今天,依旧严重威胁着政府、企业网络安全的分布式拒绝服务(DDoS)攻击仍然是当前黑客们最喜欢使用,并且又十分廉价、有效的一种网络攻击形式。根据相关机构提供的数据显示,在过去三个季度内,DDoS攻击量同比增长了一倍。2015年第二季度,最大规模的DDoS攻击峰值流量再次超过了240Gbps,持续了13个小时以上,可以说其带来的威胁每个季度都在不断增加。
UPnP设备变身DDoS攻击帮凶
由于DDoS攻击能够对企业的网络型业务造成严重的威胁,并且很难用传统的办法进行防护,已成为时下的一种网络公害。其中,流量拥塞和带宽消耗是目标网络遭受攻击后较为常见的。
从国际CDN公司Akamai公布的数据中发现,2015年第二季度有12起DDoS攻击的峰值流量超过了100Gbps,5起攻击的包转发率峰值超过了50Mpps。而只有极少数的企业能够以一己之力承受住这样的攻击。
同时,还发现了其Prolexic Routed网络中再次记录到包转发率最高的一次攻击,峰值达到了214Mpps。而这种规模的攻击足以摧毁一级路由器,包括令网络运营商部署的核心路由器陷入瘫痪。
然而令人吃惊的是,黑客已经开始利用支持UPnP(通用即插即用)协议的设备来直接或间接放大DDoS攻击流量。随着采用UPnP协议的不安全家庭联网设备不断激增,这些设备常被黑客当作SSDP(SYN与简单服务发现协议)反射器,来持续发起攻击。据悉,SSDP是本季度最常见的DDoS攻击向量,占到DDoS攻击流量的16%左右。
UPnP设备间通过SSDP进行相互感知的,利用SOAP(简单对象访问协议)来获取控制信息,并进行信息反馈。可是随着UPnP通信方案在终端设备间的大量滥用,令攻击者能够方便直接地获得巨大的攻击流量,来阻碍目标企业的正常网络服务。
解析UPnP协议
UPnP(Universal Plug and Play,简称UPnP)是从即插即用(Plug-and-play),一种热拔插技术中衍生出来的。UPnP协议允许PC间的点对点连接、网际互连和无线设备。它是一种基于TCP/IP、UDP和HTTP的分布式、开放体系。因此,该协议简化了家庭网络和企业局域网中各种设备连接,使内网中任意两个设备能互相通信,而不需要特别配置。
支持UPnP协议设备间功能
UPnP协议的目标是使家庭网络(数据共享、通信和娱乐)和公司网络中的各种设备能够相互无缝连接,并简化相关网络的实现。UPnP通过定义和发布基于开放、因特网通讯网协议标准的UPnP设备控制协议来实现这一目标。
在实验室实验中,研究人员通过UPnP设备模拟了一次小规模的DDoS攻击,在获取了易受攻击的设备列表后,他们从攻击者处收到了伪装成目标IP地址的恶意请求。在攻击过程中,UPnP终端设备都被利用,像攻击目标发送、反馈了像描述文件似的文件。而如果攻击者一旦获得足够多的UPnP设备响应,就会为一次真正意义上的DDoS攻击创造了条件。