在当前的互联网领域,随着各种网络安全事件的频繁发生,如何做好安全防御,成为很多用户关注的焦点。
通过暴力手段淹没目标网络的DDoS(分布式拒绝服务)攻击,是能够让受害者无法正常处理网络请求的一种高破坏力、高攻击效率的大危害网络攻击形式。在多种表现形式中,通常我们看到的是流量拥塞和带宽消耗。由于DDoS攻击能够对企业的网络型业务造成严重的威胁,并且很难用传统的办法进行防护,俨然成为当下的一种网络公害。
UPnP协议成DDoS攻击帮凶
然而近日,相关机构发现不论是路由器、网络摄像头,还是电视,又或是媒体服务器、打印机,数以百万计的家庭终端设备正由于普遍应用一种网络通讯协议,而可能成为直接或间接放大DDoS攻击流量的帮凶。这个网络通讯协议便是我们常常使用却不大起眼的UPnP(即插即用)协议。
据悉,UPnP设备间是通过SSDP(简单服务发现协议)进行相互感知的,利用SOAP(简单对象访问协议)来获取控制信息,并进行信息反馈。可是随着UPnP通信方案在终端设备间的大量滥用,令攻击者能够方便直接地获得巨大的攻击流量,来阻碍目标企业的正常网络服务。
超过400万设备易被DDoS攻击利用
研究机构发现自从今年7月以来,就有利用家庭终端设备进行DDoS攻击的证据,目前这种情况正不断增加,并有向常态化发展的趋势。据该机构调查显示,有410万台面向互联网的UPnP设备,可以被DDoS攻击利用进行流量反射。
在实验室实验中,研究人员模拟了一个小规模的DDoS攻击,在获取了易受攻击的设备列表后,他们从攻击者处收到了伪装成目标IP地址的恶意请求。在攻击过程中,这些终端设备都被利用,像攻击目标发送、反馈了像描述文件似的文件。而如果攻击者一旦获得由足够的设备响应,则为展开一次真正的DDoS攻击创造了条件。
Python脚本被用于SSDP扫描和攻击
上述易受攻击的终端设备,均是通过使用SSDP协议对端口1900进行扫描而获得的。研究人员发现网络犯罪分子可以依靠一个Python脚本(ssdpscanner.py)来确定反射器。而该操作是由为大规模扫描提供某一范围内的IP地址展开的。
另一个Python脚本(ssdpattack.py)则可被用于运行攻击。它是一个不同版本的扫描工具,其中包括数据包级别的假冒IP源,它实现了反射流量的攻击。而该工具被设计为一旦启动直到通过手动终止,才能停止运行,危害性较大。
什么是UPnP协议?
UPnP这个概念是从即插即用(Plug-and-play),即热拔插技术中派生而来的。UPnP协议简化了家庭网络和企业局域网中各种设备连接,使内网中任意两个设备能互相通信,而不需要特别配置。
UPnP协议
UPnP协议的目标是使家庭网络(数据共享、通信和娱乐)和公司网络中的各种设备能够相互无缝连接,并简化相关网络的实现。UPnP通过定义和发布基于开放、因特网通讯网协议标准的UPnP设备控制协议来实现这一目标。
如何应对防御UPnP漏洞
对于UPnP安全漏洞来说,因为很多网络设备出厂时都是默认开启这个即插即用功能的,因此我们需要手动关闭UPnP功能。以无线路由器为例,需要进入到它的Web配置界面里进行调整。
一般路由器的UPnP功能可在“高级”选项中找到,用户只需将勾中的选项去除即可。
一般路由器的UPnP功能为默认开启,建议关闭该功能。