SSDP-DDoS-Angriff

Ein DDoS-Angriff, bei dem Sicherheitsrisiken bei universellem Plug-and-Play ausgenutzt werden

Share facebook icon linkedin icon twitter icon email icon

SSDP-Angriff

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Einen SSDP-DDoS-Angriff definieren
  • Einzelheiten eines SSDP-Angriffs erklären
  • Strategien zur Bekämpfung von SSDP-Angriffen implementieren

Was ist ein SSDP-DDoS-Angriff?

Ein SSDP-(Simple Service Discovery Protocol)-Angriff ist ein Reflection-basierter verteilter Denial-of-Service-(DDoS)-Angriff, bei dem universelle Plug-and-Play-(UPnP)-Netzwerkprotokolle ausgenutzt werden, um eine verstärkte Menge an Datenverkehr an ein Opfer zu senden, seine Infrastruktur zu überfluten und seine Webressource offline zu nehmen.

Hier ist ein kostenloses Tool, mit dem Sie überprüfen können, ob Ihre öffentliche IP ungeschützte SSDP-Geräte hat: Überprüfung auf SSDP-DDoS-Anfälligkeit.

Wie läuft ein SSDP-Angriff ab?

SSDP DDoS Attack

Unter normalen Umständen wird das SSDP-Protokoll verwendet, um UPnP-Geräten zu ermöglichen, ihre Existenz anderen Geräten im Netzwerk mitzuteilen. Wenn zum Beispiel ein UPnP-Drucker mit einem typischen Netzwerk verbunden wird, kann er nach Erhalt einer IP-Adresse seine Dienste Computern im Netzwerk anbieten, indem er eine Nachricht an eine spezielle, als Multicast-Adresse bezeichnete IP-Adresse sendet. Die Multicast-Adresse informiert daraufhin alle Computer im Netzwerk über die Existenz des neuen Druckers. Sobald ein Computer die Benachrichtigung über den Drucker empfängt, sendet er eine Anfrage an den Drucker, um eine komplette Beschreibung seiner Dienste zu erhalten. Der Drucker antwortet daraufhin diesem Computer direkt mit einer vollständigen Liste aller Leistungen, die er anbieten kann. Ein SSDP-Angriff nutzt diese letzte Dienst-Anfrage aus, indem das Gerät angewiesen wird, dem Opfer zu antworten.

Hier sind die 6 Schritte eines typischen SSDP-DDoS-Angriffs:

  1. Zuerst sucht der Angreifer nach Plug-and-Play-Geräten, die als Verstärkungsfaktoren verwendet werden können.
  2. Während der Angreifer vernetzte Geräte entdeckt, erstellt er eine Liste aller Geräte, die antworten.
  3. Der Angreifer erstellt ein UDP-Paket mit der gespooften IP-Adresse des Opfers.
  4. Der Angreifer setzt dann ein Botnetz ein, um ein gespooftes Ermittlungspaket an jedes Plug-and-Play-Gerät mit einer Anfrage nach so vielen Daten wie möglich zu senden, indem bestimmte Flags gesetzt werden, insbesondere ssdp:rootdevice oder ssdp:all.
  5. Als Ergebnis sendet jedes Gerät eine Antwort mit einer Datenmenge an das Opfer, die bis zu 30-mal größer ist als die Anfrage des Angreifers.
  6. Das Opfer empfängt dann ein großes Datenverkehrsvolumen von allen Geräten und wird überlastet, wodurch potentiell ein Denial-of-Service für legitimen Datenverkehr verursacht werden kann.

Wie wird ein SSDP-Angriff bekämpft?

Eine wichtige Bekämpfungsmethode für Netzwerkadministratoren besteht darin, eingehenden UDP-Traffic an Port 1900 an der Firewall zu blockieren. Falls das Datenverkehrsvolumen nicht ausreicht, um die Netzwerkinfrastruktur zu überlasten, kann so ein Angriff durch Filtern des Datenverkehrs von diesem Port wahrscheinlich entschärft werden. Für nähere Informationen zu SSDP-Angriffen und weitere Bekämpfungsstrategien können Sie die technischen Details zu einem SSDP-Angriff erkunden.

Möchten Sie wissen, ob Sie einen anfälligen SSDP-Dienst haben, der in einem DDoS-Angriff verwendet werden kann? Wie bereits erwähnt, haben wir ein kostenloses Tool erstellt, mit dem Sie überprüfen können, ob Ihre öffentliche IP ungeschützte SSDP-Geräte hat. Zur Überprüfung auf SSDP-DDoS-Anfälligkeit können Sie dieses kostenlose Tool verwenden.

Wie bekämpft Cloudflare SSDP-Angriffe?

Cloudflare eliminiert SSDP-Angriffe, indem der gesamte Angriffs-Traffic gestoppt wird, bevor er sein Ziel erreicht. UDP-Pakete, die auf Port 1900 abzielen, werden nicht über einen Proxy an den Ursprungsserver gesendet, und die Last zum Empfang des ursprünglichen Datenverkehrs fällt in Cloudflares Netzwerk. Wir bieten vollständigen Schutz vor SSDP- und anderen Layer-3-Amplification-Angriffen.

Obwohl der Angriff auf eine einzelne IP-Adresse abzielt, zerstreut unser Anycast Network den gesamten Angriffs-Traffic, bis er keine störende Wirkung mehr hat. Cloudflare kann unseren Größenordnungsvorteil einsetzen, um das Gewicht des Angriffs über viele Rechenzentren zu verteilen und die Last so auszugleichen, dass der Dienst nie unterbrochen wird und der Angriff die Infrastruktur des angegriffenen Servers nie überflutet. Während eines kürzlichen sechsmonatigen Zeitraums erkannte unser DDoS-Bekämpfungssystem „Gateboat“ 6.329 einfache Reflection-Angriffe (das ist ein Angriff alle 40 Minuten), und das Netzwerk bekämpfte alle von ihnen erfolgreich. Erfahren Sie mehr über Cloudflares DDoS-Schutz.