智安网络讯:据外媒 15 日报道,网络安全解决方案提供商 Imperva 披露攻击者正在利用 UPnP 协议掩盖 DDoS 攻击期间发送的网络数据包源端口,从而绕过 DDoS 缓解服务。Imperva 已发现了至少两起采用该技术的 DDoS 攻击, 包括 DDoS 放大攻击。
问题的来源在于通用即插即用(UPnP)协议,这个协议原本的目的是简化在本地网络上发现附近设备的过程。它能够将互联网连接转发到本地网络,把连接映射到本地。
此功能能够被用来穿透NAT,网络管理员也可以远程访问内网里的服务。
“但是,很少有路由器真的会确认内网IP,因此路由器会执行所有的转发规则,”Imperva的研究人员说。
这意味着如果攻击者设法污染端口映射表,他可以使用路由器作为代理,并且把IP重定向。
实际上利用UPnP进行攻击并不新鲜。Akamai就曾介绍过这种攻击,并把它称为UPnProxy。
Imperva表示,这项技术也可能被滥用于DDoS攻击以屏蔽放大(amplification)DDoS攻击的源端口,即反射DDoS攻击。
DDoS放大攻击需要由攻击者发送数据包并通过欺骗性IP将其发送给受害者。
在传统的DDoS放大攻击中,源端口指向的始终是放大攻击服务的端口。例如,DNS放大攻击时从DNS服务器反弹的数据包的源端口号为53,而NTP放大攻击的源端口号为123。
基于这个原理,那些抗DDoS的服务可以屏蔽指定源端口来阻止DDoS攻击。
但是如果黑客使用了UPnProxy,就可以修改端口映射表,可以把端口映射为随机,从而绕过DDoS防御服务。
Imperva 公司表示已开发一款自有 PoC 脚本并已测试成功,而且复现了在实际中发现的两起 DDoS 攻击中的一种。
他们开发的 PoC 查找暴露 rootDesc.xml 文件(该文件持有端口映射配置文件)的路由器,添加隐藏源端口的自定义端口映射规则,随后发动 DDoS 放大攻击。
DDoS 放大攻击主要步骤如下:
第一步:找到一个开放的UPnP路由器
第二步:访问设备XML文件
第三步:修改端口转发规则
第四步:启动端口混淆 DNS 放大
通过2018年5月16日与14日的 SHODAN 搜索情况对比显示,暴露 rootDesc.xml 文件的路由器数量仍在增加。
而出于安全的原因,该公司并未发布该 PoC 代码。
建议大家如果没有使用的需要就把路由器的UPnP功能关闭。
业务快速接入云联防系统,轻松抵御各类流量攻击,实现了1+1>2的防御效果。