SSDP DDoS 공격

SSDP DDoS 공격은 범용 플러그 앤 플레이의 취약점을 악용합니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • SSDP DDoS 공격의 정의
  • SSDP 공격의 세부 정보 설명
  • SSDP 공격을 완화하기 위한 전략 구현

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

SSDP DDoS 공격이란?

단순 서비스 검색 프로토콜(SSDP) 공격은 범용 플러그 앤 플레이(UPnP) 네트워킹 프로토콜을 악용하여 증폭된 양의 트래픽을 대상 피해자에게 전송하여 대상의 인프라를 압도하고 웹 리소스를 오프라인으로 전환시키는 반사 기반 분산 서비스 거부(DDoS) 공격입니다.

다음은 공용 IP에 노출된 SSDP 장치가 있는지 확인하는 무료 도구입니다. SSDP DDoS 취약점을 확인하기.

SSDP 공격은 어떻게 작동할까요?

SSDP DDoS 공격

정상적인 상황에서 SSDP 프로토콜은 UPnP 장치가 네트워크의 다른 장치에 자신의 존재를 브로드캐스트할 수 있도록 하는 데 사용됩니다.예를 들어 UPnP 프린터가 일반 네트워크에 연결된 경우 해당 프린터는 IP 주소를 받은 후 멀티캐스트 주소라는 특수 IP 주소로 메시지를 보내 네트워크의 컴퓨터에 자체의 서비스를 알릴 수 있습니다.그런 다음 멀티캐스트 주소는 네트워크의 모든 컴퓨터에 새 프린터에 대해 알려줍니다.어느 컴퓨터에서 프린터에 대한 검색 메시지를 받으면 프린터에 서비스에 대한 전체 설명을 요청합니다.그런 다음 프린터는 제공해야 하는 모든 항목의 전체 목록과 함께 해당 컴퓨터에 직접 응답합니다.SSDP 공격은 프린터에 대상 피해자에게 응답하도록 요청하여 서비스에 대한 최종 요청을 악용합니다.

다음은 일반적인 SSDP DDoS 공격의 여섯 단계입니다.

  1. 먼저 공격자는 스캔을 수행하여 증폭 인자로 활용할 수 있는 플러그 앤 플레이 장치를 찾습니다.
  2. 공격자는 네트워크로 연결된 장치를 발견하면 응답하는 모든 장치의 목록을 만듭니다.
  3. 공격자는 대상 피해자의 스푸핑된 IP 주소를 가지고 UDP 패킷을 생성합니다.
  4. 그런 다음 공격자는 봇넷을 사용하여 특정 플래그, 특히 ssdp:rootdevice 또는 ssdp:all을 설정하여 최대한 많은 데이터에 대한 요청과 함께 스푸핑된 검색 패킷을 각 플러그 앤 플레이 장치에 보냅니다.
  5. 그 결과로 각 장치에서는 공격자의 요청보다 최대 약 30배 더 큰 양의 데이터로 대상 피해자에게 응답을 보냅니다.
  6. 그런 다음 대상이 모든 장치로부터 대량의 트래픽을 수신하고 압도되므로 합법적인 트래픽에 대한 서비스 거부가 발생할 가능성이 있습니다.

SSDP 공격은 어떻게 완화할 수 있을까요?

네트워크 관리자의 경우 주요 완화 방법은 방화벽의 포트 1900에서 들어오는 UDP 트래픽을 차단하는 것입니다.트래픽 양이 네트워크 인프라를 압도하기에 충분하지 않은 경우 이 포트에서 트래픽을 필터링하면 이러한 공격을 완화할 수 있습니다.SSDP 공격 및 더 많은 완화 전략에 대해 자세히 알아보려면 SSDP 공격에 대한 기술 세부 정보를 살펴보세요.

DDoS 공격에 사용될 수 있는 취약한 SSDP 서비스가 있는지 알아보고 싶으신가요?앞서 언급했듯이 우리는 공용 IP에 노출된 SSDP 장치가 있는지 확인하는 무료 도구를 만들었습니다.SSDP DDoS 취약성을 확인하려면 이 무료 도구를 사용할 수 있습니다.

Cloudflare에서는 SSDP 공격을 어떻게 완화할까요?

Cloudflare에서는 모든 SSDP 공격 트래픽이 대상에 도달하기 전에 차단하여 공격을 제거합니다. 포트 1900을 대상으로 하는 UDP 패킷은 원본 서버로 프록시되지 않으며 초기 트래픽을 수신하기 위한 부하는 Cloudflare의 네트워크로 돌려집니다.우리는 SSDP 및 기타 계층 3 증폭 공격으로부터 완벽한 보호를 제공합니다.

이 공격은 단일 IP 주소를 대상으로 하지만, Cloudflare의 Anycast 네트워크는 모든 공격 트래픽을 방해가 되지 않는 지점으로 분산시킵니다. Cloudflare는 규모의 장점을 활용하여 많은 데이터 센터에서 공격의 무게를 분산시키고 서비스가 중단되지 않도록 부하 균형을 유지하므로 공격은 대상 서버의 인프라를 절대 압도할 수 없습니다. 최근 6개월 동안, Cloudflare의 DDoS 모니터링 시스템인 "게이트봇"은 6,329건(즉, 40분마다 1건)의 단순 반사 공격을 감지했고 이를 모두 완화하는 데 성공했습니다. Cloudflare의 DDoS 방어에 관해 자세히 알아보세요.