SSDP DDoS 攻擊

SSDP DDoS 攻擊會利用通用隨插即用中的漏洞。

學習目標

閱讀本文後,您將能夠:

  • 定義 SSDP DDoS 攻擊
  • 說明 SSDP 攻擊的詳細資料
  • 實作緩解 SSDP 攻擊的策略

複製文章連結

什麼是 SSDP DDoS 攻擊?

簡單服務發現通訊協定 (SSDP) 攻擊是一種基於反射的分散式阻斷服務 (DDoS) 攻擊,它利用通用隨插即用 (UPnP) 網路通訊協定,向目標受害者傳送放大量的流量,壓倒目標的基礎結構並使其 Web 資源離線。

這是一個免費的工具,用於檢查您的公用 IP 是否有任何暴露的 SSDP 裝置:檢查 SSDP DDoS 漏洞

SSDP 攻擊如何運作?

SSDP DDoS 攻擊

在一般情況下,SSDP 通訊協定用於允許 UPnP 裝置將其存在廣播至網路上的其他裝置。例如,當 UPnP 印表機連接至典型網路時,印表機在接收 IP 位址後,可以向稱為多點傳送位址的特殊 IP 位址傳送一條訊息,藉此向網路上的電腦通告其服務。然後,多點傳送位址會告知網路上的所有電腦有關新印表機的資訊。一旦電腦聽到有關印表機的探索訊息,就會向印表機發出要求,以取得其服務的完整描述。然後,打印機直接回應該電腦,其中包含其需要提供的所有內容的完整清單。SSDP 攻擊透過要求裝置回應目標受害者來利用該服務的最終請求。

以下是典型 SSDP DDoS 攻擊的 6 個步驟:

  1. 首先攻擊者進行掃描,尋找可以用作放大因素的隨插即用裝置。
  2. 當攻擊者發現聯網裝置時,他們會建立一個所有回應裝置的清單。
  3. 攻擊者使用目標受害者的偽造 IP 位址建立 UDP 封包。
  4. 然後,攻擊者使用殭屍網路向每個隨插即用裝置傳送偽造的探索封包,並透過設定某些標幟(特別是 ssdp:rootdevice 或 ssdp:all)來請求盡可能多的資料。
  5. 因此,每個裝置都會向目標受害者傳送回覆,其資料量高達攻擊者請求的 30 倍左右。
  6. 然後,目標接收來自所有裝置的大量流量並變得不堪重負,可能導致對合法流量的阻斷服務

如何緩解 SSDP 攻擊?

對於網路管理員而言,一個關鍵的緩解措施是在防火牆的 1900 連接埠上封鎖傳入 UDP 流量。如果流量不足以壓垮網路基礎結構,則篩選來自此連接埠的流量可能能夠緩解此類攻擊。要深入瞭解 SSDP 攻擊和更多緩解策略,請探索有關 SSDP 攻擊的技術詳情

想知道您是否有可用於 DDoS 攻擊的易受攻擊的 SSDP 服務?如前所述,我們建立了一個免費工具來檢查您的公用 IP 是否有任何暴露的 SSDP 裝置。要檢查是否存在 SSDP DDoS 漏洞,您可以使用此免費工具

Cloudflare 如何緩解 SSDP 攻擊?

Cloudflare 透過在所有攻擊流量到達目標之前將其阻止,來消除 SSDP 攻擊;以連接埠 1900 為目標的 UDP 封包不會被代理到原始伺服器,接收初始流量的負載落在 Cloudflare 的網路上。我們提供針對 SSDP 和其他第 3 層放大攻擊的完整防護。

儘管攻擊會針對單一 IP 位址,我們的 Anycast 網路將把所有攻擊流量分散到不再具有破壞力的地步。Cloudflare 能利用其規模優勢來將攻擊的力度分散到眾多資料中心,平衡負載,這樣服務就始終不會中斷,攻擊永遠無法導致目標伺服器的基礎設施超載。在最近一個六個月期間,我們的 DDoS 緩解系統 “Gatebot” 檢測到 6,329 次簡單反射攻擊(相當於每 40 分鐘一次),我們的網路成功緩解了所有攻擊。瞭解更多有關 Cloudflare DDoS 防護的資訊。