来自外媒报道，美国联邦调查局（FBI）近日发出警告，称几种常见的网络协议可能正被不法分子作为DDoS攻击媒介滥用并实施大规模DDoS攻击。

WS-DD：Web服务动态发现（Web Services Dynamic Discovery）

CoAP：约束应用协议（Constrained Application Protocol）

ARMS：远程管理服务（Apple Remote Management Service）

由于这些网络协议已经被广泛使用且正在发挥重要作用，故大量设备商很难通过禁用协议的方式提高其安全风险防御能力，这也是FBI的最大担忧所在和发出警告的原因。

不过，尽管这份警告在业内引发了不小的关注和舆论一定程度上的紧张，但对于网络安全圈专注于DDoS攻击防范研究的安全专家们来说，FBI这次实在是有些“后知后觉”——事实上，基于一系列专业的抗DDoS能力，早在2018年初，百度安全智云盾便展开了针对网络协议漏洞进行DDoS攻击的“捕获行动”，并在次年先后完成了对WS-DD、CoAP及ARMS三种全新DDoS攻击方式的2秒快速识别及流量实时隔离清洗，有效抵御了上述DDoS攻击事件，有力保障了用户的网络安全。

ONVIF协议主要被用于在全球范围内，通过开放接口标准以确保在安防场景中不同厂商生产的网络视频产品的互通性。其设备管理和控制部分所定义的接口均以Web Services的形式提供，WS-DISCOVERY接口则是ONVIF协议定义的设备发现接口，数据传输采用UDP的方式实现。

2019年2月，百度安全智云盾捕获了一起利用ONVIF协议进行的反射放大攻击事件。不同于以往的泛洪攻击，此次攻击借助了在物联网设备中被大量使用的UDP协议。这类攻击不会直接攻击受害者IP，而是通过以受害者的IP构造UDP数据包，对反射源发送伪造的数据包。由此，反射源向受害者IP响应的流量远超过攻击者伪造UDP流量的数据，不法分子借此对受害者实施DDoS攻击。单就此次攻击事件而言，其覆盖范围遍及全球60个国家和地区，攻击放大倍数预计在5-14倍区间。

显而易见，百度安全智云盾在去年年初的这次“捕获行动”已经证明了WS-DISCOVERY所存在的接口缺陷。其以网络视频规范定义的服务探测接口为反射源，在不入侵设备构建庞大僵尸网络的前提下，利用物联网设备发起反射攻击，且制造了较大攻击放大倍数。

关于此次基于ONVIF协议的DDoS反射攻击事件的详细解析，可参见此文。

百度安全实验室：基于ONVIF协议的物联网设备参与DDoS反射攻击

反射攻击示意图

CoAP是一种应用在物联网网络的应用层协议，其在继承HTTP协议可靠传输、数据重传、块重传、IP多播等特点的同时，利用二进制格式使请求更加轻量化，从而在对系统资源限制较多的物联网设备中被广泛应用。

2019年4月，一起利用CoAP协议进行的反射放大攻击事件为百度安全智云盾所捕获。其原理与利用ONVIF协议漏洞进行的攻击类似，但影响波及到了更广泛的物联网设备——在被重点监测的两轮攻击行为中，全球有多达72万台主机被发现暴露了相关端口，而这些设备均有可能被不法分子用于反射源攻击。

关于此次基于CoAP协议的DDoS反射攻击事件的详细解析，可参见此文。

百度安全实验室：基于CoAP协议的物联网设备参与DDoS反射攻击

netAssistant服务是一种网络调试助手服务，默认支持TCP与UDP两种协议。而借此发起的DDoS攻击是百度安全智云盾在2020年2月在全网范围内首次监测发现，这也是FBI所警告的ARMS的同类型服务，两者均使用3283端口。

此漏洞的来源在于其自身服务的设计缺陷，在使用UDP传输协议的情况下，客户端向netAssistant服务端口（即3283端口）发送一个UDP最小包，netAssistant服务便会返回携带有主机标识的超大包，请求与响应相差数十倍。由于其并未严格限制请求与响应比关系，导致暴露在公网中开启netAssistant服务的网络设备均有可能被当作反射源使用。

在百度安全智云盾所捕获的上述攻击事件中，反射源分布在全球74个国家和地区，其中59%的反射源分布在美国，而这些设备大部分都开启了netAssistant服务。

关于此次基于netAssistant服务的DDoS反射攻击事件的详细解析，可参见此文。

百度安全实验室：全网首次发现基于netAssistant服务的DDoS反射攻击

随着5G网络的快速商用和AI、物联网等新兴技术的发展，网络安全的挑战也在不断升级。作为一种延续多年的“经典”攻击方法，DDoS攻击不仅仍然是当前网络安全的最大威胁之一，其破坏力和影响范围也在持续扩大——根据今年3月百度安全联合中国联通智慧安全发布的《2019年DDoS攻击态势分析报告》显示，在过去的一年中，我国遭受的DDoS大流量攻击数量仍在持续攀升，且呈现出超大型攻击占比增加的态势，网络安全形式依旧严峻。

而针对此次FBI预警的关于WS-DD（ONVIF协议）、CoAP及ARMS（netAssistant服务）三种全新DDoS攻击方式所带来的安全风险，不仅需要相关机构能够合理管控UDP服务使用权限和策略，启用授权验证；面向物联网设备，还需要根据实际需要分配公网IP，并为公网访问添加防火墙规则，限制访问IP，减少互联网暴露。当然最重要的，还是应及时接入DDoS云防安全服务提升系统化的综合防御能力。

秉承“有AI，更安全”的理念，依托20年最佳实践的总结与提炼，百度安全智云盾以成熟的防御技术和灵活的合作模式，长期以来为合作伙伴提供了IDC环境下完备、便捷的安全基础设施解决方案。

一方面，面对近年来DDoS攻击的新趋势和新手段，智云盾不仅支持精确清洗、分钟级缓解、自动化应急处理等功能，也与多家运营商建立起了联合防御战线。另一方面，集合百度安全包括本地快速检测、自动化拓展T级云防、资产弱点评估、黑客攻击检测、实时安全防御和威胁情报在内的一系列技术能力，使得智云盾在进一步提高IDC安全水平的同时，也能为最终客户提供更为全面的安全增值产品。

网络安全的攻防从来都是场持久战，面对DDoS攻击方式的不断升级，百度安全也将与产业各界一道，为国内IDC发展保驾护航。