DDoS攻击新方式:攻击者利用UPnP协议绕过防御

智安网络 2018-10-24 11:04:12 智安网络讯:据外媒 15 日报道,网络安全解决方案提供商 Imperva 披露攻击者正在利用 UPnP 协议掩盖 DDoS 攻击期间发送的网络数据包源端口,从而绕过 DDoS 缓解服务


智安网络 2018-10-24 11:04:12


智安网络讯:据外媒 15 日报道,网络安全解决方案提供商 Imperva 披露攻击者正在利用 UPnP 协议掩盖 DDoS 攻击期间发送的网络数据包源端口,从而绕过 DDoS 缓解服务。Imperva 已发现了至少两起采用该技术的 DDoS 攻击, 包括 DDoS 放大攻击。

UPnP如何利用?

问题的来源在于通用即插即用(UPnP)协议,这个协议原本的目的是简化在本地网络上发现附近设备的过程。它能够将互联网连接转发到本地网络,把连接映射到本地。

此功能能够被用来穿透NAT,网络管理员也可以远程访问内网里的服务。

“但是,很少有路由器真的会确认内网IP,因此路由器会执行所有的转发规则,”Imperva的研究人员说。

这意味着如果攻击者设法污染端口映射表,他可以使用路由器作为代理,并且把IP重定向。

实际上利用UPnP进行攻击并不新鲜。Akamai就曾介绍过这种攻击,并把它称为UPnProxy。

UPnProxy能做什么?

Imperva表示,这项技术也可能被滥用于DDoS攻击以屏蔽放大(amplification)DDoS攻击的源端口,即反射DDoS攻击。

DDoS放大攻击需要由攻击者发送数据包并通过欺骗性IP将其发送给受害者。

在传统的DDoS放大攻击中,源端口指向的始终是放大攻击服务的端口。例如,DNS放大攻击时从DNS服务器反弹的数据包的源端口号为53,而NTP放大攻击的源端口号为123。

基于这个原理,那些抗DDoS的服务可以屏蔽指定源端口来阻止DDoS攻击。

但是如果黑客使用了UPnProxy,就可以修改端口映射表,可以把端口映射为随机,从而绕过DDoS防御服务。

后果:DDoS 放大攻击或泛滥

Imperva 公司表示已开发一款自有 PoC 脚本并已测试成功,而且复现了在实际中发现的两起 DDoS 攻击中的一种。

他们开发的 PoC 查找暴露 rootDesc.xml 文件(该文件持有端口映射配置文件)的路由器,添加隐藏源端口的自定义端口映射规则,随后发动 DDoS 放大攻击。

DDoS 放大攻击主要步骤如下:

第一步:找到一个开放的UPnP路由器

第二步:访问设备XML文件

第三步:修改端口转发规则

第四步:启动端口混淆 DNS 放大

通过2018年5月16日与14日的 SHODAN 搜索情况对比显示,暴露 rootDesc.xml 文件的路由器数量仍在增加。

而出于安全的原因,该公司并未发布该 PoC 代码。

建议大家如果没有使用的需要就把路由器的UPnP功能关闭。

云联防:全网分布式联动防御

业务快速接入云联防系统,轻松抵御各类流量攻击,实现了1+1>2的防御效果。


相关标签

人民网

0 篇新闻