SSDP协议的DDoS攻击

SSDP协议的DDoS攻击

更新时间:2018-06-28 19:07:19

概述

SSDP简单服务发现协议(Simple Service Discovery Protocol)是一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一。 简单服务发现协议提供了在局部网络里面发现设备的机制,控制点(也就是接受服务的客户端)可以通过使用简单服务发现协议,根据自己的需要查询在自己所在的局部网络里面提供特定服务的设备,设备(也就是提供服务的服务器端)也可以通过使用简单服务发现协议,向自己所在的局部网络里面的控制点声明它的存在。 互联网上家用路由器、网络摄像头、打印机、智能家电等设备数量的激增,这些智能设备普遍采用UPnP(即插即用)协议作为网络通讯协议, 而UPnP设备的发现是通过源端口为1900的SSDP协议(简单服务发现协议)进行相互感知。

详细信息

SSDP协议的DDoS攻击原理

利用SSDP协议进行反射攻击的原理与利用DNS服务、NTP服务类似,都是伪造成被攻击者的IP地址向互联网上大量的智能设备发起SSDP请求,接收到请求的智能设备根据源IP地址将响应数据包返回给受害者。

SSDP协议的DDoS攻击的协议分析

攻击者通过伪造SSDP请求源地址字段,使即插即用设备将SSDP应答消息发送至攻击目标。由于大量的即插即用设备被攻击者利用,攻击者将巨大的攻击流量引向了特定的攻击目标。攻击过程中的协议分析如下。
  1. 使用多播向局域网发送查询请求,查询域内可用的即插即用设备,请求头内容如下。
    M-SEARCH * HTTP/1.1
    HOST:239.xxx.xxx.255:1900
    MAN:"ssdp:discover"
    MX:5
    ST:upnp:rootdevice
    
  2. 与查询请求所匹配的即插即用设备返回响应消息,其中location字段为该设备描述文件的地址,从而攻击者获得可利用设备。
    HTTP/1.1 200 OK
    CACHE-CONTROL: max-age = 1200
    EXT:
    LOCATION:http://192.168.x.x:1900/picsDesc.xml
    SERVER: Ubuntu/7.04 UPnP/1.0 mini-upnpd/1.0
    ST:upnp:rootdevice
    
  3. 攻击者将源地址伪造成攻击目标地址,向发现的即插即用设备的1900端口服务发起简单的ICMP查询请求。
  4. 即插即用设备向攻击目标返回SSDP应答消息。
    HTTP/1.1 200 OK
    CACHE-CONTROL: max - age = 1200
    DATE: Thu,o1 Jan 1970 00:05:33 GMT
    EXT:
    LOCATION: http://192.168.1.1:4801/dev/uupid:00007-1156-ac1450cfa3257
    SERVER: Custom/1.0 UPnP/1.0 Proc/Ver
    ST: urn: schemas - upnp - org: service: Layer3Forearding: 1
    

SSDP协议的DDoS攻击的防御措施

  1. 对于不需要启用即插即用服务的设备,将即插即用服务停止运行。如家用路由器出厂设置默认开启此功能的,需要手动将其关闭,同时应检查确认所有连接外网的设备没有将即插即用服务暴露于互联网上,对非信任网络禁用SSDP协议,以防设备被攻击者利用为攻击发射点,另外,除SSDP服务之外,应检查屏蔽设备未用协议,关闭相应无用端口。
  2. 在攻击目标侧,引入DDoS防御技术。如流量清洗,其原理是,对业务流量进行实施监控分析,如果检测到遭受DDoS攻击,则改变业务流量的流向,将其导引到流量清洗中心,由清洗中心对流量进行清洗,将攻击流量数据包直接抛弃,将正常业务流量再回注到业务网络。 此技术通道采用旁路工作方式,可有效避免单点故障和网络瓶颈,是当前行之有效的DDoS攻击防御技术。

适用于

  • DDoS高防IP