在今年五月份，外媒报道了 WS-Discovery 协议被滥用用于发起DDoS攻击的情况。研究人员为了防止更多人利用这种方式发起攻击，只能谨慎地不披露更多细节。

然而最近一个月，滥用WS-Discovery协议发起的大规模DDoS攻击已经越来越频繁，几乎每周都有一次。

WS-Discovery 是一种多播协议，最初是用于在本地网络上通过特定协议或接口发现附近其他设备的。

尽管一般人不太熟悉，但WS-Discovery协议已被ONVIF采用。 ONVIF是一个行业组织，旨在推动标准化接口，以促进网络产品的互操作性。

通过搜索引擎BinaryEdge的检索结果显示，目前有近63万台基于ONVIF WS-Discovery发现协议的设备在线，这使它们处于极大的风险之中。

问题在于这是一个基于UDP的协议，这意味着数据包的目的地可以被欺骗。 攻击者可以伪造返回IP地址，将UDP数据包发送到设备的WS-Discovery服务端。

WS-Discovery的响应会比初始输入大许多倍。基于这一原理的DDoS攻击会对受害者造成极大的伤害，研究人员称之为DDoS放大因子。

ZDNet指出，WS-Discovery协议已经在世界各地的DDoS攻击中被观察到，放大倍数高达300~500。 相比之下，其他基于UDP协议的攻击平均只有10倍。

尽管如此，今年5月份，网络安全公司ZeroBS GmbH仍在追踪一起事件，而2018年底在GitHub上发布的用于启动WS-Discovery DDoS攻击的概念验证脚本声称可以实现70~150的放大倍数。

今年5月份，安全研究人员Tucker Preston首次公布了基于滥用WS-Discovery协议的大规模攻击事件。通过观察130起事件，发现一些攻击规模超过了350 Gbps。接下来几个月的攻击有所减少，但在8月份又再次升级，放大系数不超过10，最高只冲到40 Gbps，且被纳入发起WS-Discovery DDoS攻击的僵尸网络中的设备只有5000台。