SSDP(Simple Service Discovery Protocol,简单服务发现协议)是一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一。它主要用于小型网络(包括家庭网络)中,用于宣传和发现主要由通用即插即用(UPnP)架构支持的网络服务。
SSDP协议提供了在局部网络里面发现设备的机制。控制点(即接受服务的客户端)可以通过使用SSDP,根据自己的需要查询在自己所在的局部网络里面提供特定服务的设备。设备(即提供服务的服务器端)也可以通过使用SSDP,向自己所在的局部网络里面的控制点宣告它的存在。
SSDP协议是在HTTPU和HTTPMU的基础上实现的,它使用UDP数据报交换消息。当设备接入网络的时候,它会向一个特定的多播地址的SSDP端口发送“ssdp:alive”消息,以宣告其存在。控制点则可以向该多播地址发送“ssdp:discover”消息,以搜索网络中的设备。如果设备提供了控制点请求的服务,它将通过单播的方式直接响应控制点的请求。
此外,SSDP协议还规定了存放在XML文件中的信息格式,以便在网络服务描述中提供必要的信息。
SSDP协议的一个典型应用场景是家庭智能设备的互联,它允许智能设备在局域网内自动发现和交互。此外,在网络应用如BitTorrent、eMule、IPFS、Ethereum等使用P2P技术的软件中,SSDP协议也能自动地把它们侦听的端口号映射到公网地址上,使得公网上的用户也能对当前的NAT内网主机直接发起连接。
什么是 SSDP DDOS攻击?
简单服务发现协议 (SSDP) 攻击是一种基于反射的分布式拒绝服务 (DDoS) 攻击,它利用通用即插即用 (UPnP) 网络协议将放大的流量发送给目标受害者,使目标的基础设施不堪重负并使它们的 Web 资源脱机。
SSDP DDOS攻击的工作原理
在正常情况下,SSDP 协议用于允许 UPnP 设备向网络上的其他设备广播其存在。例如,当 UPnP 打印机连接到典型网络时,在它收到 IP 地址之后,该打印机能够通过将消息发送到称为多播地址的特殊 IP地址,以向网络上的计算机通告其服务。然后,多播地址将新打印机的存在告知网络上的所有计算机。一旦计算机收到有关打印机的发现消息,它就会向打印机发出请求,要求打印机完整描述其服务。然后,打印机将发出其提供的所有内容的完整列表来直接响应该计算机。SSDP 攻击通过要求设备响应目标受害者来利用最终步骤的服务请求。
下面是典型的 SSDP DDoS 攻击的 6 个步骤:
- 首先,攻击者进行扫描,寻找可以用作放大因子的即插即用设备。
- 攻击者发现联网设备后,创建所有发出响应的设备的列表。
- 攻击者使用目标受害者的欺骗性 IP 地址创建 UDP 数据包。
- 然后,攻击者使用僵尸网络通过设置某些标志(比如 ssdp:rootdevice 或 ssdp:all),向每个即插即用设备发送一个欺骗性发现数据包,并请求尽可能多的数据。
- 结果,每个设备都会向目标受害者发送回复,其数据量最多达到攻击者请求的 30 倍。
- 然后,目标从所有设备接收大量流量,因此不堪重负,可能导致对正常流量拒绝服务。
如何防护 SSDP 攻击?
- 更新和升级网络设备的固件和软件:确保你的网络设备固件和软件是最新的,以便修复已知的安全漏洞和缺陷,提高设备的安全性。
- 限制对SSDP服务器的访问权限:只允许必要的网络设备进行访问SSDP服务器,减少潜在的攻击面。通过配置网络访问控制列表(ACL)或防火墙规则来实现这一点。
- 使用防火墙来过滤和监控SSDP流量:配置防火墙以监控和过滤SSDP流量,及时发现和阻止异常请求。你可以设置防火墙规则来限制SSDP协议的使用,并阻止来自不受信任源的SSDP请求。
- 配置网络设备以限制SSDP响应的大小:通过配置网络设备,限制SSDP响应的大小,防止放大攻击。这可以通过设置响应消息的最大长度或限制返回给特定请求的响应数量来实现。
- 禁用不必要的SSDP功能:如果你的网络设备提供了SSDP功能,但你的网络环境中并不需要它,那么最好禁用该功能。这样可以减少潜在的攻击面,并提高网络的安全性。
- 定期检查和更新安全策略:定期检查和更新你的网络安全策略,确保你的防护措施与最新的安全威胁和攻击模式保持同步。这包括定期评估你的网络设备配置、访问控制列表和防火墙规则等。
- 加强网络监控和日志记录:加强网络监控和日志记录,以便及时发现和响应潜在的SSDP攻击。你可以使用网络监控工具来监控SSDP流量,并使用日志记录工具来记录所有与SSDP相关的活动。
6215
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
