[DDOS] SSDP 攻擊

小知識 · 03-26 · 201 人浏览
[DDOS] SSDP 攻擊

注意:該攻擊大多數是在局域網環境下。

SSDP(Simple Service Discovery Protocol)是一种基于HTTPU(HTTP over UDP)协议的网络服务发现协议,用于在局域网中发现和识别可用的服务和设备。SSDP协议的工作原理如下:

  1. 广播或多播消息:设备在网络上定期发送SSDP广播或多播消息,以通知其他设备它的存在和提供的服务。这些消息通常包含设备的描述信息、服务类型、设备标识符等。
  2. 搜索消息:当设备需要查找某种服务或设备时,它会发送一个SSDP搜索消息到网络上的所有设备。搜索消息中包含了所需服务或设备的类型和标识符。
  3. 响应消息:收到搜索消息的设备会检查自己的服务列表,并向发送搜索消息的设备发送一个响应消息,以告知自己提供的服务或设备信息。
  4. 交换信息:在发现和响应过程中,设备之间通过SSDP协议交换信息,以实现服务发现和识别。

SSDP协议基于UDP协议,使用端口1900进行通信。它采用简单的文本格式(类似于HTTP协议)来定义消息格式,并且没有状态维护,因此是一种无状态协议。由于SSDP协议基于UDP,并且是广播或多播的方式发送消息,因此具有一定的安全风险,容易受到各种攻击,包括DDoS攻击。

攻击者利用SSDP协议的广播或多播特性和设备的响应机制,可以通过伪造大量的搜索消息来引发大量的响应消息,从而导致网络拥塞和目标服务器的过载。这就是SSDP DDoS攻击的基本原理,攻击者利用SSDP协议的放大效应来放大攻击流量,从而对目标发起拒绝服务攻击。

在一般情況下,SSDP 通訊協定用於允許 UPnP 裝置將其存在廣播至網路上的其他裝置。例如,當 UPnP 印表機連接至典型網路時,印表機在接收 IP 位址後,可以向稱為多點傳送位址的特殊 IP 位址傳送一條訊息,藉此向網路上的電腦通告其服務。然後,多點傳送位址會告知網路上的所有電腦有關新印表機的資訊。一旦電腦聽到有關印表機的探索訊息,就會向印表機發出要求,以取得其服務的完整描述。然後,打印機直接回應該電腦,其中包含其需要提供的所有內容的完整清單。SSDP 攻擊透過要求裝置回應目標受害者來利用該服務的最終請求。

大致步驟:

  1. 掃描隨插即用裝置:攻擊者首先會進行掃描,尋找可以用作放大因素的隨插即用裝置,這些裝置可能包括智能插座、路由器、網絡攝像頭等,這些裝置通常運行著支持SSDP協議的服務。
  2. 建立回應裝置清單:一旦攻擊者發現這些聯網裝置,他們會建立一個所有回應裝置的清單,這些裝置將被用來放大攻擊流量。
  3. 建立偽造的UDP封包:攻擊者使用目標受害者的偽造IP位址建立UDP封包,這些封包將被發送到受害者的伺服器。
  4. 傳送探索封包:攻擊者使用殭屍網路向每個隨插即用裝置傳送偽造的探索封包,並設置一些標誌(特別是ssdp:rootdevice或ssdp:all)來請求盡可能多的資料。這些裝置將會將自己的回應發送到目標受害者的IP位址。
  5. 裝置回覆:每個裝置都會向目標受害者傳送回覆,其資料量高達攻擊者請求的30倍左右,這就是放大攻擊的核心機制。
  6. 目標受害者負荷過重:最後,目標接收來自所有裝置的大量流量並變得不堪重負,可能導致對合法流量的阻斷服務,使得目標網站或服務無法正常運作。

總的來說,SSDP DDoS攻擊利用了SSDP協議的放大效應和隨插即用裝置的廣泛存在,通過向這些裝置發送大量的探索封包來放大攻擊流量,從而對目標受害者造成嚴重影響。为了防止此类攻击,网络管理员需要采取一系列的防御措施,包括限制公開訪問、更新裝置的韌體、過濾異常流量等。

參考地址

DDOS
本站立足于美利堅合衆國,請讀者自覺遵守當地法律!如有違規,本站不承擔任何法律責任! This site is based in the United States of America, readers are requested to abide by local laws! If there are any violations, this site does not bear any legal responsibility! Theme Jasmine by Kent Liao