攻擊者利用UPnP協議來逃避DDoS緩解服務

近日，據外媒報道稱，攻擊者正在嘗試採用UPnP（Universal Plug and Play，通用即插即用，基於TCP/IP協議和針對設備彼此間通訊而制訂的新Internet協議）協議來屏蔽DDoS泛洪期間發送的網路數據包源埠，從而繞過DDoS緩解服務。

在本周一（5月14日）發布的一份報告中，DDoS緩解公司Imperva表示，其已經發現了至少兩起採用該技術的DDoS攻擊活動。

Imperva公司表示，通過屏蔽傳入網路數據包的源埠，依賴讀取此類信息來阻止攻擊的老舊DDoS緩解系統需要更新升級到更為複雜的新版本，其依賴於深度包檢測（DPI）技術，是一種成本更高但速度更慢的解決方案。

攻擊者如何利用UPnP協議？

問題的核心在於通用即插即用（UPnP）協議旨在簡化在本地網路上發現附近設備的過程。該協議的其中一個功能是能夠將連接從互聯網轉發到本地網路。它通過將傳入的互聯網IP：port連接映射到本地IP：port服務。該功能允許NAT遍歷，同時還允許網路管理員和遠程用戶訪問僅在內部網路上可用的服務。

Imperva公司研究人員表示，事實上，很少有路由器真的會去驗證提供的內部IP，並遵守所有的轉發規則。這就意味著，如果攻擊者設法感染埠映射表，他可以使用路由器作為代理，並將傳入的互聯網IP重定向到其它互聯網IP中。

這種類型的攻擊場景其實並不新鮮。Akamai公司曾於上個月就詳細介紹過這種技術——「UPnProxy」，該公司還披露稱，發現殭屍網路和國家支持型網路間諜組織正在使用家用路由器作為代理，來反彈並隱藏惡意流量。

將UPnProxy技術用於DDoS攻擊

Imperva公司進一步介紹稱，同樣的技術也可能被濫用於發起DDoS攻擊，其目的是屏蔽DDoS放大攻擊（也被稱為反射DDoS攻擊）的源埠。

典型的DDoS放大攻擊依賴於攻擊者將遠程伺服器上的惡意數據包彈出，並通過欺騙性IP將其發送給受害者。在這種攻擊類型中，源埠始終是放大攻擊的服務埠。例如，在DNS放大攻擊期間，從DNS伺服器反彈的數據包的源埠為53，而NTP放大攻擊的源埠為123。

這樣一來，DDoS緩解服務便可以通過阻止所有具有特定源埠的傳入數據包，來檢測並阻止放大攻擊。

但是，藉助UPnProxy技術，攻擊者便可以修改脆弱的路由器的埠映射表，並用它們來屏蔽DDoS攻擊的源埠，這就意味著，這些攻擊來自隨機埠，從易受攻擊的伺服器上彈出，並擊中DDoS攻擊的受害者。

DDoS放大攻擊在野案例

Imperva公司表示，其已經發現了至少兩起採用該技術的DDoS攻擊活動，且已經利用自身開發的概念驗證（POC）腳本成功進行了測試。

該PoC代碼通過搜索暴露其rootDesc.xml文件的路由器（其中包含埠映射配置），添加了隱藏源埠的自定義埠映射規則，然後發起了DDoS放大攻擊。不過，出於對安全因素的考慮，該公司暫未公開PoC代碼。

Imperva公司安全團隊表示，

我們希望這些調查結果能夠幫助DDoS緩解服務行業，在攻擊變得更為複雜且不可預測之前，做好防禦準備。同時，我們也希望這份研究報告能夠提升業界對於UPnP相關安全威脅的重視，幫助物聯網製造商和分銷商樹立安全意識。

毫無疑問，隨著時間的推移，這項技術將變得越來越流行。最後，研究人員建議路由器所有者可以通過禁用UPnP功能來緩解威脅。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！