攻击者如何利用UPnP协议?利用UPnProxy技术发起DDoS攻击
5月16日讯 网络安全解决方案提供商 imperva 5月14日发布报告披露,攻击者正在利用 upnp 协议掩盖 ddos 攻击期间发送的网络数据包源端口,从而绕过 ddos 缓解服务。imperva 已发现了至少两起采用该技术的 ddos 攻击, 包括 ddos 放大攻击。
攻击者如何利用upnp协议?
问题的核心在于 upnp 协议是针对智能家电、无线设备以及个人电脑的普遍点对点(peer-to-peer,p2p)网络连接而设计的一种架构。该协议旨在简化在本地网络上发现附近设备的过程。
upnp 协议的其中一项功能是能够将连接从互联网转发到本地网络,将传入的互联网 ip:port 连接映射到本地 ip:port 服务。upnp 允许 nat 遍历,并允许网络管理员和远程用户访问仅能在内部网络上访问的服务。
imperva 公司研究人员指出,实际上,很少有路由器会验证提供的内部 ip,并遵守所有转发规则。这意味着,攻击者可设法感染端口映射表,将路由器作为代理,并将传入的互联网 ip 重定向至其它互联网 ip。
这种攻击场景并不新颖。akamai 公司2018年4月就详细描述了这种技术,该公司将其称之为 upnproxy,并披露称,发现僵尸网络和国家支持型网络间谍组织将家用路由器作为代理反弹并隐藏恶意流量。
利用upnproxy技术发起ddos攻击
imperva 公司表示,攻击者还可滥用 upnproxy 技术发起 ddos 攻击,从而掩盖 ddos 放大攻击的源端口。
在传统的 ddos 放大攻击中,攻击者会从远程服务器反弹恶意数据包,并通过欺骗 ip 将其发送给受害者,源端口始终是放大攻击的服务端口。这样一来,ddos 缓解服务便可以阻止所有具有特定源端口的传入数据包,从而检测并阻止放大攻击。但是,攻击者可借助 upnproxy 修改路由器的端口映射表,并用来掩盖 ddos 攻击的源端口,这就意味着这些攻击来自随机的端口,从易受攻击的服务器反弹,并攻击受害者。
ddos 放大攻击或泛滥
imperva 表示已发现了至少两起采用该技术的 ddos 攻击,并且也通过其内部 开发出的 poc 脚本成功进行了测试。该 poc 代码通过搜索暴露其rootdesc.xml文件的路由器(其中包含端口映射配置),添加了隐藏源端口的自定义端口映射规则,随后发起了 ddos 放大攻击。ddos 放大攻击主要步骤如下:
第一步:找到一个开放的upnp路由器
第二步:访问设备xml文件
第三步:修改端口转发规则
第四步:启动端口混淆 dns 放大
通过2018年5月16日与14日的 shodan 搜索情况对比显示,暴露 rootdesc.xml 文件的路由器数量仍在增加。
关于暴露rootdesc.xml 文件的路由器数量变化
出于安全的考虑,该公司未公开 poc 代码。随着时间的推移,这种技术将变得越来越流行。研究人员建议路由器所有者禁用 upnp 功能。
imperva 公司指出,通过掩盖传入网络数据包的源端口,依赖这类信息阻止攻击的老旧 ddos 缓解系统需升级到依赖深度包检测(dpi)技术的复杂解决方案。
微软应用商店已经发布PowerShell 7.1
浅谈汽车应用中网络安全的挑战
铝线焊线机超声波驱动焊接电源发生器
工业作业场所选择便携式气体检测仪的优势是什么
CAV全尺寸检测、三维扫描汽车轮毂尺寸检测应用案例
攻击者如何利用UPnP协议?利用UPnProxy技术发起DDoS攻击
STM32:Step1工具安装
2020年第三季度AirPods销量下降,小米占据13%的市场份额
HTC 新款智能手机Desire 21 Pro配置规格曝光
搭建无线监控系统时有什么省钱的技巧吗
百望云携手兰格集团签订战略合作协议 赋能钢铁行业数字化变革
东元伺服电机 东元电机怎么样
浅析高频与射频信号及视频压缩的编码
烟花爆竹生产环境监测解决方案的详细说明
韩国LG U+将推出5G虚拟现实游戏的云服务
5G与数据中心带来的光模块需求增量来自哪里?
青海正式迈入“互联网+”时代,首家“互联网E时代”充电站落户海北原子城
中银航空租赁宣布交付首架波音737 MAX 9型飞机予最新客户
爱立信提出了一项拟定5G网络国家计划的提案
AMD嵌入式处理器被IGT选定用于新款“CrystalCurve ULTRA”游戏机
攻击者如何利用upnp协议?
问题的核心在于 upnp 协议是针对智能家电、无线设备以及个人电脑的普遍点对点(peer-to-peer,p2p)网络连接而设计的一种架构。该协议旨在简化在本地网络上发现附近设备的过程。
upnp 协议的其中一项功能是能够将连接从互联网转发到本地网络,将传入的互联网 ip:port 连接映射到本地 ip:port 服务。upnp 允许 nat 遍历,并允许网络管理员和远程用户访问仅能在内部网络上访问的服务。
imperva 公司研究人员指出,实际上,很少有路由器会验证提供的内部 ip,并遵守所有转发规则。这意味着,攻击者可设法感染端口映射表,将路由器作为代理,并将传入的互联网 ip 重定向至其它互联网 ip。
这种攻击场景并不新颖。akamai 公司2018年4月就详细描述了这种技术,该公司将其称之为 upnproxy,并披露称,发现僵尸网络和国家支持型网络间谍组织将家用路由器作为代理反弹并隐藏恶意流量。
利用upnproxy技术发起ddos攻击
imperva 公司表示,攻击者还可滥用 upnproxy 技术发起 ddos 攻击,从而掩盖 ddos 放大攻击的源端口。
在传统的 ddos 放大攻击中,攻击者会从远程服务器反弹恶意数据包,并通过欺骗 ip 将其发送给受害者,源端口始终是放大攻击的服务端口。这样一来,ddos 缓解服务便可以阻止所有具有特定源端口的传入数据包,从而检测并阻止放大攻击。但是,攻击者可借助 upnproxy 修改路由器的端口映射表,并用来掩盖 ddos 攻击的源端口,这就意味着这些攻击来自随机的端口,从易受攻击的服务器反弹,并攻击受害者。
ddos 放大攻击或泛滥
imperva 表示已发现了至少两起采用该技术的 ddos 攻击,并且也通过其内部 开发出的 poc 脚本成功进行了测试。该 poc 代码通过搜索暴露其rootdesc.xml文件的路由器(其中包含端口映射配置),添加了隐藏源端口的自定义端口映射规则,随后发起了 ddos 放大攻击。ddos 放大攻击主要步骤如下:
第一步:找到一个开放的upnp路由器
第二步:访问设备xml文件
第三步:修改端口转发规则
第四步:启动端口混淆 dns 放大
通过2018年5月16日与14日的 shodan 搜索情况对比显示,暴露 rootdesc.xml 文件的路由器数量仍在增加。
关于暴露rootdesc.xml 文件的路由器数量变化
出于安全的考虑,该公司未公开 poc 代码。随着时间的推移,这种技术将变得越来越流行。研究人员建议路由器所有者禁用 upnp 功能。
imperva 公司指出,通过掩盖传入网络数据包的源端口,依赖这类信息阻止攻击的老旧 ddos 缓解系统需升级到依赖深度包检测(dpi)技术的复杂解决方案。
微软应用商店已经发布PowerShell 7.1
浅谈汽车应用中网络安全的挑战
铝线焊线机超声波驱动焊接电源发生器
工业作业场所选择便携式气体检测仪的优势是什么
CAV全尺寸检测、三维扫描汽车轮毂尺寸检测应用案例
攻击者如何利用UPnP协议?利用UPnProxy技术发起DDoS攻击
STM32:Step1工具安装
2020年第三季度AirPods销量下降,小米占据13%的市场份额
HTC 新款智能手机Desire 21 Pro配置规格曝光
搭建无线监控系统时有什么省钱的技巧吗
百望云携手兰格集团签订战略合作协议 赋能钢铁行业数字化变革
东元伺服电机 东元电机怎么样
浅析高频与射频信号及视频压缩的编码
烟花爆竹生产环境监测解决方案的详细说明
韩国LG U+将推出5G虚拟现实游戏的云服务
5G与数据中心带来的光模块需求增量来自哪里?
青海正式迈入“互联网+”时代,首家“互联网E时代”充电站落户海北原子城
中银航空租赁宣布交付首架波音737 MAX 9型飞机予最新客户
爱立信提出了一项拟定5G网络国家计划的提案
AMD嵌入式处理器被IGT选定用于新款“CrystalCurve ULTRA”游戏机