新型DDoS攻擊：黑客正在利用UPnP協議繞過防禦

防不住了嗎，關注奇速盾

GIF

據外媒 15 日報道，網路安全解決方案提供商 Imperva 披露攻擊者正在利用 UPnP 協議掩蓋 DDoS 攻擊期間發送的網路數據包源埠，從而繞過 DDoS 緩解服務。Imperva 已發現了至少兩起採用該技術的 DDoS 攻擊， 包括 DDoS 放大攻擊。

壹

如何利用UPnP

問題的來源在於通用即插即用（UPnP）協議，這個協議原本的目的是簡化在本地網路上發現附近設備的過程。它能夠將互聯網連接轉發到本地網路。把連接映射到本地。

此功能能夠被用來穿透NAT，網路管理員也可以遠程訪問內網裡的服務。

「但是，很少有路由器真的會確認內網IP，因此路由器會執行所有的轉發規則，」Imperva的研究人員說。

這意味著如果攻擊者設法污染埠映射表，他可以使用路由器作為代理，並且把IP重定向。

實際上利用UPnP進行攻擊並不新鮮。Akamai就曾介紹過這種攻擊，並把它稱為UPnProxy。

貳

UPnProxy能做什麼？

Imperva表示，這項技術也可能被濫用於DDoS攻擊以屏蔽放大（amplification）DDoS攻擊的源埠，即反射DDoS攻擊。

DDoS放大攻擊需要由攻擊者發送數據包並通過欺騙性IP將其發送給受害者。

在傳統的DDoS放大攻擊中，源埠指向的始終是放大攻擊服務的埠。例如，DNS放大攻擊時從DNS伺服器反彈的數據包的源埠號為53，而NTP放大攻擊的源埠號為123。

基於這個原理，那些抗DDoS的服務可以屏蔽指定源埠來阻止DDoS攻擊。

但是如果黑客使用了UPnProxy，就可以修改埠映射表，可以把埠映射為隨機，從而繞過DDoS防禦服務。

叄

DDoS 放大攻擊或泛濫

Imperva 公司表示已開發一款自有 PoC 腳本並已測試成功，而且復現了在實際中發現的兩起 DDoS 攻擊中的一種。

他們開發的 PoC 查找暴露rootDesc.xml文件（該文件持有埠映射配置文件）的路由器，添加隱藏源埠的自定義埠映射規則，隨後發動 DDoS 放大攻擊。

DDoS 放大攻擊主要步驟如下：

第一步：找到一個開放的UPnP路由器

第二步：訪問設備XML文件

第三步：修改埠轉發規則

第四步：啟動埠混淆 DNS 放大

通過2018年5月16日與14日的 SHODAN 搜索情況對比顯示，暴露 rootDesc.xml 文件的路由器數量仍在增加。

而出於安全的原因，該公司並未發布該 PoC 代碼。

研究人員認為他們檢測到的攻擊使用 UPnP 協議隱藏源埠，在 DDoS 洪水攻擊中利用了 DNS 和 NTP 協議。

也就是說，從攻擊者選擇使用的 DDoS 放大技術類型角度而言，該技術是不可知的。

使用UPnP進行DDoS可以達到顯著的效果，因此如果沒有意外的話會被黑客們廣泛使用。超級科技網路安全研究員建議大家如果沒有使用的需要就把路由器的UPnP功能關閉。

奇速盾，以分散式架構實現全面可靠的安全防護，打不死、以柔克剛。相對於重度依賴帶寬資源的集中式硬體防禦，具有高性能、低成本的優勢。

並且可無上限地防禦針對網路服務的DDoS、CC攻擊等，只需在客戶端一句話嵌入SDK即可實現，簡單快捷。

——超級科技

QSY

· 技術大牛都在這裡 ·

Hi，我是奇速盾

從現在開始

我的每一句話都是認真的

如果，你被攻擊了

別打110、119、120

來這裡看著就行

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！