ユニバーサルプラグアンドプレイの脆弱性を悪用するSSDP DDoS攻撃
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
シンプルサービスディスカバリプロトコル(SSDP)攻撃は、リフレクションベースの分散サービス妨害(DDoS) 攻撃であり、ユニバーサルプラグアンドプレイ(UPnP)ネットワークプロトコルを悪用して、増幅された量のトラフィックで標的の被害者のインフラストラクチャを圧倒し、Webリソースをオフラインにします。
パブリックIPに露出したSSDPデバイスがあるかどうかを確認する無料のツールを次に示します。SSDP DDoSの脆弱性を確認してください。
通常の状況では、SSDPプロトコルを使用して、UPnPデバイスが存在をネットワーク上の他のデバイスにブロードキャストできるようにします。例えば、UPnPプリンターが一般的なネットワークに接続されている場合、IPアドレスを受信した後、プリンターはマルチキャストアドレスと呼ばれる特別なIPアドレスにメッセージを送信することにより、ネットワーク上のコンピューターにサービスをアドバタイズできます。その後マルチキャストアドレスは、ネットワーク上のすべてのコンピューターに新しいプリンターについて通知します。コンピューターは、プリンターに関する検出メッセージを聞くと、そのサービスの完全な説明をプリンターにリクエストします。プリンターは、提供する必要があるすべての完全なリストを使用して、そのコンピュータに直接応答します。SSDP攻撃は、標的の被害者に対応するようにデバイスにリクエストすることにより、サービスに対するその最終リクエストを悪用します。
ネットワーク管理者にとって重要な軽減策は、ファイアウォールでポート1900の着信UDPトラフィックをブロックすることです。トラフィックの量がネットワークインフラストラクチャを圧倒するには不十分な場合、このポートからのトラフィックをフィルタリングすることで、このような攻撃を軽減できる可能性があります。SSDP攻撃の詳細と軽減戦略については、SSDP攻撃に関する技術的な詳細をご覧ください。
DDoS攻撃で使用できる脆弱なSSDPサービスがあるかどうかを知りたいですか?前述のように、パブリックIPにSSDPデバイスが公開されているかどうかを確認する無料のツールを作成しました。SSDP DDoSの脆弱性を確認するには、この無料ツールを使用することができます。
Cloudflareは、標的に到達する前にすべての攻撃トラフィックを停止することにより、SSDP攻撃を排除します。ポート1900を標的とするUDPパケットは配信元サーバーにプロキシされないため、初期トラフィックを受信するための負荷はCloudflareのネットワークにかかります。SSDPおよびその他の3層増幅攻撃から完全に保護します。
攻撃は単一のIPアドレスを標的にしますが、当社のエニーキャストネットワークは、すべての攻撃トラフィックを、障害を起こせないところまで分散します。Cloudflareはスケールの利点を活用して、攻撃の重みを多くのデータセンターに分散し、サービスが中断されず、攻撃が標的のサーバーのインフラストラクチャを圧倒しないように負荷を分散します。最近の6か月の間に、DDoS軽減システム「Gatebot」は、6,329件の単純なリフレクション攻撃(40分ごとに1回)を検出し、当社のネットワークはそれらすべてを正常に軽減しました。CloudflareのDDoS攻撃対策についての詳細をご覧ください。