【摘要】

ADDP（Advanced Digi Discovery Protocol）協議基於UDP，用於發現區域網內的Digi ConnectPort X系列產品；該類發現協議通常同時支援組播和單播，加之UDP能夠偽造源IP的緣故，導致暴露在網際網路上的這類服務，極其容易被用作反射攻擊。

【正文】

近年來，越來越多的可造成UDP反射攻擊的協議進入人們的視線（如CoAP、Ubiquiti、WS-Discovery、OpenVPN、某DVR協議）。這些攻擊方式都區別於大家所熟知的DNS、SSDP、NTP、Memcached等反射攻擊型別，給DDoS攻擊防護帶來了一定的挑戰。

2020年6月，以色列網路安全公司JSOF曝光了Treck TCP/IP協議棧的若干0-day漏洞，可能導致全球數億臺裝置受到影響。在對已公佈的白皮書進行分析後，綠盟科技格物實驗室發現，其中的一家受影響的廠商Digi生產的裝置使用ADDP（Advanced Digi Discovery Protocol）進行裝置發現。ADDP使用的組播地址為224.0.5.128，埠2362，但該協議在實現時，也支援單播，加之UDP協議能夠偽造源IP，故存在被用作反射攻擊的風險。

綠盟科技威脅情報中心（NTI）對該攻擊持續監控，已支援對ADDP反射攻擊的相關檢測及測繪資料檢索，可提供最新ADDP暴露資產情報並持續更新。

在NTI上透過特定條件搜尋，可獲得測繪資料列表：

綠盟科技格物實驗室採用綠盟科技威脅情報中心（NTI）在2020年6月的一輪完整測繪資料對ADDP服務的暴露情況進行了分析，關鍵發現如下：

1. 全球有5000多個IP開放了ADDP服務，存在被利用進行DDoS攻擊的風險。這些裝置涉及Digi的多款產品，如Connect WAN 3G、ConnectPort WAN VPN、ConnectPort X4、Connect ME4 9210等。

2. 開放ADDP服務的裝置暴露數量最多的五個國家依次是美國、義大利、波蘭、智利和西班牙，美國的佔比達到了43%。

3. ADDP探測報文的長度是14位元組，響應報文長度大多是100多個位元組，平均長度為126位元組，由此可得平均頻寬放大因子為9。

4. ADDP作為一種新的反射攻擊型別，當前暫未引起攻擊者的關注，但其潛在的風險主要有兩個：一是可被用於DDoS攻擊，二是可被用於發現Digi廠商的裝置，後續被用於Ripple20相關的攻擊。

防護建議：

1. 作為安全廠商：

1)  可以在掃描類產品中加入ADDP掃描能力，及時發現客戶網路中存在的安全隱患。

2)  可以在防護類產品中加入對於ADDP的流量檢測能力，及時發現客戶網路中存在的安全威脅。也可以關聯開放ADDP服務的IP的威脅情報，阻斷命中的源IP的連線。

2. 作為裝置開發商：

在對ADDP服務發現報文進行回應時，檢查該報文的源IP是否是多播地址，如果不是多播地址的話，則不做回應。這樣的話，ADDP服務被利用發起反射攻擊的難度將大大增加。

3. 作為運營商：

需遵循BCP38網路入口過濾。

4.作為監管部門：

1)  對於網路中的ADDP威脅進行監控，發現問題進行通報。

2)  推動裝置中ADDP功能的安全評估，如裝置不滿足相關要求，禁止裝置上市等。

5. 作為裝置使用者：

1) 如無需要，關閉裝置的ADDP發現功能。

2) 儘量將開放ADDP服務的裝置部署在區域網中，這樣可以增大裝置被利用的難度。

3) 如果需要將開放ADDP服務的裝置部署在公網上，則在裝置之前部署路由器（利用NAT能力）或防護類安全裝置（如防火牆），控制外部IP對於裝置的訪問。

6. 作為有DDoS防護需求的使用者：

購買具備ADDP反射攻擊防護能力的安全廠商的DDoS防護產品。如已購買，並且產品支援應用層特徵的自定義，可以加入相應的特徵規則。

《ADDP反射攻擊分析》報告詳細內容點選閱讀原文獲取。

（跳轉連結：https://mp.weixin.qq.com/s/X93cgSLNdVC8GREZfgu2cQ ）