干貨!UPnP漏洞防御有何秘訣?
責編:admin |2014-10-24 15:59:41在當前的互聯網領域,隨著各種網絡安全事件的頻繁發生,如何做好安全防御,成為很多用戶關注的焦點。
通過暴力手段淹沒目標網絡的DDoS(分布式拒絕服務)攻擊,是能夠讓受害者無法正常處理網絡請求的一種高破壞力、高攻擊效率的大危害網絡攻擊形式。在多種表現形式中,通常我們看到的是流量擁塞和帶寬消耗。由于DDoS攻擊能夠對企業的網絡型業務造成嚴重的威脅,并且很難用傳統的辦法進行防護,儼然成為當下的一種網絡公害。
UPnP協議成DDoS攻擊幫兇
然而近日,相關機構發現不論是路由器、網絡攝像頭,還是電視,又或是媒體服務器、打印機,數以百萬計的家庭終端設備正由于普遍應用一種網絡通訊協議,而可能成為直接或間接放大DDoS攻擊流量的幫兇。這個網絡通訊協議便是我們常常使用卻不大起眼的UPnP(即插即用)協議。
據悉,UPnP設備間是通過SSDP(簡單服務發現協議)進行相互感知的,利用SOAP(簡單對象訪問協議)來獲取控制信息,并進行信息反饋。可是隨著UPnP通信方案在終端設備間的大量濫用,令攻擊者能夠方便直接地獲得巨大的攻擊流量,來阻礙目標企業的正常網絡服務。
超過400萬設備易被DDoS攻擊利用
研究機構發現自從今年7月以來,就有利用家庭終端設備進行DDoS攻擊的證據,目前這種情況正不斷增加,并有向常態化發展的趨勢。據該機構調查顯示,有410萬臺面向互聯網的UPnP設備,可以被DDoS攻擊利用進行流量反射。
在實驗室實驗中,研究人員模擬了一個小規模的DDoS攻擊,在獲取了易受攻擊的設備列表后,他們從攻擊者處收到了偽裝成目標IP地址的惡意請求。在攻擊過程中,這些終端設備都被利用,像攻擊目標發送、反饋了像描述文件似的文件。而如果攻擊者一旦獲得由足夠的設備響應,則為展開一次真正的DDoS攻擊創造了條件。
Python腳本被用于SSDP掃描和攻擊
上述易受攻擊的終端設備,均是通過使用SSDP協議對端口1900進行掃描而獲得的。研究人員發現網絡犯罪分子可以依靠一個Python腳本(ssdpscanner.py)來確定反射器。而該操作是由為大規模掃描提供某一范圍內的IP地址展開的。
另一個Python腳本(ssdpattack.py)則可被用于運行攻擊。它是一個不同版本的掃描工具,其中包括數據包級別的假冒IP源,它實現了反射流量的攻擊。而該工具被設計為一旦啟動直到通過手動終止,才能停止運行,危害性較大。
什么是UPnP協議?
UPnP這個概念是從即插即用(Plug-and-play),即熱拔插技術中派生而來的。UPnP協議簡化了家庭網絡和企業局域網中各種設備連接,使內網中任意兩個設備能互相通信,而不需要特別配置。
UPnP協議
UPnP協議的目標是使家庭網絡(數據共享、通信和娛樂)和公司網絡中的各種設備能夠相互無縫連接,并簡化相關網絡的實現。UPnP通過定義和發布基于開放、因特網通訊網協議標準的UPnP設備控制協議來實現這一目標。
如何應對防御UPnP漏洞
對于UPnP安全漏洞來說,因為很多網絡設備出廠時都是默認開啟這個即插即用功能的,因此我們需要手動關閉UPnP功能。以無線路由器為例,需要進入到它的Web配置界面里進行調整。
一般路由器的UPnP功能可在“高級”選項中找到,用戶只需將勾中的選項去除即可。
一般路由器的UPnP功能為默認開啟,建議關閉該功能。