Attacco DDoS SSDP

Un attacco DDoS SSDP sfrutta le vulnerabilità presenti in Universal Plug and Play.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire un attacco DDoS SSDP
  • Spiegare i dettagli di un attacco SSDP
  • Implementare strategie per mitigare gli attacchi SSDP

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Che cos'è un attacco DDoS SSDP?

Un attacco SSDP (Simple Service Discovery Protocol) semplice è un attacco DDoS basato sulla riflessione che sfrutta i protocolli di rete Universal Plug and Play (UPnP) per inviare una quantità amplificata di traffico a una vittima designata, sovraccaricando l'infrastruttura del bersaglio e mettendo offline la sua risorsa Web.

Ecco uno strumento gratuito per verificare se il tuo IP pubblico ha dispositivi SSDP esposti: verifica la vulnerabilità DDoS SSDP.

Come funziona un attacco SSDP?

Attacco DDoS SSDP

In circostanze normali, il protocollo SSDP viene utilizzato per consentire ai dispositivi UPnP di trasmettere la propria esistenza ad altri dispositivi sulla rete. Ad esempio, quando una stampante UPnP è connessa a una rete tipica, dopo aver ricevuto un indirizzo IP, la stampante è in grado di pubblicizzare i propri servizi ai computer sulla rete inviando un messaggio a uno speciale indirizzo IP denominato indirizzo multicast. L'indirizzo multicast, quindi, comunica a tutti i computer sulla rete la nuova stampante. Quando un computer riceve il messaggio di rilevamento della stampante, invia una richiesta alla stampante per una descrizione completa dei suoi servizi. La stampante risponde quindi direttamente a quel computer fornendo un elenco completo di tutte le sue funzionalità. Un attacco SSDP sfrutta la richiesta finale di servizi, chiedendo al dispositivo di rispondere alla vittima designata.

Di seguito sono riportati i sei passaggi di un tipico attacco DDoS SSDP:

  1. Innanzitutto, l'aggressore esegue una scansione alla ricerca di dispositivi plug-and-play che possono essere utilizzati come fattori di amplificazione.
  2. Quando individua i dispositivi sulla rete, crea un elenco di tutti i dispositivi che rispondono.
  3. L'aggressore crea un pacchetto UDP con l'indirizzo IP falsificato della vittima designata.
  4. Utilizza quindi una botnet per inviare un pacchetto di rilevamento contraffatto a ciascun dispositivo plug-and-play, richiedendo la massima quantità di dati possibile tramite l'impostazione di determinati flag, nello specifico ssdp:rootdevice o ssdp:all.
  5. Di conseguenza, ogni dispositivo invierà una risposta alla vittima presa di mira con una quantità di dati fino a circa 30 volte superiore alla richiesta dell'aggressore.
  6. Il bersaglio riceve quindi un volume elevato di traffico da tutti i dispositivi e viene sopraffatto, con il rischio di negazione del servizio al traffico legittimo.

Come viene mitigato un attacco SSDP?

Per gli amministratori di rete, una soluzione chiave è bloccare il traffico UDP in entrata sulla porta 1900 sul firewall. A condizione che il volume di traffico non sia tale da sovraccaricare l'infrastruttura di rete, il filtraggio del traffico da questa porta sarà probabilmente in grado di mitigare un attacco di questo tipo. Per un'analisi più approfondita degli attacchi SSDP e ulteriori strategie di mitigazione, consulta i dettagli tecnici relativi agli attacchi SSDP.

Vuoi sapere se disponi di un servizio SSDP vulnerabile che può essere utilizzato in un attacco DDoS? Come accennato in precedenza, abbiamo creato uno strumento gratuito per verificare se il tuo IP pubblico presenta dispositivi SSDP esposti. Per verificare la presenza di una vulnerabilità DDoS SSDP, puoi utilizzare questo strumento gratuito.

In che modo Cloudflare mitiga gli attacchi SSDP?

Cloudflare elimina gli attacchi SSDP bloccando tutto il traffico di attacco prima che raggiunga il bersaglio; i pacchetti UDP destinati alla porta 1900 non vengono inoltrati al server di origine e il carico per la ricezione del traffico iniziale ricade sulla rete di Cloudflare. Offriamo una protezione completa da SSDP e altri attacchi di amplificazione di livello 3.

Sebbene l'attacco punterà a un singolo indirizzo IP, la nostra rete Anycast disperderà tutto il traffico di attacco al punto in cui non sia più distruttivo. Cloudflare è in grado di utilizzare il nostro vantaggio di scalabilità per distribuire il peso dell'attacco su più datacenter, bilanciando il carico in modo che il servizio non venga mai interrotto e l'attacco non travolga mai l'infrastruttura del server designato. In sei mesi, il nostro sistema di mitigazione degli attacchi DDoS "Gatebot" ha rilevato 6.329 attacchi di riflessione semplice (uno ogni 40 minuti) e la rete li ha mitigati tutti con successo. Approfondimento sulla protezione da attacchi DDoS di Cloudflare.