SSDP DDoS-атака

Что такое DDoS-атака с использованием SSDP?

Атака с использованием простого протокола обнаружения сервисов (SSDP) – это тип DDoS-атак с отражением, эксплуатирующий набор сетевых протоколов Universal Plug and Play (UPnP) для отправки амплифицированного потока трафика серверу-жертве. Этот трафик переполняет инфраструктуру атакуемого сервера и приводит к его отказу.

 

По этой ссылке вы можете проверить, использует ли ваш IP-адрес какие-либо открытые SSDP-устройства.

 

Как осуществляется SSDP-атака?

 

В обычном режиме протокол SSDP используется для объявления доступности устройств, использующих стандарт Universal Plug and Play. К примеру, когда UPnP-принтер соединяется с обычной сетью, он сообщает о своих сервисах, которые предоставляет, компьютерам в этой сети, отправив сообщение на специальный IP-адрес, называемый групповым. Групповой адрес после этого сообщает всем компьютерам в сети о новом принтере. Как только каждый отдельный компьютер получает сообщение о принтере, он запрашивает у него полное описание его функций, после чего принтер формирует прямой ответ с полным списком всего, что он может предложить. SSDP-атака использует уязвимость этого конечного запроса о предоставляемых сервисах, вынуждая устройство отправлять ответ в адрес выбранной цели атаки.

 

6 этапов типичной DDoS-атаки с использованием SSDP

 

  1. Сначала злоумышленник запускает поиск устройств, использующих протокол plug-and-play, которые могут быть использованы в качестве амплификаторов.
  2. Как только злоумышленник обнаруживает сетевые устройства, создается список всех устройств, которые способны отправлять ответы.
  3. Злоумышленник создаёт UDP-пакет с подложным IP-адресом, принадлежащим выбранной цели атаки.
  4. Затем злоумышленник использует ботнет для рассылки подложных пакетов обнаружения каждому устройству plug-and-play, запрашивая как можно больший объем информации путем установки специальных флагов, особенно ssdp:rootdevice или ssdp:all.
  5. В результате каждое устройство отправляет ответ выбранной цели, содержащий объём данных, примерно в 30 раз превышающий размер полученного от злоумышленника запроса.
  6. В итоге жертва получает огромный объём трафика со всех устройств, что приводит к переполнению системных ресурсов и потенциальному отказу в обработке легитимного трафика.

 

Как защититься от SSDP-атаки?

Ключевым моментом для системных администраторов является блокирование входящего UDP-трафика с портом 1900 при помощи межсетевого экрана. Если объема атакующего трафика не хватает для переполнения сетевой инфраструктуры, таких мер достаточно. Однако зачастую хакеры используют SSDP-атаки в сочетании с атаками других типов, поэтому требуются комплексные меры. 

 

Как DDoS-GUARD защищает от SSDP-атак

DDoS-GUARD отражает SSDP-атаки, блокируя DDoS-трафик ещё до того, как он достигнет сети клиента. UDP-пакеты с портом 1900 не передаются на сервер-жертву, вся нагрузка по получению паразитного трафика ложится на нашу сеть. Мы предоставляем полную защиту от SSDP-атак и других атак с амплификацией на третьем и четвертом уровне модели OSI.

 

Несмотря на то, что атака направлена на одиночный IP-адрес, наша сеть рассеивает весь атакующий трафик по многочисленным узлам геораспределённой сети фильтрации, и после обработки он больше не представляет угрозы. DDoS-GUARD позволяет использовать наши возможности масштабирования для распределения силы атаки между несколькими дата-центрами, балансируя нагрузку и не давая навредить стабильности работы защищаемых сервисов и инфраструктуре сервера.