執行摘要

2020年3月，騰訊發表了一篇關於某DVR被用於反射攻擊的文章。該DVR的服務埠為37810，因其中有DHDiscover字樣，因此，我們將其稱之為DHDiscover服務。藉助綠盟威脅情報中心（NTI）的全網測繪資料和綠盟威脅捕獲系統的威脅捕獲資料，本文對其全網暴露情況、反射攻擊趨勢、攻擊者常用的攻擊手法、反射攻擊頻寬放大因子等進行了分析。

本文的關鍵發現如下：

-  全球有約31萬個IP開放了DHDiscover服務，存在被利用進行DDoS攻擊的風險。

-  開放DHDiscover服務的資產暴露數量最多的五個國家依次是韓國、巴西、越南、中國和美國。

-  通過對綠盟威脅捕獲系統在2020年6月1日到2020年8月18日捕獲到的訪問37810埠的日誌資料進行分析，從6月初到8月上旬攻擊呈現上升趨勢，8月中旬有所下降，單蜜罐單日捕獲資料包數量最大達到了90萬個。

-  綠盟威脅捕獲系統捕獲的攻擊報文長度主要為4位元組（54.7%）和62位元組（44.9%）。

-  我們採用了兩種方式來對DHDiscover的頻寬放大因子進行評估：一是傳送62位元組的報文，可以得到DHDiscover的平均頻寬放大因子為11.4；二是傳送4位元組的報文，可以得到DHDiscover的平均頻寬放大因子為178.8，約有53.6%的DHDiscover服務會對這一報文進行響應，近200倍的頻寬放大因子值得引起重視。

-  綠盟威脅捕獲系統資料顯示，美國是受DHDiscover反射攻擊影響最嚴重的國家，美國的IP佔全部受害者IP的42%。

-  具備DHDiscover反射攻擊能力的樣本最早出現於2019年12月7日，當前已經有至少5個樣本具備該反射攻擊能力。隨著攻擊者發現其實際放大倍數可達近200倍，相信會有更多的樣本中內建該反射攻擊能力。

最後，我們也提出了我們對於裝置發現類服務在設計層面的思考。裝置發現類協議設計的初衷是方便區域網內的裝置發現，所以，一般在進行裝置發現時，採用的是多播地址。因此，我們認為比較理想的裝置發現報文回覆策略為：

1. 對多播報文進行回覆。

2. 如果是單播報文，判斷髮送方的IP是否和裝置的IP在同一網段，如果在同一網段則回覆。也可以把這一策略改為判斷髮送方的IP是否為區域網IP。

3. 若不為1、2，則不回覆。同時，裝置加入Discovery回覆任意單播報文的功能，可在需要時由使用者開啟，但是裝置出廠時預設關閉該功能。

1.  DHDiscover簡介

2020年3月，騰訊發表了一篇關於某DVR被用於反射攻擊的文章[1]。該DVR的服務埠為37810，因其探測報文中包含DHDiscover字樣，因此，我們將其稱之為DHDiscover服務。

DHDiscover服務探測報文長度為62位元組，裝置返回的內容如下所示，可以看到關於裝置的很多資訊，如MAC地址、裝置型別、裝置型號、HTTP Port、裝置序列號、裝置版本號等，因此，我們推測該服務被用於裝置發現：

' \x00\x00\x00DHIP\x00\x00\x00\x00\x00\x00\x00\x00\xa6\x02\x00\x00\x00\x00\x00\x00\xa6\x02\x00\x00\x00\x00\x00\x00{"mac":"38:af:29:26:f8:80","method":"client.notifyDevInfo","params":{"deviceInfo":{"AlarmInputChannels":16,"AlarmOutputChannels":3,"DeviceClass":"HCVR","DeviceType":"DH-********-*","Find":"BD","HttpPort":80,"IPv4Address":{"DefaultGateway":"192.168.0.1","DhcpEnable":true,"IPAddress":"192.168.0.19","SubnetMask":"255.255.255.0"},"IPv6Address":{"DefaultGateway":"","DhcpEnable":null,"IPAddress":"\\/64","LinkLocalAddress":"fe80::3aaf:29ff:fe24:****\\/64"},"Init":166,"MachineName":"XVR","Manufacturer":"Private","Port":37777,"RemoteVideoInputChannels":0,"SerialNo":"4D019B8PAZ4****","Vendor":"Private","Version":"4.000.10****.0","VideoInputChannels":16,"VideoOutputChannels":0}}}\n\x00'

我們將DHDiscover相關關鍵詞在威脅情報平臺AlienVault OTX進行了檢索，檢索方式為Google: DHDiscover.search site:otx.alienvault.com/。如圖 1.1 所示，可以看到有5條記錄，分別對應5個樣本，也即已經有至少5個樣本將其放入反射攻擊武器庫了。

圖 1.1  DHDiscover在AlienVault OTX中的檢索記錄（2020/8/19）

我們對這5個樣本出現的時間進行了簡要分析，發現有1個樣本最早出現在2019年12月7日[①]，並且這個樣本處於持續活躍的狀態，有1個樣本出現在2020年3月3日，還有3個樣本出現在2020年4月13日。

表 1.1  相關樣本及其出現時間

2.  DHDiscover服務暴露情況分析

本章我們對DHDiscover服務的暴露情況進行了分析，採用的是綠盟威脅情報中心（NTI）在2020年6月的一輪完整測繪資料。

全球有約31萬個IP開放了DHDiscover服務，存在被利用進行DDoS攻擊的風險。

在綠盟威脅捕獲系統的資料中，我們不只捕獲了對37810埠的DHDiscover服務探測行為，也在23000埠捕獲到少量探測行為。因此，我們對這兩個埠分別進行了一輪測繪。過濾掉無關資料後，發現開放37810埠的資產多達30萬個，而開放23000埠的資產也有7000多個。

開放DHDiscover服務的資產暴露數量最多的五個國家依次是韓國、巴西、越南、中國和美國。

圖 2.1 是開放DHDiscover服務的資產國家分佈情況。在騰訊捕獲的反射攻擊事件中，反射源區域分佈集中於美洲、亞洲、歐洲的眾多國家和地區，尤其以韓國、巴西為重災區。而在我們得到的國家分佈情況中，韓國和巴西的暴露數量也是最多的。

圖 2.1  開放DHDiscover服務的資產國家分佈情況

我們對測繪資料中的Vendor欄位、DeviceClass欄位和Version欄位進行了統計。圖 2.2 是Vendor欄位分佈情況，從中可以看出，除了Private和General無法判斷外，相關廠商有Intelbras、CPPLUS、QSee等。不過，由於這些裝置的服務探測報文是一致的，都包含DHDiscover，而返回的報文中又出現了37777埠，因此，基本可以確認這些裝置都與某視訊監控廠商有關。

圖 2.2  Vendor欄位分佈情況

圖 2.3 是DeviceClass欄位分佈情況，我們對於視訊監控裝置的分類不是很瞭解，僅聽過IPC、NVR、DVR，有43.1%的裝置類別是HCVR。

圖 2.3  DeviceClass欄位分佈情況

圖 2.4 是Version欄位的分佈情況，有上千種之多。

圖 2.4  Version欄位分佈情況

3.  DHDiscover反射攻擊分析

本章我們通過綠盟威脅捕獲系統在2020年6月1日到2020年8月18日捕獲到的訪問37810埠[②]的日誌資料來說明當前DHDiscover反射攻擊的威脅態勢。

我們對綠盟威脅捕獲系統捕獲到的37810埠的日誌數量進行了分析，如圖 3.1 所示。從圖中可以看出，從6月初到8月上旬攻擊呈現上升趨勢，8月中旬有所下降，單蜜罐單日捕獲資料包數量最大達到了90萬個。

圖 3.1  DHDiscover服務被訪問趨勢

我們對37810埠收到的日誌資料中的payload進行了統計，出於儘量不擴散攻擊報文的考慮，這裡我們按照出現的報文的長度對其命名。從圖 3.2 中可以看出，攻擊者較常使用的Payload的長度有4位元組和62位元組，其中，62位元組的Payload也在騰訊寫的文章中被提及過。

圖 3.2  綠盟威脅捕獲系統捕獲的payload佔比情況

結合綠盟威脅捕獲系統捕獲的payload佔比情況，我們分別採用Payload4和Payload62進行了一輪全網測繪。如表 3.1 所示，53.6%的DHDiscover服務對Payload4進行了響應，這些IP可能造成的反射攻擊頻寬放大因子[③][2]高達178.5。通過採用Payload62進行測繪，可以得到DHDiscover服務的全網暴露情況，由此得到的頻寬放大因子為11.4。

表 3.1  DHDiscover反射攻擊頻寬放大因子評估

DHDiscover反射攻擊受害者IP數量的國家分佈情況如圖 3.3 所示。從圖中可以看出，美國是受害最嚴重的國家，美國的IP佔全部受害者IP的42%。

注意：這裡我們對單IP單日包數大於50個的資料進行的統計。

圖 3.3  DHDiscover反射攻擊受害者的國家分佈

4.  小結

藉助綠盟威脅情報中心（NTI）的全網測繪資料和綠盟威脅捕獲系統的威脅捕獲資料，本文對DHDiscover服務的全網暴露情況、反射攻擊趨勢、攻擊者常用的攻擊手法、反射攻擊頻寬放大因子等進行了分析。DHDiscover是視訊監控裝置的裝置發現服務，在此之前，我們也對WS-Discovery[3]進行過分析，視訊監控組織ONVIF選擇了將WS-Discovery作為裝置發現協議，在我們去年的資料中，約73萬開放WS-Discovery服務的視訊監控裝置暴露在了網際網路上。因此，DHDiscover和WS-Discovery等裝置發現服務需要引起視訊監控廠商的重視。

由於DHDiscover服務暴露數量較多，因此，我們也與相關廠商進行了聯絡。廠商給我們的反饋是，其已經在產品中提供了Discovery啟用和關閉功能，但是由於出廠時並不知道客戶在公網還是受限網路部署裝置，因此預設這個功能是開啟的，但客戶可以選擇將這個功能關閉。另外，裝置也提供了防火牆功能，客戶可以根據實際需求進行配置，被拒絕訪問的IP網段無法與裝置進行通訊。如果使用者的裝置中還未發現這兩個功能，可以通過官網或者雲升級等方式將裝置升級。

我們認為Discovery類DDoS的檢測和防護是一個多方參與的事情，因此，我們有如下建議。

1. 作為安全廠商：

（1）可以在掃描類產品中加入Discovery掃描能力，及時發現客戶網路中存在的安全隱患。

（2）可以在防護類產品中加入對於Discovery的流量檢測能力，及時發現客戶網路中存在的安全威脅。也可以關聯開放Discovery服務的IP的威脅情報，阻斷命中的源IP的連線。

2. 作為裝置開發商，除提供服務開啟關閉、黑白名單功能外，我們建議加入白名單自學習能力，根據使用者的使用習慣自動生成白名單，並推薦使用者進行相關配置。同時設計更合理的裝置發現方法，規避裝置被用於進行反射攻擊的風險。

3. 作為電信運營商，需遵循BCP38網路入口過濾。

4. 作為監管部門，對於網路中的DHDiscover威脅進行監控，發現問題進行通報。

5. 作為Discovery相關裝置使用者，可以設定裝置訪問白名單，如無必要，也可以關閉Discovery功能。

6. 作為有DDoS防護需求的使用者，購買具備Discovery反射攻擊防護能力的安全廠商的DDoS防護產品。

我們從去年開始持續關注與物聯網相關的反射攻擊，也在不斷思考，是否有辦法能夠從根本上解決這一問題呢？

裝置發現類協議設計的初衷是方便區域網內的裝置發現，所以，一般在進行裝置發現時，採用的是多播地址。比如WS-Discovery採用的地址是239.255.255.250。由於手頭沒有實驗裝置，所以我們也不清楚DHDiscover採用的地址是什麼，但必然是某一多播地址。而在反射攻擊時，攻擊者其實是直接給目標裝置（IP）傳送的探測報文，是單播。因此，可以在裝置端對收到的裝置發現報文進行分析，判斷報文是單播報文，還是多播報文，如果是單播，就不響應就好。這樣做的話，理論上可以從根本上解決裝置發現服務帶來的反射攻擊的問題，而且，潛在的好處是，裝置發現埠在公網不會被掃描到了。另外，這種方式也不會對未升級的裝置的使用帶來任何不良影響。在實際使用中，通過單播方式進行裝置發現可能也有其使用場景。因此，我們認為比較理想的裝置發現報文回覆策略為：

1. 對多播報文進行回覆。

2. 如果是單播報文，判斷髮送方的IP是否和裝置的IP在同一網段，如果在同一網段則回覆。也可以把這一策略改為判斷髮送方的IP是否為區域網IP。

3. 若不為1、2，則不回覆。同時，裝置加入Discovery回覆任意單播報文的功能，可在需要時由使用者開啟，但是裝置出廠時預設關閉該功能。

最後，我們也希望本文能夠引起各大視訊監控廠商的重視，同時也認真評估我們提出的建議的可行性。若有需要，歡迎與我們聯絡。

參考文獻

[1] 現網發現新型DVR UDP反射攻擊手法記實, https://security.tencent.com/index.php/blog/msg/146

[2] Amplification Hell: Revisiting Network Protocols for DDoS Abuse, https://www.ndss-symposium.org/ndss2014/programme/amplification-hell-revisiting-network-protocols-ddos-abuse/

[3] WS-Discovery反射攻擊深度分析, https://www.freebuf.com/articles/network/215983.html

關於格物實驗室

格物實驗室專注於工業網際網路、物聯網和車聯網三大業務場景的安全研究。 致力於以場景為導向，智慧裝置為中心的漏洞挖掘、研究與安全分析，關注物聯網資產、漏洞、威脅分析。目前已釋出多篇研究報告，包括《物聯網安全白皮書》、《物聯網安全年報2017》、《物聯網安全年報2018》、《物聯網安全年報2019》、《國內物聯網資產的暴露情況分析》、《智慧裝置安全分析手冊》等。與產品團隊聯合推出綠盟物聯網安全風控平臺，定位運營商行業物聯網路卡的風險管控；推出韌體安全檢測平臺，以便快速發現裝置中可能存在的漏洞，以避免因弱口令、溢位等漏洞引起裝置控制許可權的洩露。

關於伏影實驗室

伏影實驗室專注於安全威脅與監測技術研究。 研究目標包括殭屍網路威脅，DDoS對抗，WEB對抗，流行服務系統脆弱利用威脅、身份認證威脅，數字資產威脅，黑色產業威脅及新興威脅。通過掌控現網威脅來識別風險，緩解威脅傷害，為威脅對抗提供決策支撐。

綠盟威脅捕獲系統

網路安全發展至今特別是隨著威脅情報的興起和虛擬化技術的不斷髮展，欺騙技術也越來越受到各方的關注。欺騙技術就是威脅捕獲系統關鍵技術之一。它的高保真、高質量、鮮活性等特徵，使之成為研究敵人的重要手段，同時實時捕獲一手威脅時間不再具有滯後性，非常適合威脅情報的時效性需求。

綠盟於2017年中旬運營了一套威脅捕獲系統，發展至今已逐步成熟，感知節點遍佈世界五大洲，覆蓋了20多個國家，覆蓋常見服務、IOT服務，工控服務等。形成了以全埠模擬為基礎，智慧互動服務為輔的混合型感知架構，每天從網際網路中捕獲大量的鮮活威脅情報，實時感知威脅。

[①] 第一個樣本的時間資料來自AlienVault OTX，其他樣本的時間資料以及所有樣本的下載URL資料來自VirusTotal。

[②] 23000埠我們僅捕獲到少量探測行為。

[③] 放大因子我們採用NDSS 2014的論文Amplification Hell: Revisiting Network Protocols for DDoS Abuse上對於頻寬放大因子的定義，不包含UDP的報文頭。