SSDP M-Search Attack - Další analýza Amplified Reflexní DDoS útok
SSDP (Simple Service Discovery Protocol) - známý jako Universal Plug and Play (UPnP) - umožňuje zařízením objevit své sousedy, a to buď prostřednictvím zjišťování sítě služeb (Search) nebo síť vysílání (Notify).

Po rekordním DNS a NTP útoky na začátku tohoto roku, tento všudypřítomný protokol se stal dalším obětí vykořisťování hackery, kvůli zranitelností nalezených v populárních zařízení, jako jsou routery a NAS. Tento článek obsahuje 1) analýzu o povaze SSDP DDoS útoků, ve srovnání s ostatními v zesílené reflexivní útoku rodině; 2) Některé statistiky jsme shromážděné od SSDP DDoS útok vzorků; a 3) poradenství v oblasti zmírňování SSDP.

Zvláštní poděkování patří do bezpečnostní komunitě přispívání vzorků SSDP DDoS útoků a za jejich velkou pomoc při analýze ty.

Reflexní Útok rodiny
s odkazem na DDoS útoku trend v roce 2014 , zesílený reflexní útoky (rDDoS) byli lámání nové rekordy a podle předpokladů na začátek 1 Tb (1Tbps = 1.000 Gbps), na konci roku. Útočníci, vědoma toho z celkové šířky pásma slouží k útokům, jsou velmi znepokojeni účinnosti a anonymní povaze těchto reflexních útoků. Jako takový, že vždy za cíl maximalizovat odrazivosti v každé jeden požadavek, zatímco vliv na nejvyšší možné množství citlivých veřejných IP adres.

Koncept je podobný výpočtu míru rizika v oblasti informačních systémů řízení bezpečnosti (ISMS):
ALE = ARO X SLE
roční očekávaná ztráta (ALE) = roční míra výskytu (ARO) x délku jediné ztráty (SLE)

V rDDoS jde, to se stává: celkový útok výkon = počet ohrožených veřejných serverů x reflexní poměr.

Podle nejnovějších výzkumů, i když průměrná šířka pásma reflexní poměr SSDP - 30x - není tak velký jako u NTP a DNS [NS], jeho průměrný poměr paket odraz je poměrně impozantní - téměř 10 krát požadavek. V podstatě člověk falešní Žádost by vedla k 10 nežádoucí SSDP odpovědí z zranitelné zařízení.

Tady je to víc děsivý scénář: výzkum provedený rapid7 v roce 2013 uvedl, že 2,2 procenta veřejných IP adres, nebo 81 milionů, byly vystaveny SSDP DDoS útoků, což je výrazně více, než jsou k dispozici nameserverů nebo servery NTP.
Zneužívání DDoS síťové protokoly
[Zdroj: Zesílení Hell: přehodnocení síťové protokoly pro zneužívání DDoS Christian Rossow [2014]]
Podle aktuální stav shadowserver je , stále ještě 18 milionů zranitelné SSDP hostitelé online. Níže je celková mapa po celém světě. Je to jasně po celém světě hrozba, která postihuje miliony nevinných obětí meziproduktů.
SSDP zranitelné hostitelé po celém světě
[Zdroj: shadowserver.org]
SSDP zranitelných počítačů v Číně
[Zdroj: shadowserver.org]
SSDP zranitelný DDoS Spojené státy americké
[Zdroj: shadowserver.org]
SSDP protokol
SSDP není navržen tak, aby Internet-routable protokol, období. Ve skutečnosti, že se nikdy, aby se stal standardem. Internet-Návrh zpracoval ITEF skončila v dubnu 2000. Později se stala součástí UPnP (Universal Plug and Play). Níže je oficiální definice:
SSDP: Simple Service Discovery Protocol. Multicast objev a hledat mechanismus, který používá multicast variantu HTTP přes UDP.

Discovery
specifikace protokolu v kapitole 1: Discovery se uvádí, že "omezení přetížení sítě, (TTL), time-to-live každého paketu IP pro každou zprávu výběrového vysílání by výchozí 2 a měla by být konfigurovatelné. Když TTL je větší než 1, je možné, skupinové zprávy procházet více směrovačů. "Umožnění vícenásobné pakety s TTL větší než 1 rozšiřuje rozsah objevu, ale zvyšuje riziko. Standardní uvedl, že by měl destinate na adresu vícesměrového vysílání, jako je například 239.255.255.250 (link local rozsah), nebo ff0X :: C, ale M-Search pomocí unicast adresy je také přijat v kapitole 1.3. "Kontrolní body lze také zaslat unicast vyhledávání zprávu na známou IP adresu a port 1900, nebo do přístavu, který SEARCHPORT.UPNP.ORG, ověřit existenci UPnP (y) a služby (y) na IP adresu."
UPnP diagram
[UPnP inzerovat, vyhledávání a diagram odpověď, zdroj: UPnP spec 1,1]
zdroj: http://upnp.org/specs/arch/UPnP-arch-DeviceArchitecture-v1.1.pdf
Odpověď
Reakce jsou zasílány v dávkách přes unicast. První paket je odeslán s kořenovou id, a další pakety jsou odesílány v závislosti na nabízených služeb. Obecně platí, že kolem 10 lze nalézt z konvenčního NAS nebo domácí router. Vzhledem k tomu, že je to přes UDP, není potvrzení od odesílatele, že se mu podařilo dostat všechny odpovědi. Není to "podmíněné reakce", kdy by SSDP přestat posílat zbytek odpovědí není-li potvrzení je přijato, pokud je prvním paketem.

Reklama
Osobně si myslím, že reklama rysem SSP je mnohem užitečnější, neboť klienti v síti jsou si vědomi nových zařízení se přidává do nebo odebrán ze sítě.
UPnP auto objev diagram
[Funkce UPnP umožňuje zjišťování auto zařízení a přidat / odebrat oznámení]
zdroj: http://buffalo.jp/support_ap/answer/images/012k/12210/002.jpg
Jak se SSDP M-Search zneužit
Vzhledem k tomu, M-Search by mohlo být dosaženo prostřednictvím unicast, skenování sítě, který je v rámci řádné nastavení firewallu a správný router ACL nic nedělá.

Nicméně, kolik uživatelů jsou ve skutečnosti vědomi UPnP (pomocí SSDP protokol) funkci v zařízeních, jako jsou Nas, multimediálních přehrávačů, televizorů nebo domácí routery? Domnívám se, že číslo je velmi nízké. Kromě toho některé router firmwary nejsou navrženy s ohledem na bezpečnost: WAN porty, které se připojují k internetu občas snaží propagovat své síťové služby prostřednictvím SSDP nebo SSDP M-vyhledávacího dotazu veřejnosti.

Klíčovou výhodou zneužívání domácí uživatele, je jejich nedostatečná informovanost bezpečnosti; koncoví uživatelé nejsou vědomi jejich 24 × 7 směrovač nebo NAS lze účastníka ve světě příští SSDP DDoS útoku kampaně. S dostatečným seznamu ohrožených síťových zařízení, může útočník snadno distribuovat a zatížení bilance zaútočit, téměř nepozorovaně.

Generování útoku SSDP DDoS je velmi jednoduché. Ve skutečnosti je zapotřebí pouze jeden řádek kódu pro unspoofed útoky; POC skript je sotva 4kilobajt velikosti.

Níže je uvedeno několik záběry jednoho útoku SSDP DDoS: jeden M-SEARCH paket 122 bajtů přijatých paketů 12 odpovědí, které dosahovaly celkové výše 3719 bajtů. To je 12x v počtu paketů, nebo 30x v počtu bajtů!
SSDP M-Search Request příklad
Jeden dotaz M-search reagovala 12 pakety
[zdroj: Nexusguard]
Tady je další graf demonstruje zesílení moc SSDP DDoS útoků, 100 M-Poptávky za sekundu (jednotka, Byte):
Red představuje požadavky z klienta.
Green představuje odpovědi na SSDP povoleno zařízení.
SSDP M-Search DDoS příklad
Vizualizovat žádost M-paket vyhledávání a reakce ve velikosti [zdroj: Nexusguard]
SSDP M-Search Příklad kódu
Žádost M-search (v červeném) a odpovědi (v modrém) [zdroj: Nexusguard]
SSDP DDoS detekci útoků a zmírnění
Podobně jako u jiných zesílené reflexivní útoků, detekce a zmírňování je jednodušší, než ostatní přímé útoky, jako je SYN Flood, nebo si povodeň. Nyní je otázkou mít dostatečnou šířku pásma pro příchozí zesíleného provoz. To je běžné u všech reflexních útoky: snadno odhalit a zmírnit, a čistě hra moci - kdo je silnější, aby vydržely.

Níže je jednoduchá vizualizace rozdílu mezi přímými útoky a reflexních útoky.
Normální přímé útoky DDoS většinou pocházejí z náhodných zdrojových portů, zatímco reflexní útoky pocházejí z jednoho nebo několika málo pevné porty (více portů pro více typů reflexních útoků zahájena současně). Nedostatek zdrojového portu náhodného výběru by mohlo vést k snadno realizovaných filtry detekce a zmírňování.
Šířka pásma útoky odraz hit con
[Zdroj: HITCON2014 - využít náhodnosti]
Doporučení
Společné řešení pro všechny typy amplifikovaných reflexních útoků (včetně SSDP DDoS útoky) jsou: BCP38 Ingress filtr : Implementace filtrování co nejblíže ke zdroji, aby se snížilo riziko IP spoofing zneužívání; to by mělo být snadné spustit. Patch zranitelné zařízení : Prodejci by měl být odpovědný za stanovení zranitelnosti trvale nebo vytvářením nových pracovních-around řešení, která jsou v bezpečí ve výchozím nastavení.