Une attaque DDoS SSDP exploite des vulnérabilités dans Universal Plug and Play.
Cet article s'articule autour des points suivants :
Contenu associé
Comment DDoS | Outils d’attaque DoS et DDoS
Atténuation DDoS
L'attaque par déni de service
L'univers du botnet DDoS
Attaque Schtroumpf (historique)
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Une attaque SSDP (Simple Service Discovery Protocol) est une attaque par déni de service distribué (DDoS) basée sur la réflexion qui exploite les protocoles de réseau Universal Plug and Play (UPnP) afin d'envoyer un volume de trafic amplifié à une victime cible, en saturant l'infrastructure de la cible et en mettant ses ressources Web hors ligne.
Voici un outil gratuit qui vous permet de vérifier si votre IP publique comporte des dispositifs SSDP exposés : vérifiez la vulnérabilité des DDoS SSDP.
Dans des circonstances normales, le protocole SSDP est utilisé pour permettre aux appareils UPnP de diffuser leur existence à d'autres appareils sur le réseau. Par exemple, lorsqu'une imprimante UPnP est connectée à un réseau typique, après avoir reçu une adresse IP, celle-ci est en mesure de présenter ses services aux ordinateurs du réseau en envoyant un message à une adresse IP spéciale appelée adresse de multidiffusion. L'adresse de multidiffusion informe ensuite tous les ordinateurs du réseau sur la nouvelle imprimante. Lorsqu'un ordinateur entend le message de détection de l'imprimante, il demande à l'imprimante une description complète de ses services. L'imprimante répond alors directement à l'ordinateur en lui fournissant une liste complète de tout ce qu'elle a à offrir. Une attaque SSDP exploite cette dernière requête de services en demandant à l'appareil de répondre à la victime cible.
Pour les administrateurs de réseau, une des principales mesures d'atténuation consiste à bloquer le trafic UDP entrant sur le port 1900 au niveau du pare-feu. Si le volume du trafic n'est pas suffisant pour saturer l'infrastructure du réseau, le filtrage du trafic sur ce port permettra probablement d'atténuer une telle attaque. Pour en savoir plus sur les attaques SSDP et sur les stratégies d'atténuation, consultez les détails techniques d'une attaque SSDP.
Vous voulez savoir si vous disposez d'un service SSDP vulnérable qui peut être exploité dans une attaque DDoS ? Comme mentionné précédemment, nous avons créé un outil gratuit pour vérifier si votre IP publique contient des dispositifs SSDP exposés. Vous pouvez utiliser cet outil gratuit pour vérifier si un service SSDP est vulnérable à une attaque DDoS.
Cloudflare élimine les attaques SSDP en arrêtant tout le trafic d'attaque avant qu'il n'atteigne sa cible. Les paquets UDP ciblant le port 1900 ne sont pas envoyés par proxy au serveur d'origine, et la charge de réception du trafic initial pèse sur le réseau de Cloudflare. Nous offrons une protection complète contre les attaques SSDP et autres attaques par amplification de couche 3.
Bien que l'attaque ne cible qu'une seule adresse IP, notre réseau Anycast disperse l'ensemble du trafic hostile jusqu'à le purger totalement de son caractère déstabilisant. Les solutions Cloudflare s'appuient sur les avantages d'un vaste réseau pour répartir le poids de l'attaque sur de nombreux datacenters. Elles parviennent ainsi à équilibrer la charge, afin de prévenir toute interruption de service et d'empêcher l'attaque de surcharger l'infrastructure du serveur ciblé. Au cours des six derniers mois, « Gatebot » (notre système d'atténuation des attaques DDoS) a détecté 6 329 attaques par réflexion simples (soit une attaque toutes les 40 minutes), toutes atténuées avec succès par le réseau. En savoir plus sur la protection contre les attaques DDoS de Cloudflare.