在當(dāng)前的互聯(lián)網(wǎng)領(lǐng)域，隨著各種網(wǎng)絡(luò)安全事件的頻繁發(fā)生，如何做好安全防御，成為很多用戶關(guān)注的焦點(diǎn)。

通過暴力手段淹沒目標(biāo)網(wǎng)絡(luò)的DDoS（分布式拒絕服務(wù)）攻擊，是能夠讓受害者無法正常處理網(wǎng)絡(luò)請(qǐng)求的一種高破壞力、高攻擊效率的大危害網(wǎng)絡(luò)攻擊形式。在多種表現(xiàn)形式中，通常我們看到的是流量擁塞和帶寬消耗。由于DDoS攻擊能夠?qū)ζ髽I(yè)的網(wǎng)絡(luò)型業(yè)務(wù)造成嚴(yán)重的威脅，并且很難用傳統(tǒng)的辦法進(jìn)行防護(hù)，儼然成為當(dāng)下的一種網(wǎng)絡(luò)公害。

UPnP協(xié)議成DDoS攻擊幫兇

然而近日，相關(guān)機(jī)構(gòu)發(fā)現(xiàn)不論是路由器、網(wǎng)絡(luò)攝像頭，還是電視，又或是媒體服務(wù)器、打印機(jī)，數(shù)以百萬計(jì)的家庭終端設(shè)備正由于普遍應(yīng)用一種網(wǎng)絡(luò)通訊協(xié)議，而可能成為直接或間接放大DDoS攻擊流量的幫兇。這個(gè)網(wǎng)絡(luò)通訊協(xié)議便是我們常常使用卻不大起眼的UPnP（即插即用）協(xié)議。

據(jù)悉，UPnP設(shè)備間是通過SSDP（簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議）進(jìn)行相互感知的，利用SOAP（簡(jiǎn)單對(duì)象訪問協(xié)議）來獲取控制信息，并進(jìn)行信息反饋?？墒请S著UPnP通信方案在終端設(shè)備間的大量濫用，令攻擊者能夠方便直接地獲得巨大的攻擊流量，來阻礙目標(biāo)企業(yè)的正常網(wǎng)絡(luò)服務(wù)。

超過400萬設(shè)備易被DDoS攻擊利用

研究機(jī)構(gòu)發(fā)現(xiàn)自從今年7月以來，就有利用家庭終端設(shè)備進(jìn)行DDoS攻擊的證據(jù)，目前這種情況正不斷增加，并有向常態(tài)化發(fā)展的趨勢(shì)。據(jù)該機(jī)構(gòu)調(diào)查顯示，有410萬臺(tái)面向互聯(lián)網(wǎng)的UPnP設(shè)備，可以被DDoS攻擊利用進(jìn)行流量反射。

在實(shí)驗(yàn)室實(shí)驗(yàn)中，研究人員模擬了一個(gè)小規(guī)模的DDoS攻擊，在獲取了易受攻擊的設(shè)備列表后，他們從攻擊者處收到了偽裝成目標(biāo)IP地址的惡意請(qǐng)求。在攻擊過程中，這些終端設(shè)備都被利用，像攻擊目標(biāo)發(fā)送、反饋了像描述文件似的文件。而如果攻擊者一旦獲得由足夠的設(shè)備響應(yīng)，則為展開一次真正的DDoS攻擊創(chuàng)造了條件。

Python腳本被用于SSDP掃描和攻擊

上述易受攻擊的終端設(shè)備，均是通過使用SSDP協(xié)議對(duì)端口1900進(jìn)行掃描而獲得的。研究人員發(fā)現(xiàn)網(wǎng)絡(luò)犯罪分子可以依靠一個(gè)Python腳本（ssdpscanner.py）來確定反射器。而該操作是由為大規(guī)模掃描提供某一范圍內(nèi)的IP地址展開的。

另一個(gè)Python腳本（ssdpattack.py）則可被用于運(yùn)行攻擊。它是一個(gè)不同版本的掃描工具，其中包括數(shù)據(jù)包級(jí)別的假冒IP源，它實(shí)現(xiàn)了反射流量的攻擊。而該工具被設(shè)計(jì)為一旦啟動(dòng)直到通過手動(dòng)終止，才能停止運(yùn)行，危害性較大。

什么是UPnP協(xié)議？

UPnP這個(gè)概念是從即插即用（Plug-and-play），即熱拔插技術(shù)中派生而來的。UPnP協(xié)議簡(jiǎn)化了家庭網(wǎng)絡(luò)和企業(yè)局域網(wǎng)中各種設(shè)備連接，使內(nèi)網(wǎng)中任意兩個(gè)設(shè)備能互相通信，而不需要特別配置。

UPnP協(xié)議

UPnP協(xié)議的目標(biāo)是使家庭網(wǎng)絡(luò)（數(shù)據(jù)共享、通信和娛樂）和公司網(wǎng)絡(luò)中的各種設(shè)備能夠相互無縫連接，并簡(jiǎn)化相關(guān)網(wǎng)絡(luò)的實(shí)現(xiàn)。UPnP通過定義和發(fā)布基于開放、因特網(wǎng)通訊網(wǎng)協(xié)議標(biāo)準(zhǔn)的UPnP設(shè)備控制協(xié)議來實(shí)現(xiàn)這一目標(biāo)。

如何應(yīng)對(duì)防御UPnP漏洞

對(duì)于UPnP安全漏洞來說，因?yàn)楹芏嗑W(wǎng)絡(luò)設(shè)備出廠時(shí)都是默認(rèn)開啟這個(gè)即插即用功能的，因此我們需要手動(dòng)關(guān)閉UPnP功能。以無線路由器為例，需要進(jìn)入到它的Web配置界面里進(jìn)行調(diào)整。

一般路由器的UPnP功能可在“高級(jí)”選項(xiàng)中找到，用戶只需將勾中的選項(xiàng)去除即可。

一般路由器的UPnP功能為默認(rèn)開啟，建議關(guān)閉該功能。

D1Net評(píng)論：

然而，上述方法只能盡量降低UPnP協(xié)議漏洞的影響，為了今后讓更多受波及的終端設(shè)備能夠提升安全性，恐怕還需要同各個(gè)設(shè)備制造商進(jìn)行協(xié)商，來查漏補(bǔ)缺，這就可能要耗費(fèi)時(shí)日了，但是，至少還有希望。