The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

29.06.2017 12:58  Предупреждение о задействовании UPnP/SSDP в качестве усилителя DDoS-атак

Компания Cloudflare предупредила об увеличении интенсивности применения протокола SSDP (Simple Service Discovery Protocol), используемого в системах с поддержкой UPnP, в качестве усилителя трафика при проведении DDoS-атак. Cloudflare обращает внимание на практику оставления доступа к 1900 UDP-порту, который позволяет при обработке некоторых запросов, формировать ответы, по размеру многократно превышающие запрос, чем пользуются организаторы DDoS-атак.

Смысл атаки с использованием усилителя трафика сводится к тому, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом жертвы (спуфинг). SSDP позволяет в 7 раз приумножить число используемых в атаке пакетов и в 20 раз приумножить трафик. Для сравнения коэффициент усиления для NTP составляет 556 раз, DNS - 28-54, RIPv2 - 21, SNMPv2 - 6. Имея современный сервер с подключением 10 Gbps и используя SSDP как усилитель, c учётом необходимости проведения спуфинга, можно сформировать поток на уровне 43 миллионов пакетов в секунду с трафиком в 112 гигабит в секунду.

Сетевой UDP-порт 1900 применяется протоколами SSDP и UPnP для обнаружения новых устройств в локальной сети. В качестве одного из методов обнаружения поддерживается M-SEARCH, подразумевающий отправку multicast-запросов по адресу 239.255.255.250. Все устройства, принимающие соединения на данном multicast-IP, получив запрос M-SEARCH с заголовком "ssdp:all", в ответ сообщают информацию о себе, uuid, тип сервера и URL Web API. Проблема заключается в том, что подобные запросы не ограничиваются локальной сетью, обрабатываются при поступлении на обычный (unicast) IP и используют протокол UDP, позволяющий выполнить спуфинг (указать фиктивный обратный IP-адрес). В итоге, в ответ на один пакет с запросом, UPnP-устройство отправляет 8 пакетов с информацией.

Пользователям и администраторам рекомендуется обеспечить блокировку доступа к сетевому UDP-порту 1900 из внешних сетей. Наибольшее число участвовавших в атаках систем с открытым портом 1900 отмечается в Китае (439126), России (135783, в top10 операторов через которые выполняется усиление трафика фигурируют Вымпелком/Билайн и ЭР Телеком/Дом.ru), Аргентине (74825), США (51222) и республике Тайвань (41353). Сетевым операторам рекомендуется настроить фильтры для блокирования спуфинга. Проверить свою систему на предмет возможности её применения в качестве усилителя трафика можно через web-сервис Bad UPnP.

Рейтинг идентификаторов устройств, участвовавших в атаке в качестве усилителей трафика:

  • 12863 Ubuntu/7.10 UPnP/1.0 miniupnpd/1.0
  • 11544 ASUSTeK UPnP/1.0 MiniUPnPd/1.4
  • 10827 miniupnpd/1.0 UPnP/1.0
  • 8070 Linux UPnP/1.0 Huawei-ATP-IGD
  • 7941 TBS/R2 UPnP/1.0 MiniUPnPd/1.4
  • 7546 Net-OS 5.xx UPnP/1.0
  • 6043 LINUX-2.6 UPnP/1.0 MiniUPnPd/1.5
  • 5482 Ubuntu/lucid UPnP/1.0 MiniUPnPd/1.4
  • 4720 AirTies/ASP 1.0 UPnP/1.0 miniupnpd/1.0
  • 4667 Linux/2.6.30.9, UPnP/1.0, Portable SDK for UPnP devices/1.6.6
  • 3334 Fedora/10 UPnP/1.0 MiniUPnPd/1.4
  • 2044 miniupnpd/1.5 UPnP/1.0
  • 1325 Linux/2.6.21.5, UPnP/1.0, Portable SDK for UPnP devices/1.6.6
  • 843 Allegro-Software-RomUpnp/4.07 UPnP/1.0 IGD/1.00
  • 776 Upnp/1.0 UPnP/1.0 IGD/1.00
  • 675 Unspecified, UPnP/1.0, Unspecified
  • 648 WNR2000v5 UPnP/1.0 miniupnpd/1.0
  • 562 MIPS LINUX/2.4 UPnP/1.0 miniupnpd/1.0
  • 518 Fedora/8 UPnP/1.0 miniupnpd/1.0
  • 372 Tenda UPnP/1.0 miniupnpd/1.0
  • 346 Ubuntu/10.10 UPnP/1.0 miniupnpd/1.0
  • 330 MF60/1.0 UPnP/1.0 miniupnpd/1.0


  1. Главная ссылка к новости (https://blog.cloudflare.com/ss...)
  2. OpenNews: Открыт код Syncookied, системы защиты от DDoS-атак
  3. OpenNews: Зафиксировано использование протокола RIPv1 в качестве усилителя DDoS-атак
  4. OpenNews: Оценка методов усиления трафика при организации DDoS-атак
  5. OpenNews: Релиз FastNetMon 1.1.2, открытого решения по обнаружению DDoS-атак
  6. OpenNews: Зафиксирована рекордная DDoS-атака с интенсивностью трафика в 400 Гбит/с
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ddos, upnp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Аноним, 15:28, 29/06/2017 [ответить] [смотреть все]
  • +3 +/
    Удобна штука upnp, но последние новости как-то не радуют Обычно пользовался ког... весь текст скрыт [показать]
     
  • 1.3, Ivan_83, 15:36, 29/06/2017 [ответить] [смотреть все]  
  • +/
    Надо будет в моём SSDPd добавить крутилку чтобы задавать TTL для ответов.
     
  • 1.4, Аноним, 15:57, 29/06/2017 [ответить] [смотреть все]  
  • +2 +/
    Где они столько убунту 7.10 откопали? Восстание зомби?
     
     
  • 2.20, Hellraiser, 10:14, 30/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    это эмуляторы убунты в десятом мастдае
     
  • 1.5, Аноним, 16:07, 29/06/2017 [ответить] [смотреть все]  
  • +2 +/
    В miniupnpd разве эта проблема не решается настройкой secure_mode yes выставлен... весь текст скрыт [показать]
     
     
  • 2.8, PnDx, 18:26, 29/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    только на адрес с которого пришел запрос Вот туда и отправляется Аж целых 7 п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, Аноним, 19:43, 29/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Из новости Так ведь вроде как смысл атаки как раз в том чтобы слать ответы на ф... весь текст скрыт [показать]
     
     
  • 4.11, angra, 21:12, 29/06/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Отправитель может подставить в IP заголовке в поле source address вместо своего ... весь текст скрыт [показать]
     
     
  • 5.12, Аноним, 21:27, 29/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    но как они это делают ведь чтобы незаметно подставлять чужие адреса нужно быть ... весь текст скрыт [показать]
     
     
  • 6.13, Anonim, 23:03, 29/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Так для них по барабану, какой src стоит... весь текст скрыт [показать]
     
     
  • 7.15, Аноним, 23:44, 29/06/2017 [^] [ответить] [смотреть все]  
  • +/
    что-то я сомневаюсь что админы магистралов таким способом подрабатывают скоре... весь текст скрыт [показать]
     
     
  • 8.16, Anonim, 02:26, 30/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Как ты будешь фильтровать udp-спуфинг?
     
     
  • 9.18, angra, 09:51, 30/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Речь о фильтрации не входящего udp-спуфинга, а исходящего Каждый конечный ISP з... весь текст скрыт [показать]
     
     
  • 10.28, Anonim, 00:44, 02/07/2017 [^] [ответить] [смотреть все]  
  • +/
    С сервера я могу посылать пакеты на произвольный адрес, а не только внутри сети ... весь текст скрыт [показать]
     
     
  • 11.30, zanswer CCNA RS and S, 06:23, 04/07/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Суть предлагаемой вашим собеседником фильтрации, проверка поля Source IP, а не Destination IP, поэтому не важно куда вы шлёте пакет, он всё равно пройдёт через маршрутизатор оператора и там может быть подвержен фильтрации.

    Но, в реальности так делают не все, по разным причинам без спорно, где-то техническим, а где-то административным.

     
  • 8.17, zanswer CCNA RS and S, 09:38, 30/06/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Существование RFC 2827, как и разного рода руководств по внедрению Unicast Rever... весь текст скрыт [показать]
     
     
  • 9.23, пох, 11:24, 30/06/2017 [^] [ответить] [смотреть все]  
  • +/
    а вот это как раз после первого хорошего ddos а на любимого клиента само образ... весь текст скрыт [показать]
     
  • 6.19, пох, 10:04, 30/06/2017 [^] [ответить] [смотреть все]  
  • +/
    с разморозкой 1996й год давно прошел, никто уже не вешает фильтры на каждый кли... весь текст скрыт [показать]
     
  • 1.14, Аноним, 23:21, 29/06/2017 [ответить] [смотреть все]  
  • +1 +/
    Всегда когда покупал какой-нибудь роутер, сразу отключал UPnP и открывал порты в... весь текст скрыт [показать]
     
  • 1.21, iZEN, 10:15, 30/06/2017 [ответить] [смотреть все]  
  • +/
    Отключаю службу UPnP. Не представляю, зачем она нужна. Это ДЫРА.
     
     
  • 2.24, Аноним, 14:04, 30/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Тогда и бзд тоже выключи
     
  • 1.22, Аноним, 11:00, 30/06/2017 [ответить] [смотреть все]  
  • –1 +/
    А Тайвань уже не Китай?
     
     
  • 2.25, anon2314, 18:17, 30/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ха-ха, смищно
     
  • 1.26, odintsov, 22:15, 30/06/2017 [ответить] [смотреть все]  
  • +1 +/
    Всем привет!

    Как обычно - рекомендую наш open source инструмент, https://github.com/pavel-odintsov/fastnetmon SSDP умеем уже почти два года.

    Кроме этого, можем порекомендовать магистрального провайдера RasCom, так как они позволяют применять BGP Flow Spec и отсекать подобный паразитный трафик до того, как он дойдет до вашего оборудования.

     
  • 1.27, Anonplus, 23:04, 30/06/2017 [ответить] [смотреть все]  
  • +/
    Народ, а есть ли хоть какой-то смысл держать включённым UPnP на роутере, если я сижу за провайдерским натом?
     
     
  • 2.29, Kuromi, 03:10, 02/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Если IP белый есть, то да.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList