新型DDoS攻击：黑客正在利用UPnP协议绕过防御

防不住了吗，关注奇速盾

据外媒 15 日报道，网络安全解决方案提供商 Imperva 披露攻击者正在利用 UPnP 协议掩盖 DDoS 攻击期间发送的网络数据包源端口，从而绕过 DDoS 缓解服务。Imperva 已发现了至少两起采用该技术的 DDoS 攻击， 包括 DDoS 放大攻击。

壹

如何利用UPnP

问题的来源在于通用即插即用（UPnP）协议，这个协议原本的目的是简化在本地网络上发现附近设备的过程。它能够将互联网连接转发到本地网络。把连接映射到本地。

此功能能够被用来穿透NAT，网络管理员也可以远程访问内网里的服务。

“但是，很少有路由器真的会确认内网IP，因此路由器会执行所有的转发规则，”Imperva的研究人员说。

这意味着如果攻击者设法污染端口映射表，他可以使用路由器作为代理，并且把IP重定向。

实际上利用UPnP进行攻击并不新鲜。Akamai就曾介绍过这种攻击，并把它称为UPnProxy。

贰

UPnProxy能做什么？

Imperva表示，这项技术也可能被滥用于DDoS攻击以屏蔽放大（amplification）DDoS攻击的源端口，即反射DDoS攻击。

DDoS放大攻击需要由攻击者发送数据包并通过欺骗性IP将其发送给受害者。

在传统的DDoS放大攻击中，源端口指向的始终是放大攻击服务的端口。例如，DNS放大攻击时从DNS服务器反弹的数据包的源端口号为53，而NTP放大攻击的源端口号为123。

基于这个原理，那些抗DDoS的服务可以屏蔽指定源端口来阻止DDoS攻击。

但是如果黑客使用了UPnProxy，就可以修改端口映射表，可以把端口映射为随机，从而绕过DDoS防御服务。

叁

DDoS 放大攻击或泛滥

Imperva 公司表示已开发一款自有 PoC 脚本并已测试成功，而且复现了在实际中发现的两起 DDoS 攻击中的一种。

他们开发的 PoC 查找暴露rootDesc.xml文件（该文件持有端口映射配置文件）的路由器，添加隐藏源端口的自定义端口映射规则，随后发动 DDoS 放大攻击。

DDoS 放大攻击主要步骤如下：

第一步：找到一个开放的UPnP路由器

第二步：访问设备XML文件

第三步：修改端口转发规则

第四步：启动端口混淆 DNS 放大

通过2018年5月16日与14日的 SHODAN 搜索情况对比显示，暴露 rootDesc.xml 文件的路由器数量仍在增加。

而出于安全的原因，该公司并未发布该 PoC 代码。

研究人员认为他们检测到的攻击使用 UPnP 协议隐藏源端口，在 DDoS 洪水攻击中利用了 DNS 和 NTP 协议。

也就是说，从攻击者选择使用的 DDoS 放大技术类型角度而言，该技术是不可知的。

使用UPnP进行DDoS可以达到显著的效果，因此如果没有意外的话会被黑客们广泛使用。超级科技网络安全研究员建议大家如果没有使用的需要就把路由器的UPnP功能关闭。

奇速盾，以分布式架构实现全面可靠的安全防护，打不死、以柔克刚。相对于重度依赖带宽资源的集中式硬件防御，具有高性能、低成本的优势。

并且可无上限地防御针对网络服务的DDoS、CC攻击等，只需在客户端一句话嵌入SDK即可实现，简单快捷。

——超级科技

QSY

· 技术大牛都在这里 ·

Hi，我是奇速盾

从现在开始

我的每一句话都是认真的

如果，你被攻击了

别打110、119、120

来这里看着就行