Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Злоумышленники используют протокол WS-Discovery для DDoS-атак

30/08/19

DDOS attack-1Исследователи безопасности предупреждают о злоупотреблении протоколом Web Services Dynamic Discovery (WS-DD, WSD, или WS-Discovery), который может быть использован злоумышленниками для проведения множественных DDoS-атак.

Первые атаки подобного типа были обнаружены в мае нынешнего года, сообщает издание ZDNet. Хотя их количество достигло отметки в 130 атак с мощностью некоторых в 350 Гбит/с, в тот момент исследователи не хотели разглашать информацию об инцидентах.

WS-Discovery — многоадресный протокол для обнаружения других устройств, которые обмениваются данными через определенный протокол или интерфейс. Он применяется для обнаружения и обмена данными посредством SOAP с использованием пакетов UDP, поэтому иногда WS-Discovery называют SOAP-over-UDP. На сегодняшний день протокол WS-Discovery используют такие устройства, как IP-камеры, принтеры, бытовые приборы и DVR. Согласно поисковому запросу BinaryEdge, в Сети находится более 630 тыс. уязвимых устройств.

WS-Discovery может стать любимым инструментом для проведения DDoS-атак в руках злоумышленников. Поскольку протокол основан на UDP, существует вероятность подмены места назначения пакетов. Преступнику достаточно отправить UDP-пакет WS-Discovery-службе устройства, использовав поддельный обратный IP-адрес. Устройство ответит на него и предоставит преступникам доступ к управлению WS-Discovery-трафиком. В связи с тем, что ответ WS-Discovery больше изначального запроса, атакующим также не составит труда усилить DDoS-атаки.

Коэффициент амплификации майских атак, в рамках которых использовался WS-Discovery, доходил до 300 и даже до 500, тогда как для других UDP-протоколов он составляет в среднем 10. В августе последовали более слабые атаки, но эксперты связывают данный факт с неосведомленностью группировок о возможностях протокола или отсутствием необходимого оборудования.

Пока что киберпреступники используют протокол WS-Discovery не в полную силу. Но исследователи безопасности опасаются, что в скором времени ситуация изменится, и этот метод возьмет на вооружение почти каждый оператор ботнета.

Темы:УгрозыDDoS-атакиZD Net
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Зондирующие DDoS-атаки как новая стратегия
    В один из майских дней 2025 г. трафик на фронтенде обычного онлайн-сервиса неожиданно подскочил. Не катастрофически – лишь на считаные проценты. Появились всплески HTTP-запросов, чуть увеличилась задержка, возникли пара тревожных алертов о росте RPS. Потом все утихло. Обычная перегрузка? Фоновая активность? Или просто каприз трафика? Через неделю сервис лег, но уже не на минуту и не на десять: часы простоя, срыв SLA, гнев пользователей, экстренный брифинг с руководством. SOC с опозданием сопоставил события: перед атакой была "репетиция", но сигнал был слишком слабым, чтобы его услышали.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...