Предупреждение о задействовании UPnP/SSDP в качестве усилителя DDoS-атак

29.06.2017 12:58

Компания Cloudflare предупредила об увеличении интенсивности применения протокола SSDP (Simple Service Discovery Protocol), используемого в системах с поддержкой UPnP, в качестве усилителя трафика при проведении DDoS-атак. Cloudflare обращает внимание на практику оставления доступа к 1900 UDP-порту, который позволяет при обработке некоторых запросов, формировать ответы, по размеру многократно превышающие запрос, чем пользуются организаторы DDoS-атак.

Смысл атаки с использованием усилителя трафика сводится к тому, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом жертвы (спуфинг). SSDP позволяет в 7 раз приумножить число используемых в атаке пакетов и в 20 раз приумножить трафик. Для сравнения коэффициент усиления для NTP составляет 556 раз, DNS - 28-54, RIPv2 - 21, SNMPv2 - 6. Имея современный сервер с подключением 10 Gbps и используя SSDP как усилитель, c учётом необходимости проведения спуфинга, можно сформировать поток на уровне 43 миллионов пакетов в секунду с трафиком в 112 гигабит в секунду.

Сетевой UDP-порт 1900 применяется протоколами SSDP и UPnP для обнаружения новых устройств в локальной сети. В качестве одного из методов обнаружения поддерживается M-SEARCH, подразумевающий отправку multicast-запросов по адресу 239.255.255.250. Все устройства, принимающие соединения на данном multicast-IP, получив запрос M-SEARCH с заголовком "ssdp:all", в ответ сообщают информацию о себе, uuid, тип сервера и URL Web API. Проблема заключается в том, что подобные запросы не ограничиваются локальной сетью, обрабатываются при поступлении на обычный (unicast) IP и используют протокол UDP, позволяющий выполнить спуфинг (указать фиктивный обратный IP-адрес). В итоге, в ответ на один пакет с запросом, UPnP-устройство отправляет 8 пакетов с информацией.

Пользователям и администраторам рекомендуется обеспечить блокировку доступа к сетевому UDP-порту 1900 из внешних сетей. Наибольшее число участвовавших в атаках систем с открытым портом 1900 отмечается в Китае (439126), России (135783, в top10 операторов через которые выполняется усиление трафика фигурируют Вымпелком/Билайн и ЭР Телеком/Дом.ru), Аргентине (74825), США (51222) и республике Тайвань (41353). Сетевым операторам рекомендуется настроить фильтры для блокирования спуфинга. Проверить свою систему на предмет возможности её применения в качестве усилителя трафика можно через web-сервис Bad UPnP.

Рейтинг идентификаторов устройств, участвовавших в атаке в качестве усилителей трафика:

12863 Ubuntu/7.10 UPnP/1.0 miniupnpd/1.0
11544 ASUSTeK UPnP/1.0 MiniUPnPd/1.4
10827 miniupnpd/1.0 UPnP/1.0
8070 Linux UPnP/1.0 Huawei-ATP-IGD
7941 TBS/R2 UPnP/1.0 MiniUPnPd/1.4
7546 Net-OS 5.xx UPnP/1.0
6043 LINUX-2.6 UPnP/1.0 MiniUPnPd/1.5
5482 Ubuntu/lucid UPnP/1.0 MiniUPnPd/1.4
4720 AirTies/ASP 1.0 UPnP/1.0 miniupnpd/1.0
4667 Linux/2.6.30.9, UPnP/1.0, Portable SDK for UPnP devices/1.6.6
3334 Fedora/10 UPnP/1.0 MiniUPnPd/1.4
2044 miniupnpd/1.5 UPnP/1.0
1325 Linux/2.6.21.5, UPnP/1.0, Portable SDK for UPnP devices/1.6.6
843 Allegro-Software-RomUpnp/4.07 UPnP/1.0 IGD/1.00
776 Upnp/1.0 UPnP/1.0 IGD/1.00
675 Unspecified, UPnP/1.0, Unspecified
648 WNR2000v5 UPnP/1.0 miniupnpd/1.0
562 MIPS LINUX/2.4 UPnP/1.0 miniupnpd/1.0
518 Fedora/8 UPnP/1.0 miniupnpd/1.0
372 Tenda UPnP/1.0 miniupnpd/1.0
346 Ubuntu/10.10 UPnP/1.0 miniupnpd/1.0
330 MF60/1.0 UPnP/1.0 miniupnpd/1.0

исправить +10 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/46780-ddos

Ключевые слова: ddos, upnp

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (27)

1.2, Аноним (-), 15:28, 29/06/2017 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Удобна штука upnp, но последние новости как-то не радуют. Обычно пользовался когда временно нужен доступ мимо впн к spice серверу с авторизацией. upnpc -a 192.168.1.102 5900 5900 tcp

1.3, Ivan_83 (ok), 15:36, 29/06/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Надо будет в моём SSDPd добавить крутилку чтобы задавать TTL для ответов.

1.4, Аноним (-), 15:57, 29/06/2017 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Где они столько убунту 7.10 откопали? Восстание зомби?

2.20, Hellraiser (??), 10:14, 30/06/2017 [^] [^^] [^^^] [ответить]	+/–
это эмуляторы убунты в десятом мастдае

1.5, Аноним (-), 16:07, 29/06/2017 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
В miniupnpd разве эта проблема не решается настройкой secure_mode=yes (выставленной в openwrt по умолчанию) при которой ответы будут отправляться только на адрес с которого пришел запрос и только в том случае если перенаправление запрашивалось на тот же адрес с которого пришел запрос? И зачем вообще upnp вещать на интерфейс смотрящий во внешнею сеть?

2.8, PnDx (ok), 18:26, 29/06/2017 [^] [^^] [^^^] [ответить]	+1 +/–
"только на адрес с которого пришел запрос" Вот туда и отправляется. Аж целых 7 пакетов. "во внешнею сеть" По-умолчанию, как обычно.

3.9, Аноним (-), 19:43, 29/06/2017 [^] [^^] [^^^] [ответить]	+/–
Из новости: > Проблема заключается в том, что подобные запросы не ограничиваются локальной сетью, обрабатываются при поступлении на обычный (unicast) IP и используют протокол UDP, позволяющий выполнить спуфинг (указать фиктивный обратный IP-адрес). Так ведь вроде как смысл атаки как раз в том чтобы слать ответы на фиктивный обратный IP-адрес. Если слать на адрес отправителя запроса то ddosить будут сами себя.

4.11, angra (ok), 21:12, 29/06/2017 [^] [^^] [^^^] [ответить]	+1 +/–
Отправитель может подставить в IP заголовке в поле source address вместо своего адрес жертвы. На этом основаны все атаки с умножителями, как впрочем и большинство других.

5.12, Аноним (-), 21:27, 29/06/2017 [^] [^^] [^^^] [ответить]	–1 +/–
но как они это делают? ведь чтобы незаметно подставлять чужие адреса нужно быть подключеным к магистральному роутеру, причем на условиях транзита (другие просто не примут пакеты с чужими ип).

6.13, Anonim (??), 23:03, 29/06/2017 [^] [^^] [^^^] [ответить]	+/–
> но как они это делают? ведь чтобы незаметно подставлять чужие адреса нужно быть подключеным к магистральному роутеру, причем на условиях транзита (другие просто не примут пакеты с чужими ип). Так для них по барабану, какой src стоит

7.15, Аноним (-), 23:44, 29/06/2017 [^] [^^] [^^^] [ответить]	+/–
>> но как они это делают? ведь чтобы незаметно подставлять чужие адреса нужно быть подключеным к магистральному роутеру, причем на условиях транзита (другие просто не примут пакеты с чужими ип). > Так для них по барабану, какой src стоит что-то я сомневаюсь что админы магистралов таким способом "подрабатывают". скорее всего админы некоторых дц не осилили фильтрацию :)

8.16, Anonim (??), 02:26, 30/06/2017 [^] [^^] [^^^] [ответить]	+/–
Как ты будешь фильтровать udp-спуфинг ... текст свёрнут, показать

9.18, angra (ok), 09:51, 30/06/2017 [^] [^^] [^^^] [ответить]	+/–
Речь о фильтрации не входящего udp-спуфинга, а исходящего Каждый конечный ISP з... текст свёрнут, показать

10.28, Anonim (??), 00:44, 02/07/2017 [^] [^^] [^^^] [ответить]	+/–
С сервера я могу посылать пакеты на произвольный адрес, а не только внутри сети ... текст свёрнут, показать

11.30, zanswer CCNA RS and S (?), 06:23, 04/07/2017 [^] [^^] [^^^] [ответить]	+/–
Суть предлагаемой вашим собеседником фильтрации, проверка поля Source IP, а не D... текст свёрнут, показать

8.17, zanswer CCNA RS and S (?), 09:38, 30/06/2017 [^] [^^] [^^^] [ответить]	+5 +/–
Существование RFC 2827, как и разного рода руководств по внедрению Unicast Rever... текст свёрнут, показать

9.23, пох (?), 11:24, 30/06/2017 [^] [^^] [^^^] [ответить]	+/–
а вот это как раз после первого хорошего ddos а на любимого клиента само образ... текст свёрнут, показать

6.19, пох (?), 10:04, 30/06/2017 [^] [^^] [^^^] [ответить]

+/–

> причем на условиях транзита (другие просто не примут пакеты с чужими ип).

с разморозкой. 1996й год давно прошел, никто уже не вешает фильтры на каждый клиентский порт. Хомянеттеры не в счет, с них много не наддосишь. Хотя я и хомянеттеров никогда не фильтровал, нахрен не нужен геморрой себе на жопу своими же руками.

А в свете "мигрирующих" v4 блоков уже и фильтрация bgp благополучно пошла лесом (да и была-то она почти только в области деятельности ripe, остальные тоже давно забили... э... даже, пожалуй, предположу не столько ripe, сколько трех стран с кодом +7)

1.14, Аноним (-), 23:21, 29/06/2017 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Всегда когда покупал какой-нибудь роутер, сразу отключал UPnP и открывал порты вручную. Всегда эта фича казалась жуткой уявзимостью. Ведь любая прога может легко открыть порт для коннектов извне без моего ведома, то есть, по сути, прогонять через мой комп несанкцианированный мною трафик.

1.21, iZEN (ok), 10:15, 30/06/2017 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Отключаю службу UPnP. Не представляю, зачем она нужна. Это ДЫРА.

2.24, Аноним (-), 14:04, 30/06/2017 [^] [^^] [^^^] [ответить]	–1 +/–
Тогда и бзд тоже выключи

1.22, Аноним (-), 11:00, 30/06/2017 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
А Тайвань уже не Китай?

2.25, anon2314 (?), 18:17, 30/06/2017 [^] [^^] [^^^] [ответить]	+/–
ха-ха, смищно

1.26, odintsov (ok), 22:15, 30/06/2017 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

Всем привет!

Как обычно - рекомендую наш open source инструмент, https://github.com/pavel-odintsov/fastnetmon SSDP умеем уже почти два года.

Кроме этого, можем порекомендовать магистрального провайдера RasCom, так как они позволяют применять BGP Flow Spec и отсекать подобный паразитный трафик до того, как он дойдет до вашего оборудования.

1.27, Anonplus (?), 23:04, 30/06/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Народ, а есть ли хоть какой-то смысл держать включённым UPnP на роутере, если я сижу за провайдерским натом?

2.29, Kuromi (?), 03:10, 02/07/2017 [^] [^^] [^^^] [ответить]	+/–
Если IP белый есть, то да.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: