Attaque DDoS SSDP

Une attaque DDoS qui exploite les vulnérabilités du Universal Plug and Play

Share facebook icon linkedin icon twitter icon email icon

Attaque SSDP

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir une attaque DDoS SSDP
  • Expliquer les détails d'une attaque SSDP
  • Mettre en œuvre des stratégies d'atténuation des attaques SSDP

Qu'est-ce qu'une attaque DDoS SSDP ?

Une attaque SSDP (Simple Service Discovery Protocol) est une attaque par déni de service distribué (DDoS) basée sur la réflexion qui exploite les protocoles de réseau Universal Plug and Play (UPnP) afin d'envoyer un volume de trafic amplifié à une victime cible, en saturant l'infrastructure de la cible et en mettant ses ressources web hors ligne.

Voici un outil gratuit qui vous permet de vérifier si votre IP publique comporte des dispositifs SSDP exposés : vérifiez la vulnérabilité des DDoS SSDP.

Comment fonctionne une attaque SSDP ?

SSDP DDoS Attack

Dans des circonstances normales, le protocole SSDP est utilisé pour permettre aux appareils UPnP de diffuser leur existence à d'autres appareils sur le réseau. Par exemple, lorsqu'une imprimante UPnP est connectée à un réseau typique, après avoir reçu une adresse IP, celle-ci est en mesure de présenter ses services aux ordinateurs du réseau en envoyant un message à une adresse IP spéciale appelée adresse de multidiffusion. L'adresse de multidiffusion informe ensuite tous les ordinateurs du réseau sur la nouvelle imprimante. Lorsqu'un ordinateur entend le message de détection de l'imprimante, il demande à l'imprimante une description complète de ses services. L'imprimante répond alors directement à l'ordinateur en lui fournissant une liste complète de tout ce qu'elle a à offrir. Une attaque SSDP exploite cette dernière requête de services en demandant à l'appareil de répondre à la victime cible.

Voici les 6 étapes d'une attaque DDoS SSDP typique :

  1. Tout d'abord, l'agresseur effectue un scan à la recherche de dispositifs prêts à l'emploi qui peuvent être utilisés comme facteurs d'amplification.
  2. Lorsque le pirate découvre des appareils en réseau, il crée une liste de tous les appareils qui répondent.
  3. Le pirate crée un paquet UDP avec l'adresse IP usurpée de la victime cible.
  4. Le pirate envoie alors un paquet de découverte usurpé via un botnet à chaque appareil prêt à l'emploi avec une requête pour autant de données que possible en définissant certains drapeaux, notamment ssdp:rootdevice ou ssdp:all.
  5. En conséquence, chaque appareil enverra une réponse à la victime cible avec une quantité de données jusqu'à environ 30 fois plus importante que la requête du pirate.
  6. La cible reçoit alors un grand volume de trafic de tous les appareils et se retrouve submergée, ce qui peut entraîner un déni de service pour le trafic légitime.

Comment une attaque SSDP est-elle atténuée ?

Pour les administrateurs de réseau, une des principales mesures d'atténuation consiste à bloquer le trafic UDP entrant sur le port 1900 au niveau du pare-feu. Si le volume du trafic n'est pas suffisant pour saturer l'infrastructure du réseau, le filtrage du trafic sur ce port permettra probablement d'atténuer une telle attaque. Pour en savoir plus sur les attaques SSDP et sur les stratégies d'atténuation, consultez les détails techniques d'une attaque SSDP.

Vous voulez savoir si vous disposez d'un service SSDP vulnérable qui peut être exploité dans une attaque DDoS ? Comme mentionné précédemment, nous avons créé un outil gratuit pour vérifier si votre IP publique contient des dispositifs SSDP exposés. Vous pouvez utiliser cet outil gratuit pour vérifier si un service SSDP est vulnérable à une attaque DDoS.

Comment Cloudflare atténue-t-il les attaques SSDP ?

Cloudflare élimine les attaques SSDP en arrêtant tout le trafic d'attaque avant qu'il n'atteigne sa cible. Les paquets UDP ciblant le port 1900 ne sont pas envoyés par proxy au serveur d'origine, et la charge de réception du trafic initial pèse sur le réseau de Cloudflare. Nous offrons une protection complète contre les attaques SSDP et autres attaques par amplification de couche 3.

Bien que l'attaque vise une seule adresse IP, notre réseau Anycast dispersera tout le trafic d'attaque au point qu'il ne sera plus nuisible. Cloudflare est en mesure d'utiliser son avantage d'échelle pour répartir le poids de l'attaque sur de nombreux datacenters, en équilibrant la charge de sorte que le service ne sera jamais interrompu et que l'attaque ne saturera jamais l'infrastructure du serveur cible. Au cours d'une récente période de six mois, notre système d'atténuation des DDoS, "Gatebot," a détecté 6 329 attaques par simple réflexion (soit une toutes les 40 minutes), et le réseau a réussi à les atténuer toutes. En savoir plus sur la protection DDoS de Cloudflare.