Ataque SSDP DDoS

Um ataque SSDP DDoS explora vulnerabilidades no Plug and Play Universal.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir um ataque SSDP DDoS
  • Explicar os detalhes de um ataque SSDP
  • Implementar estratégias para mitigar ataques SSDP

Copiar o link do artigo

O que é um ataque SSDP DDoS?

Um ataque Simple Service Discovery Protocol (SSDP) é um ataque de negação de serviço distribuída (DDoS) baseado em reflexão que explora protocolos de rede Universal Plug and Play (UPnP) para enviar uma quantidade amplificada de tráfego para uma vítima alvo, sobrecarregando a infraestrutura do alvo e colocando seu recurso da web offline.

Aqui está uma ferramenta gratuita para verificar se o seu IP público tem algum dispositivo SSDP exposto: verificar a vulnerabilidade SSDP DDoS.

Como funciona um ataque SSDP?

Em circunstâncias normais, o protocolo SSDP é usado para permitir que dispositivos UPnP transmitam sua existência para outros dispositivos na rede. Por exemplo, quando uma impressora UPnP está conectada a uma rede normal, depois de receber um endereço de IP, a impressora é capaz de anunciar seus serviços para computadores na rede, enviando uma mensagem para um endereço de IP especial chamado endereço multicast. O endereço multicast informa todos os computadores da rede sobre a nova impressora. Assim que o computador ouve a mensagem de descoberta sobre a impressora, ele solicita à impressora uma descrição completa de seus serviços. A impressora então responde diretamente a esse computador com uma lista completa de tudo o que ela tem a oferecer. Um ataque SSDP explora essa solicitação final de serviços, solicitando que o dispositivo responda à vítima visada.

Aqui estão os 6 passos de um ataque SSDP DDoS típico:

  1. Primeiro, o invasor realiza uma varredura em busca de dispositivos plug-and-play que podem ser utilizados como fatores de amplificação.
  2. Conforme o invasor descobre dispositivos em rede, ele cria uma lista de todos os dispositivos que respondem.
  3. O invasor cria um pacote UDP com os endereços de IP falsificados da vítima visada.
  4. O invasor então usa uma botnet para enviar um pacote de descoberta falsificado para cada dispositivo plug-and-play com uma solicitação para o máximo de dados possível, definindo certos sinalizadores, especificamente ssdp:rootdevice ou ssdp:all.
  5. Como resultado, cada dispositivo enviará uma resposta à vítima alvo com uma quantidade de dados até cerca de 30 vezes maior do que a solicitação do invasor.
  6. O alvo então recebe um grande volume de tráfego de todos os dispositivos e fica sobrecarregado, resultando potencialmente em negação de serviço para o tráfego legítimo.

Como um ataque SSDP é mitigado?

Para administradores de rede, uma mitigação importante é bloquear o tráfego UDP de entrada na porta 1900 no firewall. Contanto que o volume de tráfego não seja suficiente para sobrecarregar a infraestrutura de rede, filtrar o tráfego dessa porta provavelmente será capaz de mitigar tal ataque. Para se aprofundar nos ataques SSDP e mais estratégias de mitigação, explore detalhes técnicos sobre um ataque SSDP.

Você quer saber se você tem um serviço SSDP vulnerável que pode ser usado em um ataque DDoS? Conforme mencionado antes, criamos uma ferramenta gratuita para verificar se o seu IP público tem algum dispositivo SSDP exposto. Para verificar a existência de uma vulnerabilidade SSDP DDoS, você pode usar esta ferramenta gratuita.

Como a Cloudflare mitiga os ataques SSDP?

A Cloudflare elimina ataques SSDP interrompendo todo o tráfego de ataque antes que ele alcance seu alvo; Os pacotes UDP direcionados à porta 1900 não são enviados por proxy para o servidor de origem e a carga para receber o tráfego inicial cai na Rede da Cloudflare. Oferecemos proteção total contra SSDP e outros ataques de amplificação da camada 3.

Embora o ataque tenha como alvo um único endereço de IP, nossa Rede Anycast irá dispersar todo o tráfego de ataque até o ponto em que deixe de ser disruptivo. A Cloudflare consegue usar nossa escala a nosso favor de modo a distribuir o peso do ataque entre vários data centers, balanceando a carga para que o serviço nunca seja interrompido e o ataque nunca sobrecarregue a infraestrutura do servidor visado. Recentemente, nosso sistema "Gatebot" de mitigação de DDoS detectou 6.329 ataques de reflexão simples durante um período de seis meses (o que equivale a um a cada 40 minutos) e nossa Rede conseguiu mitigar todos eles com sucesso. Saiba mais sobre a proteção contra DDoS da Cloudflare.