The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

29.06.2017 12:58  Предупреждение о задействовании UPnP/SSDP в качестве усилителя DDoS-атак

Компания Cloudflare предупредила об увеличении интенсивности применения протокола SSDP (Simple Service Discovery Protocol), используемого в системах с поддержкой UPnP, в качестве усилителя трафика при проведении DDoS-атак. Cloudflare обращает внимание на практику оставления доступа к 1900 UDP-порту, который позволяет при обработке некоторых запросов, формировать ответы, по размеру многократно превышающие запрос, чем пользуются организаторы DDoS-атак.

Смысл атаки с использованием усилителя трафика сводится к тому, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом жертвы (спуфинг). SSDP позволяет в 7 раз приумножить число используемых в атаке пакетов и в 20 раз приумножить трафик. Для сравнения коэффициент усиления для NTP составляет 556 раз, DNS - 28-54, RIPv2 - 21, SNMPv2 - 6. Имея современный сервер с подключением 10 Gbps и используя SSDP как усилитель, c учётом необходимости проведения спуфинга, можно сформировать поток на уровне 43 миллионов пакетов в секунду с трафиком в 112 гигабит в секунду.

Сетевой UDP-порт 1900 применяется протоколами SSDP и UPnP для обнаружения новых устройств в локальной сети. В качестве одного из методов обнаружения поддерживается M-SEARCH, подразумевающий отправку multicast-запросов по адресу 239.255.255.250. Все устройства, принимающие соединения на данном multicast-IP, получив запрос M-SEARCH с заголовком "ssdp:all", в ответ сообщают информацию о себе, uuid, тип сервера и URL Web API. Проблема заключается в том, что подобные запросы не ограничиваются локальной сетью, обрабатываются при поступлении на обычный (unicast) IP и используют протокол UDP, позволяющий выполнить спуфинг (указать фиктивный обратный IP-адрес). В итоге, в ответ на один пакет с запросом, UPnP-устройство отправляет 8 пакетов с информацией.

Пользователям и администраторам рекомендуется обеспечить блокировку доступа к сетевому UDP-порту 1900 из внешних сетей. Наибольшее число участвовавших в атаках систем с открытым портом 1900 отмечается в Китае (439126), России (135783, в top10 операторов через которые выполняется усиление трафика фигурируют Вымпелком/Билайн и ЭР Телеком/Дом.ru), Аргентине (74825), США (51222) и республике Тайвань (41353). Сетевым операторам рекомендуется настроить фильтры для блокирования спуфинга. Проверить свою систему на предмет возможности её применения в качестве усилителя трафика можно через web-сервис Bad UPnP.

Рейтинг идентификаторов устройств, участвовавших в атаке в качестве усилителей трафика:

  • 12863 Ubuntu/7.10 UPnP/1.0 miniupnpd/1.0
  • 11544 ASUSTeK UPnP/1.0 MiniUPnPd/1.4
  • 10827 miniupnpd/1.0 UPnP/1.0
  • 8070 Linux UPnP/1.0 Huawei-ATP-IGD
  • 7941 TBS/R2 UPnP/1.0 MiniUPnPd/1.4
  • 7546 Net-OS 5.xx UPnP/1.0
  • 6043 LINUX-2.6 UPnP/1.0 MiniUPnPd/1.5
  • 5482 Ubuntu/lucid UPnP/1.0 MiniUPnPd/1.4
  • 4720 AirTies/ASP 1.0 UPnP/1.0 miniupnpd/1.0
  • 4667 Linux/2.6.30.9, UPnP/1.0, Portable SDK for UPnP devices/1.6.6
  • 3334 Fedora/10 UPnP/1.0 MiniUPnPd/1.4
  • 2044 miniupnpd/1.5 UPnP/1.0
  • 1325 Linux/2.6.21.5, UPnP/1.0, Portable SDK for UPnP devices/1.6.6
  • 843 Allegro-Software-RomUpnp/4.07 UPnP/1.0 IGD/1.00
  • 776 Upnp/1.0 UPnP/1.0 IGD/1.00
  • 675 Unspecified, UPnP/1.0, Unspecified
  • 648 WNR2000v5 UPnP/1.0 miniupnpd/1.0
  • 562 MIPS LINUX/2.4 UPnP/1.0 miniupnpd/1.0
  • 518 Fedora/8 UPnP/1.0 miniupnpd/1.0
  • 372 Tenda UPnP/1.0 miniupnpd/1.0
  • 346 Ubuntu/10.10 UPnP/1.0 miniupnpd/1.0
  • 330 MF60/1.0 UPnP/1.0 miniupnpd/1.0


  1. Главная ссылка к новости (https://blog.cloudflare.com/ss...)
  2. OpenNews: Открыт код Syncookied, системы защиты от DDoS-атак
  3. OpenNews: Зафиксировано использование протокола RIPv1 в качестве усилителя DDoS-атак
  4. OpenNews: Оценка методов усиления трафика при организации DDoS-атак
  5. OpenNews: Релиз FastNetMon 1.1.2, открытого решения по обнаружению DDoS-атак
  6. OpenNews: Зафиксирована рекордная DDoS-атака с интенсивностью трафика в 400 Гбит/с
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ddos, upnp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, Аноним (-), 15:28, 29/06/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +3 +/
    Удобна штука upnp, но последние новости как-то не радуют.


    Обычно пользовался когда временно нужен доступ мимо впн к spice серверу с авторизацией.
    upnpc -a 192.168.1.102 5900 5900 tcp

     
  • 1.3, Ivan_83 (ok), 15:36, 29/06/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Надо будет в моём SSDPd добавить крутилку чтобы задавать TTL для ответов.
     
  • 1.4, Аноним (-), 15:57, 29/06/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +2 +/
    Где они столько убунту 7.10 откопали? Восстание зомби?
     
     
  • 2.20, Hellraiser (??), 10:14, 30/06/2017 [^] [ответить]    [к модератору]
  • +/
    это эмуляторы убунты в десятом мастдае
     
  • 1.5, Аноним (-), 16:07, 29/06/2017 [ответить] [показать ветку] [···]     [к модератору]
  • +2 +/
    В miniupnpd разве эта проблема не решается настройкой secure_mode yes выставлен... весь текст скрыт [показать]
     
     
  • 2.8, PnDx (ok), 18:26, 29/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    "только на адрес с которого пришел запрос"
    Вот туда и отправляется. Аж целых 7 пакетов.

    "во внешнею сеть"
    По-умолчанию, как обычно.

     
     
  • 3.9, Аноним (-), 19:43, 29/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Из новости Так ведь вроде как смысл атаки как раз в том чтобы слать ответы на ф... весь текст скрыт [показать]
     
     
  • 4.11, angra (ok), 21:12, 29/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Отправитель может подставить в IP заголовке в поле source address вместо своего адрес жертвы. На этом основаны все атаки с умножителями, как впрочем и большинство других.
     
     
  • 5.12, Аноним (-), 21:27, 29/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    но как они это делают? ведь чтобы незаметно подставлять чужие адреса нужно быть подключеным к магистральному роутеру, причем на условиях транзита (другие просто не примут пакеты с чужими ип).
     
     
  • 6.13, Anonim (??), 23:03, 29/06/2017 [^] [ответить]    [к модератору]  
  • +/
    > но как они это делают? ведь чтобы незаметно подставлять чужие адреса нужно быть подключеным к магистральному роутеру, причем на условиях транзита (другие просто не примут пакеты с чужими ип).

    Так для них по барабану, какой src стоит

     
     
  • 7.15, Аноним (-), 23:44, 29/06/2017 [^] [ответить]     [к модератору]  
  • +/
    что-то я сомневаюсь что админы магистралов таким способом подрабатывают скоре... весь текст скрыт [показать]
     
     
  • 8.16, Anonim (??), 02:26, 30/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Как ты будешь фильтровать udp-спуфинг?
     
     
  • 9.18, angra (ok), 09:51, 30/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Речь о фильтрации не входящего udp-спуфинга, а исходящего. Каждый конечный ISP знает сетки, которые на него роутятся, а значит и все ip адресса, которые могут стоять в source address поле IP пакетов, которые он выпускает в мир. Добавив фильтрацию на своих внешних роутерах, он может зарезать все пакеты, которые в качестве source указывают ip, не "принадлежащий" ISP. Если все так сделают, то спуфинг будет возможным только в пределах ISP. В реальности же сплошь и рядом ISP, как "домашние", так и в датацентрах, не делают такую фильтрацию.
     
     
  • 10.28, Anonim (??), 00:44, 02/07/2017 [^] [ответить]    [к модератору]  
  • +/
    С сервера я могу посылать пакеты на произвольный адрес, а не только внутри сети ISP
     
     
  • 11.30, zanswer CCNA RS and S (?), 06:23, 04/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Суть предлагаемой вашим собеседником фильтрации, проверка поля Source IP, а не Destination IP, поэтому не важно куда вы шлёте пакет, он всё равно пройдёт через маршрутизатор оператора и там может быть подвержен фильтрации.

    Но, в реальности так делают не все, по разным причинам без спорно, где-то техническим, а где-то административным.

     
  • 8.17, zanswer CCNA RS and S (?), 09:38, 30/06/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    Существование RFC 2827, как и разного рода руководств по внедрению Unicast Reverse Path Forwarding в сетях, не означает, что каждый сетевой инженер, применяет данные рекомендации и более того, в ряде случаев применение strict uRPF вообще не возможно.

    Каждая автономная система, вольна сама устанавливать свои собственные правила и политики, относительно фильтрации или невмешательства в транзитный трафик или порождаемый данной AS трафик. В идеальном мире, каждый оператор должен реализовать BCP 38 и не только его, а и например Remote Triggered Blackhole Filtering RFC 5635, через BGP communities. Но, мы живём в несовершенном мире, где не всегда лучшие практики становятся беспрекословно выполняемым условием.

     
     
  • 9.23, пох (?), 11:24, 30/06/2017 [^] [ответить]    [к модератору]  
  • +/
    > и не только его, а и например Remote Triggered Blackhole Filtering
    > RFC 5635, через BGP communities. Но, мы живём в несовершенном мире,

    а вот это как раз после первого хорошего ddos'а на "любимого" клиента само образуется ;-)

    Особенно если инженер где-то не у консоли в тот момент окажется, а клиент правильно опишет менеджеру, кто козел и почему.

     
  • 6.19, пох (?), 10:04, 30/06/2017 [^] [ответить]    [к модератору]  
  • +/
    > причем на условиях транзита (другие просто не примут пакеты с чужими ип).

    с разморозкой. 1996й год давно прошел, никто уже не вешает фильтры на каждый клиентский порт. Хомянеттеры не в счет, с них много не наддосишь. Хотя я и хомянеттеров никогда не фильтровал, нахрен не нужен геморрой себе на жопу своими же руками.

    А в свете "мигрирующих" v4 блоков уже и фильтрация bgp благополучно пошла лесом (да и была-то она почти только в области деятельности ripe, остальные тоже давно забили... э... даже, пожалуй, предположу не столько ripe, сколько трех стран с кодом +7)

     
  • 1.14, Аноним (-), 23:21, 29/06/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Всегда когда покупал какой-нибудь роутер, сразу отключал UPnP и открывал порты в... весь текст скрыт [показать]
     
  • 1.21, iZEN (ok), 10:15, 30/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Отключаю службу UPnP. Не представляю, зачем она нужна. Это ДЫРА.
     
     
  • 2.24, Аноним (-), 14:04, 30/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Тогда и бзд тоже выключи
     
  • 1.22, Аноним (-), 11:00, 30/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А Тайвань уже не Китай?
     
     
  • 2.25, anon2314 (?), 18:17, 30/06/2017 [^] [ответить]    [к модератору]  
  • +/
    ха-ха, смищно
     
  • 1.26, odintsov (ok), 22:15, 30/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Всем привет!

    Как обычно - рекомендую наш open source инструмент, https://github.com/pavel-odintsov/fastnetmon SSDP умеем уже почти два года.

    Кроме этого, можем порекомендовать магистрального провайдера RasCom, так как они позволяют применять BGP Flow Spec и отсекать подобный паразитный трафик до того, как он дойдет до вашего оборудования.

     
  • 1.27, Anonplus (?), 23:04, 30/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Народ, а есть ли хоть какой-то смысл держать включённым UPnP на роутере, если я сижу за провайдерским натом?
     
     
  • 2.29, Kuromi (?), 03:10, 02/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Если IP белый есть, то да.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor