Un attacco DDoS SSDP sfrutta le vulnerabilità presenti in Universal Plug and Play.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Come sferrare un attacco DDoS | Strumenti di attacco DoS e DDoS
Mitigazione degli attacchi DDoS
Cos'è un attacco denial-of-service (DoS)?
Cos’è un botnet DDoS?
Attacco Smurf (storico)
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Un attacco SSDP (Simple Service Discovery Protocol) semplice è un attacco DDoS basato sulla riflessione che sfrutta i protocolli di rete Universal Plug and Play (UPnP) per inviare una quantità amplificata di traffico a una vittima designata, sovraccaricando l'infrastruttura del bersaglio e mettendo offline la sua risorsa Web.
Ecco uno strumento gratuito per verificare se il tuo IP pubblico ha dispositivi SSDP esposti: verifica la vulnerabilità DDoS SSDP.
In circostanze normali, il protocollo SSDP viene utilizzato per consentire ai dispositivi UPnP di trasmettere la propria esistenza ad altri dispositivi sulla rete. Ad esempio, quando una stampante UPnP è connessa a una rete tipica, dopo aver ricevuto un indirizzo IP, la stampante è in grado di pubblicizzare i propri servizi ai computer sulla rete inviando un messaggio a uno speciale indirizzo IP denominato indirizzo multicast. L'indirizzo multicast, quindi, comunica a tutti i computer sulla rete la nuova stampante. Quando un computer riceve il messaggio di rilevamento della stampante, invia una richiesta alla stampante per una descrizione completa dei suoi servizi. La stampante risponde quindi direttamente a quel computer fornendo un elenco completo di tutte le sue funzionalità. Un attacco SSDP sfrutta la richiesta finale di servizi, chiedendo al dispositivo di rispondere alla vittima designata.
Per gli amministratori di rete, una soluzione chiave è bloccare il traffico UDP in entrata sulla porta 1900 sul firewall. A condizione che il volume di traffico non sia tale da sovraccaricare l'infrastruttura di rete, il filtraggio del traffico da questa porta sarà probabilmente in grado di mitigare un attacco di questo tipo. Per un'analisi più approfondita degli attacchi SSDP e ulteriori strategie di mitigazione, consulta i dettagli tecnici relativi agli attacchi SSDP.
Vuoi sapere se disponi di un servizio SSDP vulnerabile che può essere utilizzato in un attacco DDoS? Come accennato in precedenza, abbiamo creato uno strumento gratuito per verificare se il tuo IP pubblico presenta dispositivi SSDP esposti. Per verificare la presenza di una vulnerabilità DDoS SSDP, puoi utilizzare questo strumento gratuito.
Cloudflare elimina gli attacchi SSDP bloccando tutto il traffico di attacco prima che raggiunga il bersaglio; i pacchetti UDP destinati alla porta 1900 non vengono inoltrati al server di origine e il carico per la ricezione del traffico iniziale ricade sulla rete di Cloudflare. Offriamo una protezione completa da SSDP e altri attacchi di amplificazione di livello 3.
Sebbene l'attacco punterà a un singolo indirizzo IP, la nostra rete Anycast disperderà tutto il traffico di attacco al punto in cui non sia più distruttivo. Cloudflare è in grado di utilizzare il nostro vantaggio di scalabilità per distribuire il peso dell'attacco su più datacenter, bilanciando il carico in modo che il servizio non venga mai interrotto e l'attacco non travolga mai l'infrastruttura del server designato. In sei mesi, il nostro sistema di mitigazione degli attacchi DDoS "Gatebot" ha rilevato 6.329 attacchi di riflessione semplice (uno ogni 40 minuti) e la rete li ha mitigati tutti con successo. Approfondimento sulla protezione da attacchi DDoS di Cloudflare.