freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

DDoS放大攻击新手段:利用UPnP协议绕过防御
2018-05-16 19:55:25
所属地 上海

DDoS.jpg

研究人员发现,黑客现在采用新的手段来对抗反DDoS方案。黑客会使用通用即插即用(UPnP)协议来掩盖网络数据包的源端口。

DDoS解决方案公司Imperva表示,它发现至少有两次DDoS攻击用到了这种技术。

如何利用UPnP

UPnP-DDoS.png

UPnP-DDoS-source-port.png

问题的来源在于通用即插即用(UPnP)协议,这个协议原本的目的是简化在本地网络上发现附近设备的过程。

UPnP协议的特点是它能够将互联网连接转发到本地网络。把连接映射到本地。

此功能能够被用来穿透NAT,网络管理员也可以远程访问内网里的服务。

“但是,很少有路由器真的会确认内网IP,因此路由器会执行所有的转发规则,”Imperva的研究人员说。

这意味着如果攻击者设法污染端口映射表,他可以使用路由器作为代理,并且把IP重定向。

实际上利用UPnP进行攻击并不新鲜。Akamai就曾介绍过这种攻击,并把它称为UPnProxy。

UPnProxy能做什么?

Imperva表示,这个技术也被用于进行DDoS攻击,目的是掩盖DDoS放大攻击(也被称为反射攻击)的源端口。

DDoS放大攻击需要由攻击者发送数据包并通过欺骗性IP将其发送给受害者。

在传统的DDoS放大攻击中,源端口指向的始终是放大攻击服务的端口。例如,DNS放大攻击时从DNS服务器反弹的数据包的源端口号为53,而NTP放大攻击的源端口号为123。

基于这个原理,那些抗DDoS的服务可以屏蔽指定源端口来阻止DDoS攻击。

但是如果黑客使用了UPnProxy,就可以修改端口映射表,可以把端口映射为随机,从而绕过DDoS防御服务。

Imperva表示,它开发了一个PoC脚本,成功测试复现了他们发现的DDoS攻击。

这段PoC代码会寻找那些暴露rootDesc.xml文件的路由器,这个文件包含端口映射配置,脚本会添加隐藏源端口的自定义端口映射规则,然后发起DDoS放大攻击。

使用UPnP进行DDoS可以达到显著的效果,因此如果没有意外的话会被黑客们广泛使用。建议大家如果没有使用的需要就把路由器的UPnP功能关闭。

* 参考来源:BleepingComputer,作者Sphinx,转载注明来自FreeBuf.COM

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者