在當(dāng)前的互聯(lián)網(wǎng)領(lǐng)域,隨著各種網(wǎng)絡(luò)安全事件的頻繁發(fā)生,如何做好安全防御,成為很多用戶關(guān)注的焦點(diǎn)。
通過暴力手段淹沒目標(biāo)網(wǎng)絡(luò)的DDoS(分布式拒絕服務(wù))攻擊,是能夠讓受害者無法正常處理網(wǎng)絡(luò)請(qǐng)求的一種高破壞力、高攻擊效率的大危害網(wǎng)絡(luò)攻擊形式。在多種表現(xiàn)形式中,通常我們看到的是流量擁塞和帶寬消耗。由于DDoS攻擊能夠?qū)ζ髽I(yè)的網(wǎng)絡(luò)型業(yè)務(wù)造成嚴(yán)重的威脅,并且很難用傳統(tǒng)的辦法進(jìn)行防護(hù),儼然成為當(dāng)下的一種網(wǎng)絡(luò)公害。
UPnP協(xié)議成DDoS攻擊幫兇
然而近日,相關(guān)機(jī)構(gòu)發(fā)現(xiàn)不論是路由器、網(wǎng)絡(luò)攝像頭,還是電視,又或是媒體服務(wù)器、打印機(jī),數(shù)以百萬計(jì)的家庭終端設(shè)備正由于普遍應(yīng)用一種網(wǎng)絡(luò)通訊協(xié)議,而可能成為直接或間接放大DDoS攻擊流量的幫兇。這個(gè)網(wǎng)絡(luò)通訊協(xié)議便是我們常常使用卻不大起眼的UPnP(即插即用)協(xié)議。
據(jù)悉,UPnP設(shè)備間是通過SSDP(簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議)進(jìn)行相互感知的,利用SOAP(簡(jiǎn)單對(duì)象訪問協(xié)議)來獲取控制信息,并進(jìn)行信息反饋。可是隨著UPnP通信方案在終端設(shè)備間的大量濫用,令攻擊者能夠方便直接地獲得巨大的攻擊流量,來阻礙目標(biāo)企業(yè)的正常網(wǎng)絡(luò)服務(wù)。
超過400萬設(shè)備易被DDoS攻擊利用
研究機(jī)構(gòu)發(fā)現(xiàn)自從今年7月以來,就有利用家庭終端設(shè)備進(jìn)行DDoS攻擊的證據(jù),目前這種情況正不斷增加,并有向常態(tài)化發(fā)展的趨勢(shì)。據(jù)該機(jī)構(gòu)調(diào)查顯示,有410萬臺(tái)面向互聯(lián)網(wǎng)的UPnP設(shè)備,可以被DDoS攻擊利用進(jìn)行流量反射。
在實(shí)驗(yàn)室實(shí)驗(yàn)中,研究人員模擬了一個(gè)小規(guī)模的DDoS攻擊,在獲取了易受攻擊的設(shè)備列表后,他們從攻擊者處收到了偽裝成目標(biāo)IP地址的惡意請(qǐng)求。在攻擊過程中,這些終端設(shè)備都被利用,像攻擊目標(biāo)發(fā)送、反饋了像描述文件似的文件。而如果攻擊者一旦獲得由足夠的設(shè)備響應(yīng),則為展開一次真正的DDoS攻擊創(chuàng)造了條件。
Python腳本被用于SSDP掃描和攻擊
上述易受攻擊的終端設(shè)備,均是通過使用SSDP協(xié)議對(duì)端口1900進(jìn)行掃描而獲得的。研究人員發(fā)現(xiàn)網(wǎng)絡(luò)犯罪分子可以依靠一個(gè)Python腳本(ssdpscanner.py)來確定反射器。而該操作是由為大規(guī)模掃描提供某一范圍內(nèi)的IP地址展開的。
另一個(gè)Python腳本(ssdpattack.py)則可被用于運(yùn)行攻擊。它是一個(gè)不同版本的掃描工具,其中包括數(shù)據(jù)包級(jí)別的假冒IP源,它實(shí)現(xiàn)了反射流量的攻擊。而該工具被設(shè)計(jì)為一旦啟動(dòng)直到通過手動(dòng)終止,才能停止運(yùn)行,危害性較大。
什么是UPnP協(xié)議?
UPnP這個(gè)概念是從即插即用(Plug-and-play),即熱拔插技術(shù)中派生而來的。UPnP協(xié)議簡(jiǎn)化了家庭網(wǎng)絡(luò)和企業(yè)局域網(wǎng)中各種設(shè)備連接,使內(nèi)網(wǎng)中任意兩個(gè)設(shè)備能互相通信,而不需要特別配置。
UPnP協(xié)議
UPnP協(xié)議的目標(biāo)是使家庭網(wǎng)絡(luò)(數(shù)據(jù)共享、通信和娛樂)和公司網(wǎng)絡(luò)中的各種設(shè)備能夠相互無縫連接,并簡(jiǎn)化相關(guān)網(wǎng)絡(luò)的實(shí)現(xiàn)。UPnP通過定義和發(fā)布基于開放、因特網(wǎng)通訊網(wǎng)協(xié)議標(biāo)準(zhǔn)的UPnP設(shè)備控制協(xié)議來實(shí)現(xiàn)這一目標(biāo)。
如何應(yīng)對(duì)防御UPnP漏洞
對(duì)于UPnP安全漏洞來說,因?yàn)楹芏嗑W(wǎng)絡(luò)設(shè)備出廠時(shí)都是默認(rèn)開啟這個(gè)即插即用功能的,因此我們需要手動(dòng)關(guān)閉UPnP功能。以無線路由器為例,需要進(jìn)入到它的Web配置界面里進(jìn)行調(diào)整。
一般路由器的UPnP功能可在“高級(jí)”選項(xiàng)中找到,用戶只需將勾中的選項(xiàng)去除即可。
一般路由器的UPnP功能為默認(rèn)開啟,建議關(guān)閉該功能。
D1Net評(píng)論:
然而,上述方法只能盡量降低UPnP協(xié)議漏洞的影響,為了今后讓更多受波及的終端設(shè)備能夠提升安全性,恐怕還需要同各個(gè)設(shè)備制造商進(jìn)行協(xié)商,來查漏補(bǔ)缺,這就可能要耗費(fèi)時(shí)日了,但是,至少還有希望。