SSDP DRDos에 대해

1. SSDP(Simple Service Discovery Protocol) DRDos란?

대상 피해자에게 증폭된 트래픽을 전송하기 위해 UPnP(Universal Plug and Play) 프로토콜을 악용해

대상 인프라를 압도하고 웹 리소스를 오프라인으로 전환하는 반사 기반 DRDos 공격이다.

 

★SSDP란?

특정 기기들이 네트워크  서비스나 정보를 확인하기 위해 사용하는 네트워크 프로토콜

->이용시, dhcp나 dns와 같은 네트워크 서비스 또는 정적인 호스트 설정없이 위의 일들을 수행가능

 

2. 공격방법

①공격자는 증폭 factor로 활용할 수 있는 Play and Plug 장치를 찾아 스캔을 실시한다.

②공격자가 네트워크 디바이스를 발견하면 응답하는 모든 디바이스의 목록(list)을 생성한다.

③공격자는 대상 공격 대상자의 Spoofing된 IP주소를 사용해 UDP 패킷을 생성한다.

   그 다음, 봇넷을 사용해 특정 플래그(ssdp:rootdevice 또는 ssdp:all)를 설정해 가능한 많은 데이터를 요청하는

   Spoofing된 검색 패킷을 각 Plug and Play 장치로 전송한다.

④각 기기는 대상 피해자에게 공격자의 요청보다 최대 약 30배 많은 양의 데이터로 회신을 보내게 된다.

⑤대상은 모든 장치로부터 대량의 트래픽을 수신하고 압도된어 잠재적으로 합법적인 트래픽에 대한 서비스 거부(DDos)

   가 발생하게 된다.

 

3. 대응 방안

①방화벽의 포트 1900번에서 들어오는 UDP 트래픽을 차단한다.

 

②공용 IP에 노출된 SSDP 장치가 있는지 확인할 수 있는 무료도구를 사용한다.

->Cloudflare(badupnp.benjojo.co.uk/)

 

★Cloudflare가 SSDP공격을 mitigration(완화)하는 방법

대상에 도달하기 전 모든 공격 트래픽을 중지하여 SSDP 공격을 제거한다.

포트 1900번을 대상으로 하는 UDP 패킷은 origin서버에 proxy가 되지 않으며, 초기 트래픽을 받기 위한 로드가

Cloudflare 네트워크에 떨어진다.

->SSDP와 다른 3계층 공격으로부터 완전한 보호를 제공한다.

 

참고: www.cloudflare.com/learning/ddos/ssdp-ddos-attack/

     : www.boannews.com/media/view.asp?idx=86974