今天，依舊嚴(yán)重威脅著政府、企業(yè)網(wǎng)絡(luò)安全的分布式拒絕服務(wù)(DDoS)攻擊仍然是當(dāng)前黑客們最喜歡使用，并且又十分廉價(jià)、有效的一種網(wǎng)絡(luò)攻擊形式。根據(jù)相關(guān)機(jī)構(gòu)提供的數(shù)據(jù)顯示，在過(guò)去三個(gè)季度內(nèi)，DDoS攻擊量同比增長(zhǎng)了一倍。2015年第二季度，最大規(guī)模的DDoS攻擊峰值流量再次超過(guò)了240Gbps，持續(xù)了13個(gè)小時(shí)以上，可以說(shuō)其帶來(lái)的威脅每個(gè)季度都在不斷增加。

[[148614]]

UPnP設(shè)備變身DDoS攻擊幫兇

由于DDoS攻擊能夠?qū)ζ髽I(yè)的網(wǎng)絡(luò)型業(yè)務(wù)造成嚴(yán)重的威脅，并且很難用傳統(tǒng)的辦法進(jìn)行防護(hù)，已成為時(shí)下的一種網(wǎng)絡(luò)公害。其中，流量擁塞和帶寬消耗是目標(biāo)網(wǎng)絡(luò)遭受攻擊后較為常見(jiàn)的。

從國(guó)際CDN公司Akamai公布的數(shù)據(jù)中發(fā)現(xiàn)，2015年第二季度有12起DDoS攻擊的峰值流量超過(guò)了100Gbps，5起攻擊的包轉(zhuǎn)發(fā)率峰值超過(guò)了50Mpps。而只有極少數(shù)的企業(yè)能夠以一己之力承受住這樣的攻擊。

同時(shí)，還發(fā)現(xiàn)了其Prolexic Routed網(wǎng)絡(luò)中再次記錄到包轉(zhuǎn)發(fā)率最高的一次攻擊，峰值達(dá)到了214Mpps。而這種規(guī)模的攻擊足以摧毀一級(jí)路由器，包括令網(wǎng)絡(luò)運(yùn)營(yíng)商部署的核心路由器陷入癱瘓。

然而令人吃驚的是，黑客已經(jīng)開(kāi)始利用支持UPnP(通用即插即用)協(xié)議的設(shè)備來(lái)直接或間接放大DDoS攻擊流量。隨著采用UPnP協(xié)議的不安全家庭聯(lián)網(wǎng)設(shè)備不斷激增，這些設(shè)備常被黑客當(dāng)作SSDP(SYN與簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議)反射器，來(lái)持續(xù)發(fā)起攻擊。據(jù)悉，SSDP是本季度最常見(jiàn)的DDoS攻擊向量，占到DDoS攻擊流量的16%左右。

[[148615]]

UPnP設(shè)備間通過(guò)SSDP進(jìn)行相互感知的，利用SOAP(簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議)來(lái)獲取控制信息，并進(jìn)行信息反饋?？墒请S著UPnP通信方案在終端設(shè)備間的大量濫用，令攻擊者能夠方便直接地獲得巨大的攻擊流量，來(lái)阻礙目標(biāo)企業(yè)的正常網(wǎng)絡(luò)服務(wù)。

解析UPnP協(xié)議

UPnP(Universal Plug and Play，簡(jiǎn)稱(chēng)UPnP)是從即插即用(Plug-and-play)，一種熱拔插技術(shù)中衍生出來(lái)的。UPnP協(xié)議允許PC間的點(diǎn)對(duì)點(diǎn)連接、網(wǎng)際互連和無(wú)線設(shè)備。它是一種基于TCP/IP、UDP和HTTP的分布式、開(kāi)放體系。因此，該協(xié)議簡(jiǎn)化了家庭網(wǎng)絡(luò)和企業(yè)局域網(wǎng)中各種設(shè)備連接，使內(nèi)網(wǎng)中任意兩個(gè)設(shè)備能互相通信，而不需要特別配置。

支持UPnP協(xié)議設(shè)備間功能

UPnP協(xié)議的目標(biāo)是使家庭網(wǎng)絡(luò)(數(shù)據(jù)共享、通信和娛樂(lè))和公司網(wǎng)絡(luò)中的各種設(shè)備能夠相互無(wú)縫連接，并簡(jiǎn)化相關(guān)網(wǎng)絡(luò)的實(shí)現(xiàn)。UPnP通過(guò)定義和發(fā)布基于開(kāi)放、因特網(wǎng)通訊網(wǎng)協(xié)議標(biāo)準(zhǔn)的UPnP設(shè)備控制協(xié)議來(lái)實(shí)現(xiàn)這一目標(biāo)。

在實(shí)驗(yàn)室實(shí)驗(yàn)中，研究人員通過(guò)UPnP設(shè)備模擬了一次小規(guī)模的DDoS攻擊，在獲取了易受攻擊的設(shè)備列表后，他們從攻擊者處收到了偽裝成目標(biāo)IP地址的惡意請(qǐng)求。在攻擊過(guò)程中，UPnP終端設(shè)備都被利用，像攻擊目標(biāo)發(fā)送、反饋了像描述文件似的文件。而如果攻擊者一旦獲得足夠多的UPnP設(shè)備響應(yīng)，就會(huì)為一次真正意義上的DDoS攻擊創(chuàng)造了條件。