更新时间:2026-01-28 12:21:24
开发经验
29最近,安全研究人员表示,RFC 7252,也称为约束应用协议(CoAP),将成为DDoS 攻击中最常被滥用的协议之一。如果你不认识CoAP 协议的名字,这很正常,因为它在2014 年才被正式批准,在今年之前大多没有广泛使用。
什么是CoAP?
CoAP是一种轻量级的机器对机器(M2M)协议,可以在内存和计算资源稀缺的智能设备上运行。简单来说,CoAP 与HTTP 非常相似,但它不是在TCP 数据包上工作,而是在UDP 上工作,UDP 是一种作为TCP 替代方案而创建的更轻量级的数据传输格式。
就像HTTP 用于在客户端和服务器之间传输数据和命令(GET、POST、CONNECT 等)一样,CoAP 允许相同的多播和命令传输功能,但不需要相同数量的资源,使其成为快速发展的IoT 设备环境的理想选择。然而,就像任何其他基于UDP 的协议一样,CoAP 本质上容易受到IP 地址欺骗和数据包放大的影响,这是导致DDos 攻击放大的两个主要因素。
攻击者可以向CoAP 客户端(物联网设备)发送一个小UDP 数据包,客户端将响应一个较大的数据包。在DDoS 攻击领域,此数据包响应的大小称为放大系数,对于CoAP,该系数的范围可以从10 到50,具体取决于初始数据包和生成的响应。
此外,由于CoAP 容易受到IP 欺骗,攻击者可以将“发送者IP 地址”替换为他们希望发起DDoS 攻击的受害者的IP 地址,而受害者将获得CoAP 流量的放大影响。
设计CoAP 的人添加了安全功能来防止此类问题,但正如Cloudflare 曾经指出的那样,如果设备制造商实现了这些CoAP 安全功能,CoAP 协议将变得不太方便,从而否定了轻量级协议的所有优势。这就是为什么当今大多数CoAP 实现都使用“NoSec”安全模式而不是强化安全模式,这使协议保持轻量级,但也容易受到DDoS 攻击。
COAP的兴起
由于CoAP是一种新协议,即使所有设备都运行在NoSec模式下,那些易受攻击的设备也不会出现问题。但现实已经发生了变化,根据eCrimeLabs 创始人Dennis Rand 今年在RVAsec 安全会议上的演讲,自2017 年11 月以来,CoAP 设备的数量呈爆炸式增长。
Rand 表示,CoAP 设备的数量从2017 年11 月的6,500 台低点跃升至下个月的26,000 台。根据互联网设备搜索引擎Shodan 的数据,2018 年情况变得更糟,截至5 月,设备数量为278,000 台,而如今该数字徘徊在580,000-600,000 台左右。
这种爆炸式增长的原因是CoAP 被用作QLC 链(以前的QLink)的一部分。 QLC Chain是一个旨在利用中国各地可用的WiFi节点构建基于区块链的去中心化移动网络的项目。
但这种随时可用且安全性较差的CoAP 客户端的突然增长并未引起人们的注意。过去几周,首次通过CoAP 的DDoS 攻击开始发挥作用。
据一位处理DDoS攻击的安全研究人员介绍,过去几个月CoAP攻击的频率越来越频繁,平均达到55Gbps,最大的达到320Gbps。根据DDoS安全相关公司Link11的数据,55Gbps的平均攻击强度比普通DDoS攻击的平均攻击强度(4.6Gbps)高出一个数量级。
目前Shodan 上可用的580,000 个CoAP 设备中,大约有330,000 个(ab)用于中继和放大DDoS 攻击,放大系数高达46 倍。在研究人员记录的攻击中,大多数针对中国的各种在线服务以及中国大陆以外的一些MMORPG(在线角色扮演)平台。目前尚不清楚CoAP 是否已被添加为租赁平台DDoS 的攻击选项,但如果发生这种情况,此类攻击的负面影响将进一步加剧。
多重安全警示
与使用IoT 开发的大多数协议一样,问题似乎不在于协议设计和包含一些基本安全功能,而在于设备制造商如何在实时设备中配置和交付CoAP。
遗憾的是,许多协议经常被设备制造商意外或故意错误配置,他们通常选择互操作性和易用性而不是安全性。
但令一些安全研究人员感到不安的是,一些人预测这将在2013 年发生,甚至在CoAP 被批准为官方互联网标准之前。如果世界各国对物联网设备及其安全功能有更严格的监管,这是一场完全可以避免的灾难。
我们专注高端建站,小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验,每一个项目承诺做到满意为止,多一次对比,一定让您多一份收获!
