

抖音

视频号

视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS bbin宝盈集团科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证48052245号