可模糊源端口數據的新型DDoS攻擊方法

最近的分佈式拒絕服務(DDoS)攻擊展示經過模糊源端口數據繞過現有防護機制的新特性。

網絡安全解決方案提供商Imperva稱，除了常見的放大攻擊方法，新觀測到的攻擊使用了DDoS防護者沒想到的很是規源端口數據。該攻擊方法利用的是著名的UPnP（通用即插即用）協議漏洞。

UPnP協議容許經過 UDP 1900 端口發現設備，並容許使用任意TCP端口進行設備控制。所以，不少IoT設備都用該協議在局域網(LAN)上相互發現並通訊。

然而，開放遠程訪問的設備默認設置、身份驗證機制的缺少，以及UPnP遠程代碼執行漏洞，令該協議構成了安全風險。

UPnP相關漏洞早在20年前就被安全研究人員披露了，除此以外，簡單對象訪問協議(SOAP) API調用也可用於經過廣域網(WAN)遠程重配置不安全設備。控制端口轉發規則的AddPortMapping指令一樣能經 SOAP API 調用遠程執行。

2018年4月11日，Imperva在緩解某簡單服務發現協議(SSDP)放大攻擊時，注意到某些攻擊載荷不是來自UDP/1900，而是來自一個非預期的源端口。幾周後的另外一個攻擊中，一樣的方法再次出現。

Imperva稱：「對這些事件的調查，讓咱們構建出集成了UPnP的攻擊方法的概念驗證代碼(PoC)，可被用於模糊任意放大攻擊載荷的源端口信息。」

想要使用該PoC執行DNS放大攻擊，先得利用Shodan之類公開在線服務執行大範圍SSDP掃描，找出開放UPnP路由器。

此類掃描能掃出130多萬臺此類設備，固然，不是所有設備都帶有相應漏洞。但定位出一臺可利用的脆弱設備依然至關容易，由於能夠用腳本自動化該過程。

接下來，攻擊者須要經過HTTP訪問該設備的XML文件(rootDesc.xml)，用Shodan中的真實設備IP替換掉‘Location’ IP就行。