网络安全警示：SSDP DDoS攻击，你了解多少？(图文)

网络攻击的 “暗箭”：SSDP DDoS

在互联网的广袤世界中，网络攻击如同隐藏在暗处的猎手，时刻威胁着网络安全。其中，SSDP DDoS 攻击就是一种极具隐蔽性和破坏力的攻击方式。它就像一支暗箭，在不经意间射出，让目标网络陷入瘫痪的困境 ，许多企业和个人都深受其害，造成了难以估量的损失。今天，就让我们一同揭开 SSDP DDoS 攻击的神秘面纱，深入了解它的工作原理和危害。

什么是 SSDP DDoS 攻击

SSDP DDoS 攻击，全称为简单服务发现协议分布式拒绝服务攻击（Simple Service Discovery Protocol Distributed Denial of Service Attack） ，是一种基于反射的分布式拒绝服务攻击。它利用了通用即插即用（UPnP）网络协议中的简单服务发现协议的特性，通过控制大量的傀儡机（也称为僵尸网络）向目标发送海量的网络请求，使目标的基础设施不堪重负，从而无法正常提供服务 。简单来说，就像是一群人故意同时涌入一家餐厅，点了大量的餐品，让餐厅的服务员和厨房忙得不可开交，真正的顾客反而无法得到服务。在网络世界里，这些恶意请求占用了目标服务器大量的带宽、计算资源和网络连接，导致正常用户的请求无法被处理，网站或在线服务无法访问或响应极其缓慢。

SSDP 协议的正常功能与原理

在深入了解 SSDP DDoS 攻击之前，我们先来认识一下 SSDP 协议本身 。SSDP，即简单服务发现协议（Simple Service Discovery Protocol） ，是通用即插即用（UPnP）协议族的重要成员，它主要用于在局部网络里发现设备，为网络设备之间的互联互通提供了便利 。
当你将一台新的智能设备，比如智能电视、网络打印机或者 NAS（网络附加存储）接入家庭网络时，SSDP 就开始发挥作用了。在正常情况下，它的工作过程主要有两种方式：控制点查询设备和设备宣告存在 。

控制点查询设备

假设你的电脑是一个控制点，当你想要在局域网中查找一台打印机时，电脑会向特定的多播地址发送一个 SSDP 发现消息（M-SEARCH 方法发送 “ssdp:discover” 消息） 。在 IPv4 环境中，这个多播地址通常是 239.255.255.250，端口号为 1900；在 IPv6 环境下，使用的多播地址是 FF0X::C（X 根据 scope 的不同有不同取值） 。这个消息就像是在一个热闹的集市里大声呼喊：“谁是打印机，快出来让我找到你！”
网络中的各个设备都会监听这个多播地址，当打印机监听到这个消息后，会分析消息中请求的服务。如果它确定自己就是被寻找的打印机，就会通过单播的方式直接响应你的电脑，回复包含自身服务详情的信息，比如打印机的型号、支持的打印功能、设备描述文件的位置等，就像是打印机站出来回应：“我在这儿，我就是你要找的打印机，这是我的详细信息。”

设备宣告存在

另一方面，当设备接入网络时，它也可以主动向网络宣告自己的存在。例如，一台新的智能电视连接到网络后，它会向上述特定的多播地址使用 NOTIFY 方法发送 “ssdp:alive” 消息，告诉网络中的控制点：“我是一台新的智能电视，我已经上线啦！” 控制点接收到这个消息后，就可以根据自己的策略来处理，比如将新设备添加到设备列表中，方便用户随时访问和使用 。
为了确保设备状态的实时更新，“ssdp:alive” 消息必须在 HTTP 协议头 CACHE - CONTROL 里面指定超时值。设备需要在约定的超时值到达以前重发 “ssdp:alive” 消息 。如果控制点在指定的超时值内没有再次收到设备发送的 “ssdp:alive” 消息，就会认为设备已经失效，就好比如果一个人在约定的时间内没有再次发出信号，其他人就会认为他可能已经离开了。而当设备计划从网络上卸载时，它应当向特定多播地址发送 “ssdp:byebye” 消息，告知网络它即将离开 。

SSDP DDoS 攻击的详细步骤

了解了 SSDP 协议正常工作的原理后，我们再来看看攻击者是如何利用它发动 DDoS 攻击的 。SSDP DDoS 攻击通常遵循以下几个步骤：

扫描阶段：寻找可利用的即插即用设备

攻击者首先会利用各种扫描工具，在互联网上广泛搜索开放了 SSDP 服务的即插即用设备 。这些设备可能是家庭中的智能设备，如智能电视、智能音箱、网络摄像头，也可能是企业网络中的一些网络设备 。攻击者通过向特定的多播地址（如 239.255.255.250:1900）发送探测数据包，来发现这些潜在的攻击目标。这就像是在黑暗的森林中，攻击者拿着手电筒四处寻找那些容易被攻击的 “猎物”。

列表创建：记录响应设备

当攻击者发送的探测数据包得到设备的响应后，攻击者会记录下这些响应设备的 IP 地址和其他相关信息，创建一个可利用设备的列表 。这个列表就像是攻击者的 “攻击资源库”，里面存储着他们可以用来发动攻击的设备信息。每一个响应的设备都有可能成为攻击者手中的 “武器”，用来对目标发起攻击。

数据包伪造：用受害者 IP 创建 UDP 数据包

攻击者使用目标受害者的 IP 地址作为源 IP 地址，创建 UDP 数据包 。在这些数据包中，攻击者会精心构造请求内容，通常会设置一些特殊的标志，如 “ssdp:rootdevice” 或 “ssdp:all” ，以请求设备返回尽可能多的数据。这一步就像是攻击者穿上了受害者的 “外衣”，让设备误以为请求是来自受害者的正常请求 。通过这种 IP 欺骗的手段，攻击者成功隐藏了自己的真实身份，将攻击的矛头指向了无辜的受害者。

欺骗发送：向设备发送欺骗性发现数据包

攻击者利用之前控制的僵尸网络，向列表中的每一个即插即用设备发送这些伪造的欺骗性发现数据包 。僵尸网络就像是攻击者的 “傀儡军团”，它们按照攻击者的指令，向各个设备发送大量的请求 。这些设备在接收到数据包后，会认为是受害者在请求服务，于是准备向受害者发送响应数据 。这就好比攻击者在幕后操纵着一群傀儡，让它们向受害者发起攻击，而受害者却浑然不知攻击的真正来源。

流量放大：设备向受害者回复大量数据

由于设备被欺骗，它们会根据攻击者的请求，向受害者的 IP 地址发送大量的响应数据 。这些响应数据的大小可能是攻击者请求数据的数倍甚至数十倍，从而实现了流量的放大 。例如，一个正常的 SSDP 发现请求数据包可能只有几十字节，但设备的响应数据包可能会达到几百甚至几千字节 。这种流量放大的效果，就像是放大镜聚焦阳光，让原本微弱的攻击力量变得强大起来，给受害者的网络带来巨大的压力。

服务拒绝：受害者因大量流量无法正常提供服务

随着大量的响应数据源源不断地涌向受害者，受害者的网络带宽、计算资源和网络连接被迅速耗尽 。正常用户的请求无法被处理，网站或在线服务变得缓慢甚至完全无法访问，从而达到了攻击者拒绝服务的目的 。这就像是一场汹涌的洪水，将受害者的网络淹没，使其陷入瘫痪的状态，无法正常运转。

真实案例剖析

SSDP DDoS 攻击并非只是理论上的威胁，在现实世界中，它已经给许多企业和个人带来了严重的损失。
2021 年 8 月初，江苏徐州新沂警方发现了一个以 “压力测试” 为幌子的网站平台，该平台实际上在为他人有偿提供黑客工具，实施 DDOS 攻击 ，甚至还宣称提供 “DDOS 代打” 业务 。警方立即成立专案组展开调查，发现 “小黑 DDOS 压力测试平台” 的开办者通过发展多级代理，为用户提供 10 种不同套餐的攻击服务 。用户注册账户后，使用购买的卡密兑换套餐，就可以对目标 IP 实施攻击 。
为了逃避监管，开办者将网站放在海外服务器上，然后肆无忌惮地对境内外网站发动攻击 。他们向目标发送大量 SNTP/SSDP 协议的数据包，流量峰值高达 21.61G / 秒 ，对目标服务器造成了极强的破坏 。在短短数月时间里，该平台注册会员达到 3 万余人，受攻击的网站更是高达 1 万余个 。如此大规模的攻击，导致许多网站无法正常访问，企业的业务被迫中断，不仅给企业带来了直接的经济损失，也严重影响了用户的体验和信任 。
幸运的是，警方通过艰苦的侦查和追捕工作，最终成功侦破此案 。2021 年 8 月至 9 月，专案组先后赶赴河南、重庆、四川、广西、广东等 10 省 16 地市，抓获了王某勇等 36 名犯罪嫌疑人 ，起获用于实施违法犯罪的手机、硬盘、电脑等设备 60 余部 。目前，相关犯罪嫌疑人均已被检察机关提起公诉 。这起案件不仅让我们看到了 SSDP DDoS 攻击的巨大破坏力，也彰显了警方打击网络犯罪的决心和能力 。

如何防范 SSDP DDoS 攻击

面对 SSDP DDoS 攻击的威胁，我们并非束手无策。以下是一些有效的防范措施，可以帮助我们降低遭受攻击的风险，保护网络安全。

设备设置

1. 关闭不必要的服务和端口：对于大多数用户来说，许多设备默认开启的一些服务和端口可能并不常用，但却可能成为攻击者的入口。特别是 1900 端口，作为 SSDP 协议的默认端口，在非必要的情况下，应将其关闭 。比如家庭用户可以登录到无线路由器的管理界面，在端口设置或服务设置选项中，找到与 1900 端口相关的服务（如 UPnP 服务），将其禁用 。这样一来，攻击者就无法通过这个端口利用 SSDP 协议发动攻击。

2. 及时更新设备固件和软件：设备制造商通常会定期发布固件和软件更新，这些更新不仅会带来新的功能，更重要的是修复已知的安全漏洞 。许多智能设备存在的安全隐患，都可以通过及时更新固件来解决。例如，智能电视的厂商会针对发现的 SSDP 协议漏洞发布固件更新，用户应及时将电视连接到网络，按照提示进行固件升级，以确保设备的安全性 。

网络配置

1. 使用防火墙限制 SSDP 流量：防火墙是网络安全的重要防线，它可以根据预设的规则对网络流量进行过滤和控制 。在网络边界部署防火墙，并配置规则限制 SSDP 流量的进出 。可以设置只允许特定的 IP 地址或设备访问 SSDP 服务，拒绝来自未知来源的 SSDP 请求 。企业网络可以通过防火墙设置，只允许内部特定的服务器或设备使用 SSDP 协议进行设备发现，而禁止外部网络对内部 SSDP 服务的访问 。

2. 配置访问控制列表（ACL）：访问控制列表是一种基于规则的访问控制机制，可以对网络设备的端口、IP 地址等进行精细化的访问控制 。通过配置 ACL，明确规定哪些设备可以访问哪些网络资源，哪些流量可以通过特定的端口 。在路由器上配置 ACL，限制对 1900 端口的访问，只允许授权的设备进行 SSDP 通信 。这就好比在一个小区门口设置门禁系统，只有持有门禁卡的居民才能进入，有效阻止了非法访问。

流量监测

1. 监控目的端口为 1900 的流量：密切关注网络中目的端口为 1900 的流量情况，因为这很可能与 SSDP DDoS 攻击相关 。使用专业的网络流量监测工具，如流量分析系统（FAS）、网络监控软件等，实时监测网络流量的变化 。这些工具可以绘制流量图表，展示不同时间段内的流量大小和趋势，帮助管理员及时发现异常的流量波动 。一旦发现目的端口为 1900 的流量突然大幅增加，远远超出正常水平，就有可能是遭受了 SSDP DDoS 攻击 ，此时应立即采取进一步的调查和应对措施。

2. 及时发现异常：除了关注流量大小，还要留意流量的其他特征，如流量的来源、请求的频率和模式等 。如果发现大量来自不同 IP 地址的短时间内的频繁请求，或者请求的内容存在异常（如包含特殊的标志或大量重复的请求），都可能是攻击的迹象 。例如，正常情况下，SSDP 请求的频率相对较低，且来源通常是内部网络中的合法设备 。如果监测到大量来自外部未知 IP 地址的高频率 SSDP 请求，就需要警惕可能的攻击行为 。

安全策略

1. 定期评估和更新安全策略：网络安全是一个动态的过程，随着技术的发展和攻击手段的不断变化，安全策略也需要与时俱进 。定期对网络安全策略进行评估和更新，检查现有的防范措施是否仍然有效，是否需要增加新的防护手段 。企业可以每年或每半年对网络安全策略进行一次全面的审查，根据最新的安全威胁情报和内部网络的变化，调整防火墙规则、访问控制列表等安全设置 。

2. 加强网络监控和日志记录：建立完善的网络监控和日志记录机制，能够帮助我们更好地了解网络的运行状况，及时发现潜在的安全问题 。通过监控系统实时收集网络设备、服务器等的运行状态信息，记录所有的网络活动和事件 。对于 SSDP 相关的通信，详细记录请求的源 IP、目的 IP、端口号、请求内容等信息 。一旦发生攻击，可以通过分析日志来追溯攻击的来源和过程，为后续的应急响应和安全改进提供依据 。例如，当遭受 SSDP DDoS 攻击后，通过查看日志，可以确定攻击开始的时间、攻击流量的来源分布等，从而有针对性地采取措施进行防御和反击 。

总结与呼吁

SSDP DDoS 攻击利用 SSDP 协议的特性，通过反射放大的方式对目标发动攻击，给网络安全带来了巨大的威胁。从 SSDP 协议的正常功能到攻击的详细步骤，再到真实案例的警示，我们深刻认识到这种攻击的隐蔽性和破坏力。
在当今数字化时代，网络安全已经成为我们生活和工作中不可或缺的一部分。无论是个人用户还是企业机构，都应该高度重视网络安全问题，采取有效的防范措施，保护自己的网络和数据安全 。让我们共同努力，提高网络安全意识，加强网络安全防护，让网络攻击无处遁形，共同营造一个安全、稳定、健康的网络环境 。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御