利用WS-Discovery进行反射攻击？绿盟科技威胁情报中心已支持相关检测

WS-Discovery反射攻击最早于2019年2月由国内安全研究人员披露，从2019年下半年开始，利用其进行反射攻击的事件明显增多。绿盟科技威胁情报中心（NTI）对该攻击持续监控，已支持对WS-Discovery反射攻击的相关检测及测绘数据检索，可提供最新WSD暴露资产情报并持续更新。

通过特定条件检索，可在NTI获取相关测绘数据列表：

其中，某个参与DDoS攻击的IP展示如下：

A10 Networks在其研究报告中提到WS-Discovery的暴露数量位居可被用于反射攻击的服务的第三位，仅次于SNMP和SSDP，高于TFTP和DNS Resolver。由于WS-Discovery反射攻击危害巨大，2019年，绿盟科技格物实验室就对其进行了深入分析，并在2020年对WS-Discovery的暴露数量和威胁数据进行了更新，同时加入了绿盟科技国际云清洗中的DDoS告警数据，分析出WS-Discovery反射攻击的最新信息。

格物实验室采用绿盟科技威胁情报中心（NTI）在2020年3月的一轮完整测绘数据对WS-Discovery服务的暴露情况进行了分析，关键发现如下：

1、全球有约80万个IP开放了WS-Discovery服务，存在被利用进行DDoS攻击的风险，其中有约70万是视频监控设备，约占总量的87.7%。

2、开放WS-Discovery服务的设备暴露数量最多的五个国家依次是中国、韩国、越南、巴西和美国。而其中的视频监控设备暴露数量，又以越南最多。

3、虽然开放WS-Discovery服务的IP近百万，但是真正参与DDoS攻击的并不多。主要原因是，大部分IP都不会对攻击者在攻击中所采用的短字节攻击载荷进行回应。去年报告中提到的三字节攻击载荷，仅有不到3万的IP进行了回应。

4、通过对DDoS告警日志中的事件、源IP和受害者进行分析，我们发现，2020年Q1，受害者数无明显变化趋势，但是3月份相比前两个月，攻击者使用开放WS-Discovery服务的IP进行反射攻击的数量有了较大幅度的增加，单日IP数最高达到了1.9万。

5、绿盟科技国际云清洗数据显示，共有13个国家受到过DDoS攻击，其中，巴西是受害最严重的国家，巴西的受害者IP占总数的41%。

6、WS-Discovery相关的IP除参与反射攻击外，还有少量IP参与了其它多种类型的DDoS攻击。这也一定程度上说明，WS-Discovery相关的设备可能还存在其它漏洞，从而成为了僵尸网络的节点。

7、攻击者在进行WS-Discovery反射攻击时，通常不会采用合法的服务发现报文作为攻击载荷，而是尝试通过一些长度很短的载荷来进行攻击。在去年的报告中，出现最多的是一个三个字节的攻击载荷，约占所有攻击日志数量的三分之二。而在今年，我们发现攻击载荷呈现出了多样性，出现最多的是一个五个字节的攻击载荷，约占所有攻击日志数量的27.0%，去年的那个三个字节的攻击载荷，占比变为了22.0%，排在了第二位。