什么是 SSDP DDoS 攻擊？

簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議 (SSDP) 攻擊是一種基于反射的分布式拒絕服務(wù) (DDoS) 攻擊，它利用通用即插即用 (UPnP) 網(wǎng)絡(luò)協(xié)議將放大的流量發(fā)送給目標(biāo)受害者，使目標(biāo)的基礎(chǔ)設(shè)施不堪重負(fù)并使它們的 Web 資源脫機(jī)。

這是一個(gè)免費(fèi)工具，可檢查您的公共 IP 是否具有暴露的 SSDP 設(shè)備：檢查 SSDP DDoS 漏洞。

SSDP 攻擊的工作原理

在正常情況下，SSDP 協(xié)議用于允許 UPnP 設(shè)備向網(wǎng)絡(luò)上的其他設(shè)備廣播其存在。例如，當(dāng) UPnP 打印機(jī)連接到典型網(wǎng)絡(luò)時(shí)，在它收到 IP 地址之后，該打印機(jī)能夠通過(guò)將消息發(fā)送到稱為多播地址的特殊 IP 地址，以向網(wǎng)絡(luò)上的計(jì)算機(jī)通告其服務(wù)。然后，多播地址將新打印機(jī)的存在告知網(wǎng)絡(luò)上的所有計(jì)算機(jī)。一旦計(jì)算機(jī)收到有關(guān)打印機(jī)的發(fā)現(xiàn)消息，它就會(huì)向打印機(jī)發(fā)出請(qǐng)求，要求打印機(jī)完整描述其服務(wù)。然后，打印機(jī)將發(fā)出其提供的所有內(nèi)容的完整列表來(lái)直接響應(yīng)該計(jì)算機(jī)。SSDP 攻擊通過(guò)要求設(shè)備響應(yīng)目標(biāo)受害者來(lái)利用最終步驟的服務(wù)請(qǐng)求。

下面是典型的 SSDP DDoS 攻擊的 6 個(gè)步驟：

1. 首先，攻擊者進(jìn)行掃描，尋找可以用作放大因子的即插即用設(shè)備。
2. 攻擊者發(fā)現(xiàn)聯(lián)網(wǎng)設(shè)備后，創(chuàng)建所有發(fā)出響應(yīng)的設(shè)備的列表。
3. 攻擊者使用目標(biāo)受害者的欺騙性 IP 地址創(chuàng)建 UDP 數(shù)據(jù)包。
4. 然后，攻擊者使用僵尸網(wǎng)絡(luò)通過(guò)設(shè)置某些標(biāo)志（比如 ssdp:rootdevice 或 ssdp:all），向每個(gè)即插即用設(shè)備發(fā)送一個(gè)欺騙性發(fā)現(xiàn)數(shù)據(jù)包，并請(qǐng)求盡可能多的數(shù)據(jù)。
5. 結(jié)果，每個(gè)設(shè)備都會(huì)向目標(biāo)受害者發(fā)送回復(fù)，其數(shù)據(jù)量最多達(dá)到攻擊者請(qǐng)求的 30 倍。
6. 然后，目標(biāo)從所有設(shè)備接收大量流量，因此不堪重負(fù)，可能導(dǎo)致對(duì)正常流量拒絕服務(wù)。

如何防護(hù) SSDP 攻擊？

對(duì)于網(wǎng)絡(luò)管理員，一個(gè)關(guān)鍵的防護(hù)措施是在防火墻的 1900 端口阻止傳入 UDP 流量。如果流量不足以使網(wǎng)絡(luò)基礎(chǔ)設(shè)施不堪重負(fù)，則從此端口篩選流量可能能夠防護(hù)這種攻擊。要深入了解 SSDP 攻擊和更多緩解策略，請(qǐng)?zhí)剿?a href="http://m.nwhl.com.cn/go?_=9628a069bcaHR0cHM6Ly9ibG9nLmNsb3VkZmxhcmUuY29tL3NzZHAtMTAwZ2Jwcy8%3D" rel="noopener noreferrer nofollow" target="_blank">有關(guān) SSDP 攻擊的技術(shù)詳情。

您是否想知道您是否有可用于 DDoS 攻擊的帶有漏洞的 SSDP 服務(wù)？如前所述，我們創(chuàng)建了一個(gè)免費(fèi)工具來(lái)檢查您的公共 IP 是否有暴露的 SSDP 設(shè)備。要檢查 SSDP DDoS 漏洞，可以使用此免費(fèi)工具。