Ataque DDoS de SSDP

Un ataque DDoS de SSDP aprovecha las vulnerabilidades de Universal Plug and Play.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir un ataque DDoS SSDP
  • Explicar los detalles de un ataque SSDP
  • Implementar estrategias para mitigar los ataques SSDP

Copiar enlace del artículo

¿Qué es un ataque DDoS de SSDP?

Un ataque del Protocolo simple de descubrimiento de servicios (SSDP) es un ataque de denegación de servicio distribuido (DDoS) basado en la reflexión que se aprovecha de los protocolos de red Universal Plug and Play (UPnP) para enviar una cantidad amplificada de tráfico a una víctima objetivo, sobrecargando la infraestructura del objetivo y desconectando sus recursos web.

Aquí hay una herramienta gratuita para comprobar si tu IP pública tiene algún dispositivo SSDP expuesto: comprobar vulnerabilidades DDoS de SSDP.

¿Cómo funciona un ataque de SSDP?

En circunstancias normales, el protocolo SSDP se utiliza para permitir que los dispositivos UPnP difundan su existencia a otros dispositivos de la red. Por ejemplo, cuando una impresora UPnP se conecta a una red típica, después de recibir una dirección IP, la impresora puede anunciar sus servicios a los ordenadores de la red mediante el envío un mensaje a una dirección IP especial llamada dirección multicast. La dirección multicast informa a todos los ordenadores de la red sobre la nueva impresora. Una vez que un ordenador escucha el mensaje de descubrimiento de la impresora, le solicita una descripción completa de sus servicios. La impresora responde entonces directamente a ese ordenador con una lista completa de todo lo que puede ofrecer. Un ataque SSDP se aprovecha de esa solicitud final de servicios al pedirle al dispositivo que responda a la víctima objetivo.

Estos son los 6 pasos de un típico ataque DDoS de SSDP:

  1. Primero, el atacante lleva a cabo un escaneado en busca de dispositivos plug-and-play que se puedan utilizar como factores de amplificación.
  2. A medida que el atacante descubre dispositivos en red, crea una lista de todos los dispositivos que responden.
  3. El atacante crea un paquete UDP con la dirección IP falsificada de la víctima objetivo.
  4. A continuación, el atacante utiliza una botnet para enviar un paquete de descubrimiento falsificado a cada dispositivo plug-and-play con una solicitud de la mayor cantidad de datos posible mediante el establecimiento de ciertos indicadores, específicamente ssdp:rootdevice o ssdp:all.
  5. Como resultado, cada dispositivo enviará una respuesta a la víctima objetivo con una cantidad de datos hasta unas 30 veces mayor que la solicitud del atacante.
  6. Entonces, el objetivo recibe un gran volumen de tráfico procedente de todos los dispositivos y se ve sobrecargado, lo cual puede provocar una denegación de servicio del tráfico legítimo.

¿Cómo se mitiga un ataque de SSDP?

Para los administradores de red, una mitigación clave es bloquear el tráfico UDP entrante en el puerto 1900 en el firewall. En caso de que el volumen de tráfico no sea suficiente para sobrecargar la infraestructura de la red, filtrar el tráfico de este puerto probablemente podrá mitigar un ataque de este tipo. Para profundizar en los ataques SSDP y en más estrategias de mitigación, consulta detalles técnicos sobre un ataque de SSDP.

¿Quieres saber si tienes un servicio de SSDP vulnerable que pueda ser utilizado en un ataque DDoS? Como ya se ha mencionado anteriormente, hemos creado una herramienta gratuita para comprobar si tu IP pública tiene algún dispositivo SSDP expuesto. Para comprobar si hay una vulnerabilidad DDoS de SSDP, puedes utilizar esta herramienta gratuita.

¿Cómo mitiga Cloudflare los ataques de SSDP?

Cloudflare elimina los ataques de SSDP al detener todo el tráfico de ataque antes de que llegue a su objetivo; a los paquetes UDP que se dirigen al puerto 1900 no se les hace un proxy al servidor de origen, y la carga para recibir el tráfico inicial recae en la red de Cloudflare. Ofrecemos protección total contra SSDP y otros ataques de amplificación a la capa 3.

Aunque el ataque se dirija a una sola dirección IP, nuestra red Anycast distribuirá todo el tráfico de ataques hasta el punto en que deje de suponer un problema. Cloudflare puede usar su red escalable para distribuir el volumen del ataque en muchos centros de datos, equilibrando así la carga para que el servicio nunca se vea interrumpido y el ataque no sature la infraestructura del servidor objetivo. En un periodo reciente de seis meses, nuestro sistema de mitigación de DDoS "Gatebot" detectó 6329 ataques de reflexión simples (es decir, uno cada 40 minutos) y nuestra red logró mitigarlos todos. Más información sobre la protección contra DDoS de Cloudflare.

Ventas