SSDP DDoS 공격은 범용 플러그 앤 플레이의 취약점을 악용합니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
관련 콘텐츠
인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!
글 링크 복사
단순 서비스 검색 프로토콜(SSDP) 공격은 범용 플러그 앤 플레이(UPnP) 네트워킹 프로토콜을 악용하여 증폭된 양의 트래픽을 대상 피해자에게 전송하여 대상의 인프라를 압도하고 웹 리소스를 오프라인으로 전환시키는 반사 기반 분산 서비스 거부(DDoS) 공격입니다.
다음은 공용 IP에 노출된 SSDP 장치가 있는지 확인하는 무료 도구입니다. SSDP DDoS 취약점을 확인하기.
정상적인 상황에서 SSDP 프로토콜은 UPnP 장치가 네트워크의 다른 장치에 자신의 존재를 브로드캐스트할 수 있도록 하는 데 사용됩니다.예를 들어 UPnP 프린터가 일반 네트워크에 연결된 경우 해당 프린터는 IP 주소를 받은 후 멀티캐스트 주소라는 특수 IP 주소로 메시지를 보내 네트워크의 컴퓨터에 자체의 서비스를 알릴 수 있습니다.그런 다음 멀티캐스트 주소는 네트워크의 모든 컴퓨터에 새 프린터에 대해 알려줍니다.어느 컴퓨터에서 프린터에 대한 검색 메시지를 받으면 프린터에 서비스에 대한 전체 설명을 요청합니다.그런 다음 프린터는 제공해야 하는 모든 항목의 전체 목록과 함께 해당 컴퓨터에 직접 응답합니다.SSDP 공격은 프린터에 대상 피해자에게 응답하도록 요청하여 서비스에 대한 최종 요청을 악용합니다.
네트워크 관리자의 경우 주요 완화 방법은 방화벽의 포트 1900에서 들어오는 UDP 트래픽을 차단하는 것입니다.트래픽 양이 네트워크 인프라를 압도하기에 충분하지 않은 경우 이 포트에서 트래픽을 필터링하면 이러한 공격을 완화할 수 있습니다.SSDP 공격 및 더 많은 완화 전략에 대해 자세히 알아보려면 SSDP 공격에 대한 기술 세부 정보를 살펴보세요.
DDoS 공격에 사용될 수 있는 취약한 SSDP 서비스가 있는지 알아보고 싶으신가요?앞서 언급했듯이 우리는 공용 IP에 노출된 SSDP 장치가 있는지 확인하는 무료 도구를 만들었습니다.SSDP DDoS 취약성을 확인하려면 이 무료 도구를 사용할 수 있습니다.
Cloudflare에서는 모든 SSDP 공격 트래픽이 대상에 도달하기 전에 차단하여 공격을 제거합니다. 포트 1900을 대상으로 하는 UDP 패킷은 원본 서버로 프록시되지 않으며 초기 트래픽을 수신하기 위한 부하는 Cloudflare의 네트워크로 돌려집니다.우리는 SSDP 및 기타 계층 3 증폭 공격으로부터 완벽한 보호를 제공합니다.
이 공격은 단일 IP 주소를 대상으로 하지만, Cloudflare의 Anycast 네트워크는 모든 공격 트래픽을 방해가 되지 않는 지점으로 분산시킵니다. Cloudflare는 규모의 장점을 활용하여 많은 데이터 센터에서 공격의 무게를 분산시키고 서비스가 중단되지 않도록 부하 균형을 유지하므로 공격은 대상 서버의 인프라를 절대 압도할 수 없습니다. 최근 6개월 동안, Cloudflare의 DDoS 모니터링 시스템인 "게이트봇"은 6,329건(즉, 40분마다 1건)의 단순 반사 공격을 감지했고 이를 모두 완화하는 데 성공했습니다. Cloudflare의 DDoS 방어에 관해 자세히 알아보세요.