简单服务发现协议(SSDP)攻击是基于反射的 分布式拒绝服务(DDoS)攻击,利用通用即插即用(UPnP)网络协议,以便将大量的流量发送到目标受害者,压倒性目标的基础设施和使其资源脱机。
SSDP攻击如何工作?
一般情况下,SSDP协议用于允许UPnP设备向网络上的其他设备广播其存在。例如,当UPnP打印机连接到典型网络时,它在接收到 IP地址之后,打印机能够通过向称为组播地址的特殊IP地址发送消息来向网络上的计算机通告其服务。多播地址然后告诉网络上所有的计算机关于新的打印机。一旦计算机听到关于打印机的发现信息,它就向打印机发出请求,以完整地描述其服务。然后,打印机将直接对该计算机进行响应,并提供其所提供的所有内容。SSDP攻击通过要求设备对目标受害者做出响应,利用最终的服务请求。
以下是典型SSDP DDoS攻击的6个步骤:
1.首先,攻击者进行扫描,寻找可用作放大因子的即插即用设备。
2.随着攻击者发现网络设备,他们创建了所有响应的设备的列表。
3.攻击者使用目标受害者的欺骗地址创建 UDP数据包 。
4.攻击者然后使用 僵尸网络向每个即插即用设备发送欺骗性发现数据包,通过设置某些标志,特别是ssdp:rootdevice或ssdp:all请求尽可能多的数据。
5.因此,每个设备将向目标受害者发送一个数据量高达攻击者请求大约30倍的数据。
6.然后,目标从所有设备接收大量流量,并且变得不堪重负,可能导致对合法流量的拒绝服务。
SSDP攻击如何缓解?
对于网络管理员来说,一个关键的缓解措施是在防火墙上阻止端口1900上的传入UDP流量。如果流量不足以压倒网络基础架构,则从该端口过滤流量将可能减轻此类攻击。要深入了解SSDP攻击和更多的缓解策略,请浏览 有关SSDP攻击的技术细节。
你想知道你是否有一个可以用于DDoS攻击的易受攻击的SSDP服务?如前所述,我们创建了一个免费的工具来检查您的公共IP是否有任何暴露的SSDP设备。 检查SSDP DDoS漏洞。