SSDP-DDoS-Angriff

Ein SSDP-DDoS-Angriff nutzt Schwachstellen in Universal Plug and Play aus.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Einen SSDP-DDoS-Angriff definieren
  • Einzelheiten eines SSDP-Angriffs erklären
  • Strategien zur Bekämpfung von SSDP-Angriffen implementieren

Link zum Artikel kopieren

Was ist ein SSDP-DDoS-Angriff?

Ein SSDP-(Simple Service Discovery Protocol)-Angriff ist ein Reflection-basierter Distributed-Denial-of-Service-(DDoS)-Angriff, bei dem universelle Plug-and-Play-(UPnP)-Netzwerkprotokolle ausgenutzt werden, um eine verstärkte Menge an Traffic an ein Opfer zu senden, seine Infrastruktur zu überfluten und seine Webressource offline zu nehmen.

Hier ist ein kostenloses Tool, mit dem Sie überprüfen können, ob Ihre öffentliche IP ungeschützte SSDP-Geräte hat: Überprüfung auf SSDP-DDoS-Anfälligkeit.

Wie läuft ein SSDP-Angriff ab?

SSDP-DDoS-Angriff

Unter normalen Umständen wird das SSDP-Protokoll verwendet, um UPnP-Geräten zu ermöglichen, ihre Existenz anderen Geräten im Netzwerk mitzuteilen. Wenn zum Beispiel ein UPnP-Drucker mit einem typischen Netzwerk verbunden wird, kann er nach Erhalt einer IP-Adresse seine Dienste Computern im Netzwerk anbieten, indem er eine Nachricht an eine spezielle, als Multicast-Adresse bezeichnete IP-Adresse sendet. Die Multicast-Adresse informiert daraufhin alle Computer im Netzwerk über die Existenz des neuen Druckers. Sobald ein Computer die Benachrichtigung über den Drucker empfängt, sendet er eine Anfrage an den Drucker, um eine komplette Beschreibung seiner Dienste zu erhalten. Der Drucker antwortet daraufhin diesem Computer direkt mit einer vollständigen Liste aller Leistungen, die er anbieten kann. Ein SSDP-Angriff nutzt diese letzte Dienst-Anfrage aus, indem das Gerät angewiesen wird, dem Opfer zu antworten.

Hier sind die 6 Schritte eines typischen SSDP-DDoS-Angriffs:

  1. Zuerst sucht der Angreifer nach Plug-and-Play-Geräten, die als Verstärkungsfaktoren verwendet werden können.
  2. Während der Angreifer vernetzte Geräte entdeckt, erstellt er eine Liste aller Geräte, die antworten.
  3. Der Angreifer erstellt ein UDP-Paket mit der gespooften IP-Adresse des Opfers.
  4. Der Angreifer setzt dann ein Botnetz ein, um ein gespooftes Ermittlungspaket an jedes Plug-and-Play-Gerät mit einer Anfrage nach so vielen Daten wie möglich zu senden, indem bestimmte Flags gesetzt werden, insbesondere ssdp:rootdevice oder ssdp:all.
  5. Als Ergebnis sendet jedes Gerät eine Antwort mit einer Datenmenge an das Opfer, die bis zu 30-mal größer ist als die Anfrage des Angreifers.
  6. Das Opfer empfängt dann ein großes Traffic-Volumen von allen Geräten und wird überlastet, wodurch potentiell ein Denial-of-Service für legitimen Traffic verursacht werden kann.

Wie wird ein SSDP-Angriff bekämpft?

Eine wichtige Bekämpfungsmethode für Netzwerkadministratoren besteht darin, eingehenden UDP-Traffic an Port 1900 an der Firewall zu blockieren. Falls das Traffic-Volumen nicht ausreicht, um die Netzwerkinfrastruktur zu überlasten, kann so ein Angriff durch Filtern des Traffics von diesem Port wahrscheinlich bekämpft werden. Für nähere Informationen zu SSDP-Angriffen und weitere Bekämpfungsstrategien können Sie die technischen Details zu einem SSDP-Angriff erkunden.

Möchten Sie wissen, ob Sie einen anfälligen SSDP-Dienst haben, der in einem DDoS-Angriff verwendet werden kann? Wie bereits erwähnt, haben wir ein kostenloses Tool erstellt, mit dem Sie überprüfen können, ob Ihre öffentliche IP ungeschützte SSDP-Geräte hat. Zur Überprüfung auf SSDP-DDoS-Anfälligkeit können Sie dieses kostenlose Tool verwenden.

Wie bekämpft Cloudflare SSDP-Angriffe?

Cloudflare eliminiert SSDP-Angriffe, indem der gesamte Angriffs-Traffic gestoppt wird, bevor er sein Ziel erreicht. UDP-Pakete, die auf Port 1900 abzielen, werden nicht über einen Proxy an den Ursprungsserver gesendet, und die Last zum Empfang des ursprünglichen Traffics fällt in Cloudflares Netzwerk. Wir bieten vollständigen Schutz vor SSDP- und anderen Amplification-Angriffen auf der Ebene 3.

Obwohl der Angriff auf eine einzelne IP-Adresse abzielt, zerstreut unser Anycast-Netzwerk den gesamten Angriffs-Traffic, bis er keine störende Wirkung mehr hat. Als Cloudflare können wir unseren Größenvorteil einsetzen, um die Angriffslast des Angriffs über viele Rechenzentren zu verteilen. Die Last kann so ausgeglichen werden, dass der Dienst zu keiner Zeit unterbrochen wird und der Angriff die Infrastruktur des angegriffenen Servers nie überflutet. Während eines kürzlichen sechsmonatigen Zeitraums erkannte unser DDoS-Abwehrsystem „Gatebot“ 6.329 einfache Reflection-Angriffe (das ist ein Angriff alle 40 Minuten), und das Netzwerk bekämpfte alle von ihnen erfolgreich. Erfahren Sie mehr über Cloudflares DDoS-Schutz.