Un ataque DDoS de SSDP aprovecha las vulnerabilidades de Universal Plug and Play.
Después de leer este artículo podrás:
Contenido relacionado
Cómo lanzar un ataque DDoS | Herramientas de ataque DoS y DDoS
Mitigación de DDoS
¿Qué es un ataque de denegación de servicio (DoS)?
¿Qué es una red de robots (botnet) de DDoS?
Ataque SMURF (histórico)
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
Un ataque del Protocolo simple de descubrimiento de servicios (SSDP) es un ataque de denegación de servicio distribuido (DDoS) basado en la reflexión que se aprovecha de los protocolos de red Universal Plug and Play (UPnP) para enviar una cantidad amplificada de tráfico a una víctima objetivo, sobrecargando la infraestructura del objetivo y desconectando sus recursos web.
Aquí hay una herramienta gratuita para comprobar si tu IP pública tiene algún dispositivo SSDP expuesto: comprobar vulnerabilidades DDoS de SSDP.
En circunstancias normales, el protocolo SSDP se utiliza para permitir que los dispositivos UPnP difundan su existencia a otros dispositivos de la red. Por ejemplo, cuando una impresora UPnP se conecta a una red típica, después de recibir una dirección IP, la impresora puede anunciar sus servicios a los ordenadores de la red mediante el envío un mensaje a una dirección IP especial llamada dirección multicast. La dirección multicast informa a todos los ordenadores de la red sobre la nueva impresora. Una vez que un ordenador escucha el mensaje de descubrimiento de la impresora, le solicita una descripción completa de sus servicios. La impresora responde entonces directamente a ese ordenador con una lista completa de todo lo que puede ofrecer. Un ataque SSDP se aprovecha de esa solicitud final de servicios al pedirle al dispositivo que responda a la víctima objetivo.
Para los administradores de red, una mitigación clave es bloquear el tráfico UDP entrante en el puerto 1900 en el firewall. En caso de que el volumen de tráfico no sea suficiente para sobrecargar la infraestructura de la red, filtrar el tráfico de este puerto probablemente podrá mitigar un ataque de este tipo. Para profundizar en los ataques SSDP y en más estrategias de mitigación, consulta detalles técnicos sobre un ataque de SSDP.
¿Quieres saber si tienes un servicio de SSDP vulnerable que pueda ser utilizado en un ataque DDoS? Como ya se ha mencionado anteriormente, hemos creado una herramienta gratuita para comprobar si tu IP pública tiene algún dispositivo SSDP expuesto. Para comprobar si hay una vulnerabilidad DDoS de SSDP, puedes utilizar esta herramienta gratuita.
Cloudflare elimina los ataques de SSDP al detener todo el tráfico de ataque antes de que llegue a su objetivo; a los paquetes UDP que se dirigen al puerto 1900 no se les hace un proxy al servidor de origen, y la carga para recibir el tráfico inicial recae en la red de Cloudflare. Ofrecemos protección total contra SSDP y otros ataques de amplificación a la capa 3.
Aunque el ataque se dirija a una sola dirección IP, nuestra red Anycast distribuirá todo el tráfico de ataques hasta el punto en que deje de suponer un problema. Cloudflare puede usar su red escalable para distribuir el volumen del ataque en muchos centros de datos, equilibrando así la carga para que el servicio nunca se vea interrumpido y el ataque no sature la infraestructura del servidor objetivo. En un periodo reciente de seis meses, nuestro sistema de mitigación de DDoS "Gatebot" detectó 6329 ataques de reflexión simples (es decir, uno cada 40 minutos) y nuestra red logró mitigarlos todos. Más información sobre la protección contra DDoS de Cloudflare.