SSDP DDoS攻撃

SSDP DDoS攻撃とは？

シンプルサービスディスカバリプロトコル（SSDP）攻撃は、リフレクションベースの分散サービス妨害（DDoS） 攻撃であり、ユニバーサルプラグアンドプレイ（UPnP）ネットワークプロトコルを悪用して、増幅された量のトラフィックで標的の被害者のインフラストラクチャを圧倒し、Webリソースをオフラインにします。

パブリックIPに露出したSSDPデバイスがあるかどうかを確認する無料のツールを次に示します。SSDP DDoSの脆弱性を確認してください。

SSDP攻撃の仕組みとは？

通常の状況では、SSDPプロトコルを使用して、UPnPデバイスが存在をネットワーク上の他のデバイスにブロードキャストできるようにします。例えば、UPnPプリンターが一般的なネットワークに接続されている場合、IPアドレスを受信した後、プリンターはマルチキャストアドレスと呼ばれる特別なIPアドレスにメッセージを送信することにより、ネットワーク上のコンピューターにサービスをアドバタイズできます。その後マルチキャストアドレスは、ネットワーク上のすべてのコンピューターに新しいプリンターについて通知します。コンピューターは、プリンターに関する検出メッセージを聞くと、そのサービスの完全な説明をプリンターにリクエストします。プリンターは、提供する必要があるすべての完全なリストを使用して、そのコンピュータに直接応答します。SSDP攻撃は、標的の被害者に対応するようにデバイスにリクエストすることにより、サービスに対するその最終リクエストを悪用します。

典型的なSSDP DDoS攻撃の6つのステップは以下です：

1. まず、攻撃者はスキャンを実行して、増幅係数として利用できるプラグアンドプレイデバイスを探します。
2. 攻撃者がネットワークデバイスを発見すると、応答するすべてのデバイスのリストを作成します。
3. 攻撃者は、標的の被害者のスプーフされたIPアドレスでUDPパケットを作成します。
4. その後、攻撃者はボットネットを使用して、特定のフラグ、特にssdp:rootdeviceまたはssdp:allを設定することにより、可能な限り多くのデータをリクエストするスプーフされたディスカバリパケットを各プラグアンドプレイデバイスに送信します。
5. その結果、それぞれのデバイスは攻撃者のリクエストの最大約30倍のデータ量で標的の被害者に返信を送信します。
6. その後、標的はすべてのデバイスから大量のトラフィックを受信し、圧倒され、正当なトラフィックに対してサービス拒否する可能性があります。

SSDP攻撃対策とは？

ネットワーク管理者にとって重要な軽減策は、ファイアウォールでポート1900の着信UDPトラフィックをブロックすることです。トラフィックの量がネットワークインフラストラクチャを圧倒するには不十分な場合、このポートからのトラフィックをフィルタリングすることで、このような攻撃を軽減できる可能性があります。SSDP攻撃の詳細と軽減戦略については、SSDP攻撃に関する技術的な詳細をご覧ください。

DDoS攻撃で使用できる脆弱なSSDPサービスがあるかどうかを知りたいですか？前述のように、パブリックIPにSSDPデバイスが公開されているかどうかを確認する無料のツールを作成しました。SSDP DDoSの脆弱性を確認するには、この無料ツールを使用することができます。

CloudflareのSSDP攻撃対策とは？

Cloudflareは、標的に到達する前にすべての攻撃トラフィックを停止することにより、SSDP攻撃を排除します。ポート1900を標的とするUDPパケットは配信元サーバーにプロキシされないため、初期トラフィックを受信するための負荷はCloudflareのネットワークにかかります。SSDPおよびその他の3層増幅攻撃から完全に保護します。

攻撃は単一のIPアドレスを標的にしますが、当社のエニーキャストネットワークは、すべての攻撃トラフィックを、障害を起こせないところまで分散します。Cloudflareはスケールの利点を活用して、攻撃の重みを多くのデータセンターに分散し、サービスが中断されず、攻撃が標的のサーバーのインフラストラクチャを圧倒しないように負荷を分散します。最近の6か月の間に、DDoS軽減システム「Gatebot」は、6,329件の単純なリフレクション攻撃（40分ごとに1回）を検出し、当社のネットワークはそれらすべてを正常に軽減しました。CloudflareのDDoS攻撃対策についての詳細をご覧ください。