SSDP 基于反射的DDOS攻击分析

小二刀山羊2024-04-22 16:20

简介

简单服务发现协议 (SSDP) 攻击是一种基于反射的分布式拒绝服务 (DDoS) 攻击 ,它利用通用即插即用 (UPnP) 网络协议将放大的流量发送给目标受害者,使目标的基础设施不堪重负而影响正常业务。

简单服务发现协议提供了在局部网络里面发现设备的机制

控制点(也就是接受服务的客户端)可以通过使用简单服务发现协议,根据自己的需要查询在自己所在的局部网络里面提供特定服务的设备。

设备(也就是提供服务的服务器端)也可以通过使用简单服务发现协议,向自己所在的局部网络里面的控制点宣告它的存在。

攻击原理

简单服务发现协议是在HTTPU和HTTPMU的基础上实现的协议,即通过UDP而不是TCP来发送HTTP消息。

按照协议的规定,当一个控制点(客户端)接入网络 的时候,它可以向一个特定的多播地址的SSDP端口使用M-SEARCH方法发送ssdp:discover消息。当设备监听到这个保留的多播地址上由控制点发送的消息的时候,设备会分析控制点请求的服务,如果自身提供了控制点请求的服务,设备将通过单播的方式直接响应控制点的请求。

类似的,当一个设备接入网络 的时候,它应当向一个特定的多播地址的SSDP端口使用NOTIFY方法发送ssdp:alive消息。控制点根据自己的策略,处理监听到的消息。考虑到设备可能在没有通知的情况下停止服务或者从网络上卸载,"ssdp:alive"消息必须在HTTP协议头CACHE-CONTROL里面指定超时值,设备必须在约定的超时值到达以前重发"ssdp:alive"消息。如果控制点在指定的超时值内没有再次收到设备发送的"ssdp:alive"消息,控制点将认为设备已经失效。

当一个设备计划从网络上卸载 的时候,它也应当向一个特定的多播地址的SSDP端口使用NOTIFY方法发送ssdp:byebye消息。但是,即使没有发送"ssdp:byebye"消息,控制点也会根据"ssdp:alive"消息指定的超时值,将超时并且没有再次收到的"ssdp:alive"消息对应的设备认为是失效的设备。

IPv4环境,当需要使用多播方式传送相关消息的时候,SSDP一般使用多播地址239.255.255.250和UDP端口号1900

根据互联网地址指派机构的指派,SSDP在IPv6环境下使用多播地址FF0X::C,这里的X根据scope的不同可以有不同的取值。

攻击典型步骤:

  1. 首先,攻击者进行扫描,寻找可以用作放大因子的即插即用设备。
  2. 攻击者发现联网设备后,创建所有发出响应的设备的列表。
  3. 攻击者使用目标受害者的欺骗性 IP 地址创建 UDP 数据包。
  4. 然后,攻击者使用僵尸网络通过设置某些标志(比如 ssdp:rootdevicessdp:all),向每个即插即用设备发送一个欺骗性发现数据包,并请求尽可能多的数据。
  5. 结果,每个设备都会向目标受害者发送回复,其数据量最多达到攻击者请求的 30 倍
  6. 然后,目标从所有设备接收大量流量,因此不堪重负,可能导致对正常流量拒绝服务。

报文分析

从网络层次模型来看,SSDP协议构建在HTTPU和HTTPMU之上。

HTTPU是以UDP实现的HTTP协议,HTTPMU是广播的HTTPU。

M-SEARCH报文

  • 目的IP为约定的多播地址239.255.255.250
  • 目的端口为约定的1900
  • 基于UDP协议通信
  • 应用层符合HTTP协议请求报文格式规范
  • 方法名为M-SEARCH
  • HOST标头为多播地址和端口
  • MAN标头为"ssdp:discover",标识查询的类型
    • 此时URI必须为*
    • 必须有ST标头,标识想发现的服务类型
  • MX标头为响应最长等待时间
  • USER-AGENT标头为UA信息

ST设置查询的目标:

  • ssdp:all 搜索所有设备和服务(DDoS反射效果最好
  • upnp:rootdevice 仅搜索网络中的根设备
  • uuid:device-UUID 查询UUID标识的设备
  • urn:schemas-upnp-org:device:device-Type:version 查询device-Type字段指定的设备类型。
  • urn:schemas-upnp-org:service:service-Type:version 查询service-Type字段指定的服务类型。

NOTIFY报文

  • CACHE-CONTROL标头中max-age指定通知消息存活时间,如果超过此时间间隔,控制点可以认为设备不存在
  • LOCATION标头为设备的URI地址
  • SERVER标头为设备的版本信息
  • NT标头为服务的服务类型
  • NTS标头为通知消息的子类型,如"ssdp:alive"
  • USN标头为不同服务的统一服务名,它提供了一种标识出相同类型服务的能力

响应报文

  • 使用的是单播报文进行回复
  • 应用层符合HTTP协议响应报文格式规范
  • DATE标头指定响应生成的时间
  • EXT标头标识确认MAN头域已经被设备理解
  • LOCATION标头标识设备描的URI地址
  • SERVER标头为操作系统版本等信息
  • ST标头一般和请求保持一致

总结

  • 请求为多播报文,响应为单播报文。
  • 检查本地服务,不要暴露1900端口到公网,以免被攻击者利用。
  • 监测目的端口为1900的流量,观察是否存在异常。
  • DDoS防护清洗设备统计源端口为1900的UDP流量,判断是否触发阈值。

参考

相关推荐
计算机-秋大田2 小时前
基于微信小程序的电子竞技信息交流平台设计与实现(LW+源码+讲解)
spring boot·后端·微信小程序·小程序·课程设计
doubt。2 小时前
8.攻防世界Web_php_wrong_nginx_config
网络·安全·web安全·网络安全
没有名字的小羊3 小时前
Cyber Security 101-Build Your Cyber Security Career-Security Principles(安全原则)
运维·网络·安全
esmember3 小时前
电路研究9.2.6——合宙Air780EP中HTTP——HTTP GET 相关命令使用方法研究
网络·网络协议·http·at指令
加油,旭杏4 小时前
【go语言】接口
开发语言·后端·golang
谢大旭4 小时前
ASP.NET Core 中间件
后端·中间件·c#
customer085 小时前
【开源免费】基于SpringBoot+Vue.JS景区民宿预约系统(JAVA毕业设计)
java·vue.js·spring boot·后端·开源
大秦王多鱼5 小时前
Kafka SASL/PLAIN介绍
分布式·安全·kafka
uzong5 小时前
Java函数式接口:代码艺术的诗意绽放
后端
大有数据可视化6 小时前
汽车中控屏HMI界面,安全和便捷是设计的两大准则。
安全·汽车·hmi设计·车载屏幕
热门推荐
01DeepSeek r1本地安装全指南02【deepseek】deepseek-r1本地部署-第一步:下载LM Studio03将DeepSeek接入Word,打造AI办公助手04使用Ollama 在Ubuntu运行deepseek大模型:以DeepSeek-coder为例05新鲜速递:DeepSeek-R1开源大模型本地部署实战—Ollama + MaxKB 搭建RAG检索增强生成应用06Dell服务器升级ubuntu 22.04失败解决07DeepSeek学术写作测评第一弹:论文润色,中译英效果如何?08如何解压7z文件?8种方法(Win/Mac/手机/网页端)09半导体应用系统一些小知识收集(strip&wafer mapping,EAP&scada)10DeepSeek 云端部署,释放无限 AI 潜力!