安全研究人員表示，RFC 7252，又名為約束應(yīng)用協(xié)議（CoAP），即將成為DDoS攻擊中被濫用最嚴重的協(xié)議之一。

什么是CoAP?

CoAP在2014年被正式批準，直至今年才被廣泛使用。它是一種輕量級的機器對機器(M2M)協(xié)議，可以在內(nèi)存和計算資源稀缺的智能設(shè)備上運行。簡單來說，CoAP與HTTP非常類似，但是它不是在TCP包上工作，而是在UDP上工作，UDP是一種可以替代TCP更輕便的數(shù)據(jù)傳輸格式。

就像HTTP用于在客戶端和服務(wù)器之間傳輸數(shù)據(jù)和命令（GET，POST，CONNECT等）一樣，CoAP也允許相同的多播和命令傳輸功能，但不要那么多資源，這使它成為飛速發(fā)展的物聯(lián)網(wǎng)設(shè)備環(huán)境中的理想選擇。然而，就像任何其他基于udp的協(xié)議一樣，CoAP天生就容易受到IP地址欺騙和數(shù)據(jù)包放大的影響，這也是它容易被DDos攻擊濫用的主要原因。

攻擊者可以向CoAP客戶端（IoT設(shè)備）發(fā)送一個小的UDP數(shù)據(jù)包，客戶端將使用更大的數(shù)據(jù)包進行響應(yīng)。在DDoS攻擊的世界中，這個數(shù)據(jù)包響應(yīng)的大小被稱為放大系數(shù)，對于CoAP，系數(shù)范圍可以從10到50，具體取決于初始數(shù)據(jù)包和由此產(chǎn)生的響應(yīng)（程度以及您正在閱讀的協(xié)議分析）。

此外，由于CoAP容易受到IP欺騙，因此攻擊者可以將“發(fā)件人IP地址”替換為他們想要發(fā)起DDoS攻擊的受害者的IP地址，而該受害者將獲得放大的CoAP流量的影響。

設(shè)計CoAP的人增加了安全功能以防止出現(xiàn)這些類型的問題，但正如Cloudflare 曾指出的那樣，如果設(shè)備制造商實現(xiàn)這些CoAP安全功能，那么CoAP協(xié)議就會不再那么便捷，從而否定了輕量級協(xié)議的所有優(yōu)點。這就是今天的大多數(shù)CoAP實施都使用“NoSec”安全模式代替強化安全模式的原因，這種模式可以保持協(xié)議的輕便，但也容易受到DDoS攻擊影響。

COAP的崛起

過去由于CoAP的作用，即使所有設(shè)備都在NoSec模式下運行，那些易受攻擊的設(shè)備也不會出現(xiàn)問題。但現(xiàn)實情況發(fā)生了變化，根據(jù)eCrimeLabs創(chuàng)始人丹尼斯•蘭德(Dennis Rand)今年在RVAsec安全會議上發(fā)表的演講內(nèi)容，自2017年11月以來，CoAP設(shè)備的數(shù)量激增。造成這種爆炸式增長的原因是CoAP被用作QLC鏈(以前稱為QLink)的一部分。QLC鏈是一個項目，意圖利用中國各地可用的WiFi節(jié)點，構(gòu)建一個基于區(qū)塊鏈的分散移動網(wǎng)絡(luò)。

設(shè)備數(shù)量圖

但這種隨時可用且安全性差的CoAP客戶的突然增長現(xiàn)象并未引起注意。在過去的幾周里，通過CoAP進行的第一次DDoS攻擊已經(jīng)開始發(fā)揮作用。

一位處理DDoS攻擊安全研究員告訴外媒，過去幾個月CoAP攻擊頻率越來越高，從偶爾發(fā)生發(fā)展到傳輸速度平均值為55Gbps，最大的一次達320Gbps。根據(jù)專業(yè)處理DDos的公司Link11的數(shù)據(jù)，55Gbps的平均攻擊強度比4.6Gbps的普通DDoS攻擊高出一個數(shù)量級。在Shodan目前可用的58萬個CoAP設(shè)備中，大約330,000個（ab）用于中繼和放大DDoS攻擊，放大系數(shù)高達46倍。在研究人員記錄的攻擊中，大多數(shù)針對的是中國的各種在線服務(wù)，以及中國大陸以外的一些MMORPG（在線角色扮演）平臺。目前還不清楚CoAP是否已被添加為DDoS for hire平臺的攻擊選項，但一旦發(fā)生這種情況，此類攻擊的負面影響將進一步加劇。

就像使用IoT開發(fā)的大多數(shù)協(xié)議的情況一樣，問題關(guān)鍵似乎不在于與安全功能相關(guān)的協(xié)議設(shè)計，而在于設(shè)備制造商如何在實時設(shè)備中配置和運送CoAP。

而遺憾的是，這并非罕見。許多協(xié)議通常是由設(shè)備制造商偶然或故意錯誤配置的，設(shè)備制造商在則更傾向于將交互操作的簡便性和實用性（而不是安全性）作為配置的首要參考因素。不少人認為，如果世界各國對物聯(lián)網(wǎng)設(shè)備及其安全功能有更嚴格的規(guī)定，那么此類災(zāi)難完全可以避免。（轉(zhuǎn)自：黑客視界）

天下數(shù)據(jù)提供美國高防服務(wù)器、香港高防服務(wù)器、韓國高防服務(wù)器等；其中佛山高防服務(wù)器提供集群420G，單IP最大可加至240G的秒解防御，無限秒解不封機。該高防機房很好的解決各種CC、流量等DDOS攻擊，另還有DDos高防IP為您的業(yè)務(wù)保駕護航。詳詢在線客服！

本文鏈接：http://m.51huadong.com/cloundnews/11002768.html