近日,Canthink網絡安全攻防實驗室發現,攻擊者正在嘗試採用UPnP協議(the Universal Plug and Play protocol)來屏蔽DDoS氾濫期間發送的網絡數據包的源端口,從而繞過那些針對DDoS的解決方案。
據悉,UPnP協議旨在簡化在本地網絡上發現附近設備的過程,它能夠將互聯網連接轉發至本地網絡。它通過將 傳入(Internet)IP:端口連接 映射到 本地IP:端口服務 來完成此操作。此功能允許NAT traversal穿越,但也可讓用戶遠程訪問內部網絡。
對此,Canthink安全研究員表示,這需要基於深度包檢測(DPI)的更為複雜的解決方案,成本更高、速度更慢。且一旦攻擊者設法感染端口映射表,就能夠以路由器為代理,將傳入的Internet IP重定向到其他Internet IP,此項技術 被稱為UPnProxy 。
UPnProxy技術被DDoS攻擊採用
這項技術也可能被濫用於DDoS攻擊以屏蔽放大(amplification)DDoS攻擊的源端口,即反射DDoS攻擊。
傳統的放大DDoS攻擊是將遠程服務器上的惡意數據包彈出並通過欺騙性IP將其發送給受害者,而源端口始終是放大攻擊的服務端口。例如,DNS放大攻擊期間從DNS服務器反彈的數據包的源端口號為53,而NTP放大攻擊的源端口號為123。這使得DDoS緩解服務可以通過阻止所有具有特定源端口的傳入數據包來檢測和阻止放大攻擊。
但使用UPnProxy後,攻擊者可以修改易受攻擊的路由器的端口映射表,並用它們來屏蔽DDoS攻擊的源端口,使其源自隨機端口,能從易受攻擊的服務器上彈出,並擊中DDoS攻擊的受害者。
UPnP DDoS攻擊與偽造的源端口
此外,Canthink網絡安全攻防實驗室還開發了一個內部的概念驗證腳本,成功測試並重現了其中一個DDoS攻擊:PoC代碼搜索暴露其rootDesc.xml文件的路由器(其中包含端口映射配置),添加了隱藏源端口的自定義端口映射規則,然後發起了DDoS放大攻擊。
毋庸置疑,這項技術將變得越來越流行。就像UPnProxy漏洞一樣,Canthink研究員建議路由器所有者最好禁用UPnP支持。
閱讀更多 網絡安全焦點 的文章
