Attaque DDoS SSDP

Une attaque DDoS SSDP exploite des vulnérabilités dans Universal Plug and Play.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir une attaque DDoS SSDP
  • Expliquer les détails d'une attaque SSDP
  • Mettre en œuvre des stratégies d'atténuation des attaques SSDP

Copier le lien de l'article

Qu'est-ce qu'une attaque DDoS SSDP ?

Une attaque SSDP (Simple Service Discovery Protocol) est une attaque par déni de service distribué (DDoS) basée sur la réflexion qui exploite les protocoles de réseau Universal Plug and Play (UPnP) afin d'envoyer un volume de trafic amplifié à une victime cible, en saturant l'infrastructure de la cible et en mettant ses ressources Web hors ligne.

Voici un outil gratuit qui vous permet de vérifier si votre IP publique comporte des dispositifs SSDP exposés : vérifiez la vulnérabilité des DDoS SSDP.

Comment fonctionne une attaque SSDP ?

Attaque DDoS SSDP

Dans des circonstances normales, le protocole SSDP est utilisé pour permettre aux appareils UPnP de diffuser leur existence à d'autres appareils sur le réseau. Par exemple, lorsqu'une imprimante UPnP est connectée à un réseau typique, après avoir reçu une adresse IP, celle-ci est en mesure de présenter ses services aux ordinateurs du réseau en envoyant un message à une adresse IP spéciale appelée adresse de multidiffusion. L'adresse de multidiffusion informe ensuite tous les ordinateurs du réseau sur la nouvelle imprimante. Lorsqu'un ordinateur entend le message de détection de l'imprimante, il demande à l'imprimante une description complète de ses services. L'imprimante répond alors directement à l'ordinateur en lui fournissant une liste complète de tout ce qu'elle a à offrir. Une attaque SSDP exploite cette dernière requête de services en demandant à l'appareil de répondre à la victime cible.

Voici les 6 étapes d'une attaque DDoS SSDP typique :

  1. Tout d'abord, l'agresseur effectue un scan à la recherche de dispositifs prêts à l'emploi qui peuvent être utilisés comme facteurs d'amplification.
  2. Lorsque le pirate découvre des appareils en réseau, il crée une liste de tous les appareils qui répondent.
  3. L'attaquant crée un paquet UDP avec l'adresse IP usurpée de la victime cible.
  4. L'attaquant envoie alors un paquet de découverte usurpé via un botnet à chaque appareil prêt à l'emploi avec une requête pour autant de données que possible en définissant certains drapeaux, notamment ssdp:rootdevice ou ssdp:all.
  5. En conséquence, chaque appareil enverra une réponse à la victime cible avec une quantité de données jusqu'à environ 30 fois plus importante que la requête du pirate.
  6. La cible reçoit alors un grand volume de trafic de tous les appareils et se retrouve submergée, ce qui peut entraîner un déni de service pour le trafic légitime.

Comment une attaque SSDP est-elle atténuée ?

Pour les administrateurs de réseau, une des principales mesures d'atténuation consiste à bloquer le trafic UDP entrant sur le port 1900 au niveau du pare-feu. Si le volume du trafic n'est pas suffisant pour saturer l'infrastructure du réseau, le filtrage du trafic sur ce port permettra probablement d'atténuer une telle attaque. Pour en savoir plus sur les attaques SSDP et sur les stratégies d'atténuation, consultez les détails techniques d'une attaque SSDP.

Vous voulez savoir si vous disposez d'un service SSDP vulnérable qui peut être exploité dans une attaque DDoS ? Comme mentionné précédemment, nous avons créé un outil gratuit pour vérifier si votre IP publique contient des dispositifs SSDP exposés. Vous pouvez utiliser cet outil gratuit pour vérifier si un service SSDP est vulnérable à une attaque DDoS.

Comment Cloudflare atténue-t-il les attaques SSDP ?

Cloudflare élimine les attaques SSDP en arrêtant tout le trafic d'attaque avant qu'il n'atteigne sa cible. Les paquets UDP ciblant le port 1900 ne sont pas envoyés par proxy au serveur d'origine, et la charge de réception du trafic initial pèse sur le réseau de Cloudflare. Nous offrons une protection complète contre les attaques SSDP et autres attaques par amplification de couche 3.

Bien que l'attaque ne cible qu'une seule adresse IP, notre réseau Anycast disperse l'ensemble du trafic hostile jusqu'à le purger totalement de son caractère déstabilisant. Les solutions Cloudflare s'appuient sur les avantages d'un vaste réseau pour répartir le poids de l'attaque sur de nombreux datacenters. Elles parviennent ainsi à équilibrer la charge, afin de prévenir toute interruption de service et d'empêcher l'attaque de surcharger l'infrastructure du serveur ciblé. Au cours des six derniers mois, « Gatebot » (notre système d'atténuation des attaques DDoS) a détecté 6 329 attaques par réflexion simples (soit une attaque toutes les 40 minutes), toutes atténuées avec succès par le réseau. En savoir plus sur la protection contre les attaques DDoS de Cloudflare.

Service commercial