攻擊者如何利用UPnP協(xié)議?利用UPnProxy技術(shù)發(fā)起DDoS攻擊
5月16日訊 網(wǎng)絡(luò)安全解決方案提供商 Imperva 5月14日發(fā)布報(bào)告披露,攻擊者正在利用 UPnP 協(xié)議掩蓋 DDoS 攻擊期間發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包源端口,從而繞過(guò) DDoS 緩解服務(wù)。Imperva 已發(fā)現(xiàn)了至少兩起采用該技術(shù)的 DDoS 攻擊, 包括 DDoS 放大攻擊。
攻擊者如何利用UPnP協(xié)議?
問(wèn)題的核心在于 UPnP 協(xié)議是針對(duì)智能家電、無(wú)線設(shè)備以及個(gè)人電腦的普遍點(diǎn)對(duì)點(diǎn)(peer-to-peer,P2P)網(wǎng)絡(luò)連接而設(shè)計(jì)的一種架構(gòu)。該協(xié)議旨在簡(jiǎn)化在本地網(wǎng)絡(luò)上發(fā)現(xiàn)附近設(shè)備的過(guò)程。
UPnP 協(xié)議的其中一項(xiàng)功能是能夠?qū)⑦B接從互聯(lián)網(wǎng)轉(zhuǎn)發(fā)到本地網(wǎng)絡(luò),將傳入的互聯(lián)網(wǎng) IP:port 連接映射到本地 IP:port 服務(wù)。UPnP 允許 NAT 遍歷,并允許網(wǎng)絡(luò)管理員和遠(yuǎn)程用戶訪問(wèn)僅能在內(nèi)部網(wǎng)絡(luò)上訪問(wèn)的服務(wù)。
Imperva 公司研究人員指出,實(shí)際上,很少有路由器會(huì)驗(yàn)證提供的內(nèi)部 IP,并遵守所有轉(zhuǎn)發(fā)規(guī)則。這意味著,攻擊者可設(shè)法感染端口映射表,將路由器作為代理,并將傳入的互聯(lián)網(wǎng) IP 重定向至其它互聯(lián)網(wǎng) IP。
這種攻擊場(chǎng)景并不新穎。Akamai 公司2018年4月就詳細(xì)描述了這種技術(shù),該公司將其稱之為 UPnProxy,并披露稱,發(fā)現(xiàn)僵尸網(wǎng)絡(luò)和國(guó)家支持型網(wǎng)絡(luò)間諜組織將家用路由器作為代理反彈并隱藏惡意流量。
利用UPnProxy技術(shù)發(fā)起DDoS攻擊
Imperva 公司表示,攻擊者還可濫用 UPnProxy 技術(shù)發(fā)起 DDoS 攻擊,從而掩蓋 DDoS 放大攻擊的源端口。
在傳統(tǒng)的 DDoS 放大攻擊中,攻擊者會(huì)從遠(yuǎn)程服務(wù)器反彈惡意數(shù)據(jù)包,并通過(guò)欺騙 IP 將其發(fā)送給受害者,源端口始終是放大攻擊的服務(wù)端口。這樣一來(lái),DDoS 緩解服務(wù)便可以阻止所有具有特定源端口的傳入數(shù)據(jù)包,從而檢測(cè)并阻止放大攻擊。但是,攻擊者可借助 UPnProxy 修改路由器的端口映射表,并用來(lái)掩蓋 DDoS 攻擊的源端口,這就意味著這些攻擊來(lái)自隨機(jī)的端口,從易受攻擊的服務(wù)器反彈,并攻擊受害者。
DDoS 放大攻擊或泛濫
Imperva 表示已發(fā)現(xiàn)了至少兩起采用該技術(shù)的 DDoS 攻擊,并且也通過(guò)其內(nèi)部 開(kāi)發(fā)出的 POC 腳本成功進(jìn)行了測(cè)試。該 PoC 代碼通過(guò)搜索暴露其rootDesc.xml文件的路由器(其中包含端口映射配置),添加了隱藏源端口的自定義端口映射規(guī)則,隨后發(fā)起了 DDoS 放大攻擊。DDoS 放大攻擊主要步驟如下:
第一步:找到一個(gè)開(kāi)放的UPnP路由器
第二步:訪問(wèn)設(shè)備XML文件
第三步:修改端口轉(zhuǎn)發(fā)規(guī)則
第四步:?jiǎn)?dòng)端口混淆 DNS 放大
通過(guò)2018年5月16日與14日的 SHODAN 搜索情況對(duì)比顯示,暴露 rootDesc.xml 文件的路由器數(shù)量仍在增加。
關(guān)于暴露rootDesc.xml 文件的路由器數(shù)量變化
出于安全的考慮,該公司未公開(kāi) PoC 代碼。隨著時(shí)間的推移,這種技術(shù)將變得越來(lái)越流行。研究人員建議路由器所有者禁用 UPnP 功能。
Imperva 公司指出,通過(guò)掩蓋傳入網(wǎng)絡(luò)數(shù)據(jù)包的源端口,依賴這類信息阻止攻擊的老舊 DDoS 緩解系統(tǒng)需升級(jí)到依賴深度包檢測(cè)(DPI)技術(shù)的復(fù)雜解決方案。
-
DDoS
+關(guān)注
關(guān)注
3文章
172瀏覽量
23069 -
路由器
+關(guān)注
關(guān)注
22文章
3732瀏覽量
113767 -
UPnP
+關(guān)注
關(guān)注
0文章
6瀏覽量
8292
原文標(biāo)題:攻擊者利用UPnP協(xié)議或致DDoS放大攻擊泛濫
文章出處:【微信號(hào):EAQapp,微信公眾號(hào):E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
對(duì)嵌入式系統(tǒng)的攻擊 攻擊者通過(guò)什么途徑得到ATM的密鑰呢?
【§網(wǎng)絡(luò)安全技巧§】利用路由器的安全特性控制DDoS攻擊
SCDN的抗CC攻擊和抗DDoS攻擊防護(hù)是什么?
如果全球的沙子都對(duì)你發(fā)起DDoS攻擊,如何破?
《DNS攻擊防范科普系列2》 -DNS服務(wù)器怎么防DDoS攻擊
DDOS攻擊是什么_ddos攻擊攻擊是無(wú)解的嗎
ddos攻擊能防住嗎?ddos攻擊預(yù)防方法分析
怎么編寫ddos攻擊器ddos攻擊器源碼
以攻擊者為中心的安全協(xié)議驗(yàn)證機(jī)制
基于熵度量的DDoS攻擊檢測(cè)方法
DDoS攻擊風(fēng)暴來(lái)襲 Memcached成攻擊新寵
工商網(wǎng)監(jiān)
評(píng)論