近日,Canthink网络安全攻防实验室发现,攻击者正在尝试采用UPnP协议(the Universal Plug and Play
据悉,UPnP协议旨在简化在本地网络上发现附近设备的过程,它能够将互联网连接转发至本地网络。它通过将 传入(Internet)IP:端口连接 映射到 本地IP:端口服务 来完成此操作。此功能允许NAT traversal穿越,但也可让用户远程访问内部网络。
对此,Canthink安全研究员表示,这需要基于深度包检测(DPI)的更为复杂的解决方案,成本更高、速度更慢。
UPnProxy技术被DDoS攻击采用
这项技术也可能被滥用于DDoS攻击以屏蔽放大(amplification)DDoS攻击的源端口,即反射DDoS攻击。
传统的放大DDoS攻击是
但使用UPnProxy后,攻击者可以修改易受攻击的路由器的端口映射表,并用它们来屏蔽DDoS攻击的源端口,使其源自随机端口,能从易受攻击的服务器上弹出,并击中DDoS攻击的受害者。
UPnP DDoS攻击与伪造的源端口
此外,Canthink网络安全攻防实验室还开发了一个内部的概念验证脚本,成功测试并重现了其中一个DDoS攻击:PoC代码搜索暴露其rootDesc.xml文件的路由器(其中包含端口映射配置),添加了隐藏源端口的自定义端口映射规则,然后发起了DDoS放大攻击。
毋庸置疑,这项技术将变得越来越流行。就像UPnProxy漏洞一样,Canthink研究员建议路由器所有者最好禁用UPnP支持。