Precisa de computação em nuvem? Comece agora mesmo

O que é um ataque de inundação de WS-Discovery?

Um ataque de inundação de WS-Discovery é um ataque de reflexão de DDoS que usa o protocolo WS-Discovery para amplificar consideravelmente a força do ataque. Os invasores lançam inundações de WS-Discovery para sobrecarregar servidores, sites, redes ou outras máquinas com tráfego a ponto de causar lentidão ou falha. Técnicas de amplificação, como as usadas em inundações de WS-Discovery, permitem que os invasores gerem ataques massivos com pouco esforço e poucos recursos.

Qual é o significado do termo ataque de DDoS?

Um ataque de DDoS (negação de serviço distribuída) é um ataque cibernético em que hackers assumem o controle de milhares ou milhões de máquinas infectadas por malware, como computadores ou dispositivos de IoT, e as direcionam para enviar tráfego e solicitações a um alvo ou vítima; geralmente um servidor. Ao tentar responder ou compreender a enorme quantidade de solicitações, o servidor de destino fica sobrecarregado, o que causa lentidão ou falha. Como resultado, um ataque de DDoS pode derrubar sites, redes e organizações por um intervalo de tempo.

O que é um ataque de reflexão de DDoS?

Em um ataque de reflexão, os invasores falsificam endereços IP de destino, usando o endereço IP da vítima ou servidor de destino pretendido ao consultar outro servidor enviando solicitações de pacotes. Quando o sistema consultado responde à solicitação de pacote, as respostas vão para as máquinas da vítima e não para os invasores. Essa técnica permite que o tráfego DDoS seja “refletido” por meio de outras máquinas, em vez de enviar o tráfego diretamente para um alvo.

Para ampliar seus resultados, os invasores procuram refletir o tráfego de máquinas que fornecem uma resposta muito maior do que a solicitação inicial. Nesses ataques de amplificação, os invasores podem usar um número relativamente pequeno de pacotes iniciais e gastar poucos recursos para gerar grandes quantidades de tráfego que contém grandes quantidades de dados, sobrecarregando as máquinas de destino com mais rapidez e facilidade.

O que é WS-Discovery?

WS-Discovery (Web Services Dynamic Discovery), ou WSD, é um protocolo de comunicação multicast projetado para descoberta de dispositivos em redes locais. O WS-Discovery usa o UDP (User Datagram Protocol), um dos principais protocolos de transporte para comunicações pela Internet, mas também pode aproveitar o TCP (Transmission Control Protocol). Dispositivos habilitados para WSD, como câmeras IP, DVRs, alto-falantes etc., emitem beacons para facilitar a descoberta e as conexões entre dispositivos. Por exemplo, um DVR pode usar o protocolo WSD para descobrir câmeras IP próximas com as quais ele pode se comunicar. Embora não seja um protocolo amplamente conhecido, o WS-Discovery foi adotado pela ONVIF, uma organização que promove interfaces padronizadas para aumentar a interoperabilidade dos produtos de rede. Como resultado, o protocolo WSD agora está incluído em centenas de milhares de produtos em todo o mundo.

O protocolo WSD foi inicialmente planejado para ser limitado a LANs (redes locais). À medida que os fabricantes produziam hardware incorporando o serviço WSD e os usuários implantavam o hardware na Internet, os invasores encontraram um novo vetor de ataque para reflexão de DDoS.

Como funciona uma inundação de WS-Discovery?

Um ataque de DDoS do tipo reflexão de WS-Discovery explora uma vulnerabilidade no protocolo UDP/TCP. Como o UDP é um protocolo sem estado, é fácil para os invasores falsificarem ou forjar um endereço IP ao enviar solicitações para outros dispositivos. Isso permite que os invasores direcionem grandes quantidades de tráfego de dispositivos WS-Discovery para o alvo dos ataques de DDoS. Embora o TCP seja um protocolo orientado a estado ou conexão, ele ainda pode ser usado como parte dos ataques de falsificação de IP e ataques de WSD.

O que torna um ataque de inundação de WS-Discovery tão potente é que a resposta do WSD é muito maior do que a solicitação inicial. Pequenos pacotes iniciais enviados para um dispositivo WS-Discovery podem gerar respostas 75 a 150 vezes maiores. Vários ataques exibiram até mesmo taxas de amplificação de 300 e 500 vezes. Isso é consideravelmente maior do que outros ataques de protocolo UDP que tendem a ter um fator de amplificação médio de 10.

Os ataques de DDoS do tipo inundação de WS-Discovery também são difíceis de identificar. O protocolo responde com altas portas aleatórias e cargas de dados exclusivas que dificultam o reconhecimento e a mitigação do ataque. Além disso, devido ao tamanho da amplificação e da reflexão, quando o ataque se destina a sistemas ou serviços de origem, os uplinks para a Internet já estão saturados e você perde a capacidade de detectar e mitigar. 

Perguntas frequentes (FAQ)

As equipes de segurança podem implementar uma variedade de proteções para se defenderem contra um ataque de reflexão de WS-Discovery.

  • Bloqueio do tráfego na porta UDP 3702. As equipes de segurança podem bloquear a porta de origem UDP 3702 nos dispositivos de gateway e firewalls para evitar o tráfego WSD. No entanto, como essa abordagem não impedirá que o tráfego consuma a largura de banda dos roteadores, são recomendadas abordagens adicionais de mitigação na nuvem.
  • Filtragem de IP. As equipes de segurança podem implantar tecnologia de filtragem de IP para rejeitar solicitações de endereços IP não permitidos.
  • Serviços de mitigação de DDoS. A implantação de serviços de mitigação de DDoS na nuvem de um provedor líder de serviços de cibersegurança como a Akamai é uma das maneiras mais eficazes de bloquear ataques de DDoS e amplificação.

As inundações de WS-Discovery, embora não sejam ocorrências diárias, são significativas o suficiente para merecer atenção. Compreender sua frequência ajuda a elaborar estratégias proativas para segurança de rede.

Sim, a detecção precoce é possível por meio do monitoramento vigilante do tráfego de rede e do reconhecimento de padrões incomuns indicativos de uma potencial inundação.

Embora nenhuma rede esteja totalmente imune, as medidas de segurança proativas reduzem consideravelmente a contribuição para a vulnerabilidade das inundações de WS-Discovery.

Os riscos associados às inundações de WS-Discovery variam desde interrupções de rede até outros ataques multivetoriais que levam a potenciais violações de dados, tornando-os uma preocupação de segurança considerável.

Por que os clientes escolhem a Akamai

A Akamai é uma empresa de cibersegurança e cloud que potencializa e protege negócios online. Nossas soluções de segurança líderes de mercado, inteligência avançada contra ameaças e equipe de operações globais oferecem defesa em profundidade para garantir a segurança de dados e aplicativos empresariais em todos os lugares. As abrangentes soluções de computação em nuvem da Akamai oferecem desempenho e acessibilidade na plataforma mais distribuída do mundo. Empresas globais confiam na Akamai para obter a confiabilidade, escala e experiência líderes do setor de que precisam para expandir seus negócios com confiança.

Explore todas as soluções de segurança da Akamai