简介

简单服务发现协议 (SSDP) 攻击是一种基于反射的分布式拒绝服务 (DDoS) 攻击 ，它利用通用即插即用 (UPnP) 网络协议将放大的流量发送给目标受害者，使目标的基础设施不堪重负而影响正常业务。

简单服务发现协议提供了在局部网络里面发现设备的机制。

控制点（也就是接受服务的客户端）可以通过使用简单服务发现协议，根据自己的需要查询在自己所在的局部网络里面提供特定服务的设备。

设备（也就是提供服务的服务器端）也可以通过使用简单服务发现协议，向自己所在的局部网络里面的控制点宣告它的存在。

攻击原理

简单服务发现协议是在HTTPU和HTTPMU的基础上实现的协议，即通过UDP而不是TCP来发送HTTP消息。

按照协议的规定，当一个控制点（客户端）接入网络 的时候，它可以向一个特定的多播地址的SSDP端口使用M-SEARCH方法发送ssdp:discover消息。当设备监听到这个保留的多播地址上由控制点发送的消息的时候，设备会分析控制点请求的服务，如果自身提供了控制点请求的服务，设备将通过单播的方式直接响应控制点的请求。

类似的，当一个设备接入网络 的时候，它应当向一个特定的多播地址的SSDP端口使用NOTIFY方法发送ssdp:alive消息。控制点根据自己的策略，处理监听到的消息。考虑到设备可能在没有通知的情况下停止服务或者从网络上卸载，"ssdp:alive"消息必须在HTTP协议头CACHE-CONTROL里面指定超时值，设备必须在约定的超时值到达以前重发"ssdp:alive"消息。如果控制点在指定的超时值内没有再次收到设备发送的"ssdp:alive"消息，控制点将认为设备已经失效。

当一个设备计划从网络上卸载 的时候，它也应当向一个特定的多播地址的SSDP端口使用NOTIFY方法发送ssdp:byebye消息。但是，即使没有发送"ssdp:byebye"消息，控制点也会根据"ssdp:alive"消息指定的超时值，将超时并且没有再次收到的"ssdp:alive"消息对应的设备认为是失效的设备。

在IPv4环境，当需要使用多播方式传送相关消息的时候，SSDP一般使用多播地址239.255.255.250和UDP端口号1900。

根据互联网地址指派机构的指派，SSDP在IPv6环境下使用多播地址FF0X::C，这里的X根据scope的不同可以有不同的取值。

攻击典型步骤：

首先，攻击者进行扫描，寻找可以用作放大因子的即插即用设备。
攻击者发现联网设备后，创建所有发出响应的设备的列表。
攻击者使用目标受害者的欺骗性 IP 地址创建 UDP 数据包。
然后，攻击者使用僵尸网络通过设置某些标志（比如 ssdp:rootdevice 或 ssdp:all），向每个即插即用设备发送一个欺骗性发现数据包，并请求尽可能多的数据。
结果，每个设备都会向目标受害者发送回复，其数据量最多达到攻击者请求的 30 倍。
然后，目标从所有设备接收大量流量，因此不堪重负，可能导致对正常流量拒绝服务。