揭秘SSDP DDoS攻击：隐藏在网络背后的流量炸弹(图文)

什么是 SSDP DDoS 攻击

SSDP DDoS 攻击，即基于简单服务发现协议（Simple Service Discovery Protocol，SSDP）的分布式拒绝服务（Distributed Denial of Service，DDoS）攻击 ，是一种极具破坏力的网络攻击手段。它利用了通用即插即用（Universal Plug and Play，UPnP）网络协议中的 SSDP 来发动攻击。简单来说，这是一种基于反射的 DDoS 攻击，攻击者借助大量存在 SSDP 服务的设备，将放大后的流量发送到目标受害者，使目标的网络基础设施不堪重负，从而无法正常提供服务。
在我们日常生活中，很多智能设备都支持 UPnP 协议，比如智能电视、路由器、网络摄像头等 。这些设备使用 SSDP 来自动发现和互相通信，让我们享受即插即用的便捷体验。然而，正是这种便利性被攻击者盯上，成为了发动 SSDP DDoS 攻击的 “帮凶”。

SSDP 协议的正常工作机制

在深入了解 SSDP DDoS 攻击原理之前，我们先来看看 SSDP 协议在正常情况下是如何工作的 。SSDP 是通用即插即用（UPnP）架构的核心协议之一，主要用于在局域网内发现设备和服务 ，让不同设备之间能够自动识别和通信，极大地简化了网络设备的配置过程。

设备发现与宣告

当一个新设备接入网络时，它会主动向特定的多播地址（IPv4 中通常为 239.255.255.250 ）和端口（1900）发送 NOTIFY 消息，宣告自己的存在 。这个消息就像是设备在网络中 “大声呼喊”，告诉其他设备：“我来了！” 消息中包含设备的类型、唯一标识符（USN）、服务描述的 URL 等重要信息，以便其他设备能够识别和了解它 。比如，一台新接入家庭网络的智能电视，就会通过 NOTIFY 消息告知网络中的其他设备（如手机、电脑）它的存在，以及自身支持的功能和服务 。
与此同时，网络中的控制点（如电脑、手机等发起设备搜索的主体）也可以主动发起设备搜索 。控制点会向同样的多播地址发送 M-SEARCH 消息，这就像是在网络中 “广播询问”：“有没有符合我需求的设备呀？”M-SEARCH 消息中会指定要搜索的设备类型或服务类型 。例如，当我们在手机上打开投屏功能时，手机就作为控制点发送 M-SEARCH 消息，寻找网络中支持投屏的设备（如智能电视、投影仪） 。设备接收到 M-SEARCH 消息后，如果自身符合搜索条件，就会向控制点发送单播响应消息，详细介绍自己的服务和能力 。

报文格式与通信特点

SSDP 报文的格式遵循 HTTP 协议规范，但又有其独特之处 。以 M-SEARCH 报文为例，它的起始行是 “M-SEARCH * HTTP/1.1” ，表明这是一个 SSDP 搜索请求 。HOST 字段指定了多播地址和端口（239.255.255.250:1900） ；MAN 字段固定为 “ssdp:discover”，表示这是一个设备发现请求 ；MX 字段设置了设备响应的最长等待时间，设备会在 0 到这个值之间随机选择响应延迟，以平衡网络负载 ；ST 字段则指定了搜索的目标，比如 “upnp:rootdevice” 表示搜索网络中的根设备，“urn:schemas-upnp-org:device:MediaServer:1” 表示搜索媒体服务器设备 。
NOTIFY 报文的起始行是 “NOTIFY * HTTP/1.1” 。HOST 字段同样是多播地址和端口 ；NT 字段表示通知的类型，即设备或服务的类型 ；NTS 字段有 “ssdp:alive”（设备或服务在线）和 “ssdp:byebye”（设备或服务离线）两种取值 ；USN 字段是设备或服务的唯一标识符 ；Location 字段指定设备描述信息的 URL 地址 ；Cache-Control 字段设置了通知消息的存活时间 。
从通信特点上看，SSDP 基于 UDP 协议进行通信，这使得它具有快速传输的优势，但也带来了不可靠性（比如可能会丢包） 。在数据传输过程中，SSDP 请求使用多播方式，即一个请求可以被网络中的多个设备接收，就像在一个大广场上广播消息，所有在广场内的人都能听到 ；而响应则采用单播方式，直接发送回请求的控制点，确保信息准确无误地送达目标 。

SSDP DDoS 攻击的工作原理

攻击前的准备

攻击者首先会使用各种扫描工具，在互联网上广泛搜索开启了 SSDP 服务的设备，这些设备就如同一个个潜在的 “帮凶” 。攻击者通过扫描，寻找那些配置存在漏洞、容易被利用的即插即用设备，比如一些默认配置未更改、安全防护薄弱的智能电视、路由器、网络摄像头等 。一旦发现这些可利用的设备，攻击者会将它们的相关信息记录下来，创建一个响应设备列表，这些设备后续将被用于发动攻击，组成攻击网络的一部分。

攻击实施步骤

1. 伪造数据包：攻击者使用特殊的工具和技术，创建 UDP 数据包，并在数据包中填入目标受害者的欺骗性 IP 地址 。这就像是攻击者给数据包贴上了错误的 “收件人标签”，让后续的设备将响应发送到错误的目标。由于 UDP 协议的特性，它在发送数据时无需像 TCP 协议那样进行复杂的连接建立和确认过程，这使得攻击者能够轻松地伪造源 IP 地址，为攻击的实施提供了便利。

2. 发送欺骗性请求：攻击者利用控制的僵尸网络，向之前发现并列入列表的即插即用设备发送欺骗性的发现数据包 。在这些数据包中，攻击者会设置一些特殊的标志，例如 “ssdp:rootdevice” 或 “ssdp:all” 。“ssdp:rootdevice” 用于搜索网络中的根设备，而 “ssdp:all” 则更具广泛性，它会搜索网络中的所有设备和服务，这两个标志都能让攻击者请求尽可能多的数据 。设备在接收到这些带有欺骗性源 IP 地址的数据包后，会认为是目标受害者在向它们发送设备发现请求。

3. 流量放大与攻击达成：这些被利用的设备在接收到欺骗性请求后，会按照正常的 SSDP 协议流程进行响应 。它们会将自身的设备信息、服务描述等数据打包成响应数据包，发送回它们认为的请求源，也就是被攻击者伪造的目标受害者的 IP 地址 。由于攻击者请求的数据量较大，而每个设备都会向目标发送大量的响应数据，这些数据量最多可达到攻击者请求的 30 倍 。大量的设备同时向目标受害者发送响应数据包，使得目标瞬间接收海量的数据流量，导致目标的网络带宽被迅速耗尽，服务器资源被大量占用 。最终，目标无法正常处理合法用户的请求，服务被拒绝，网站无法访问，业务被迫中断，攻击者成功达成了 DDoS 攻击的目的 。

真实案例分析

为了更直观地感受 SSDP DDoS 攻击的危害，我们来看一个真实案例。2021 年 8 月初，江苏徐州新沂警方破获了一起以 “压力测试” 为幌子，实际提供 DDoS 攻击服务的案件。“小黑 DDOS 压力测试平台” 网站的开办者将网站放置在海外服务器上，以逃避监管。他们通过发展多级代理，为用户提供 10 种不同套餐的攻击服务，用户注册账户并兑换套餐后，即可对目标 IP 实施攻击。
该平台在数月时间内，注册会员多达 3 万余人，受攻击网站高达 1 万余个。攻击者通过向境内外网站发送大量 SNTP/SSDP 协议的数据包实施攻击，流量峰值高达 21.61G / 秒 。如此巨大的流量，足以使大多数目标服务器瞬间瘫痪，导致网站无法访问，业务中断，给受害者带来了严重的经济损失。
在这起案件中，大量开启 SSDP 服务且防护薄弱的设备被攻击者利用，成为攻击的帮凶 。攻击者通过控制这些设备，向目标发送海量的响应数据包，成功实现了大规模的 SSDP DDoS 攻击 。这也警示我们，SSDP DDoS 攻击离我们并不遥远，随时可能对个人、企业乃至整个网络生态造成巨大破坏 。

如何防范 SSDP DDoS 攻击

面对 SSDP DDoS 攻击的威胁，我们不能坐以待毙，必须采取一系列有效的防范措施，才能确保网络的安全与稳定 。下面从网络设备与权限管理、防火墙与流量监控配置、禁用不必要功能与定期检查三个方面，为大家详细介绍防范 SSDP DDoS 攻击的方法。

网络设备与权限管理

首先，要及时更新和升级网络设备的固件和软件 。设备制造商通常会在发现安全漏洞后，发布相应的固件和软件更新，这些更新不仅可以修复已知的安全缺陷，还能提高设备的整体安全性 。以某品牌路由器为例，之前曾被曝光存在 SSDP 协议漏洞，容易被攻击者利用 。后来，该品牌及时发布了固件更新，修复了这一漏洞，大大增强了路由器的安全性 。所以，定期检查设备的固件和软件更新，并及时进行升级，是防范 SSDP DDoS 攻击的重要基础 。
其次，要严格限制对 SSDP 服务器的访问权限 。只允许必要的网络设备访问 SSDP 服务器，减少潜在的攻击面 。这就好比我们的家，只给信任的人钥匙，不随便让陌生人进入 。通过配置网络访问控制列表（ACL）或防火墙规则，可以实现对访问权限的精细控制 。例如，在企业网络中，可以设置 ACL，只允许内部的特定服务器和设备访问 SSDP 服务器，而禁止外部未经授权的设备访问 。这样一来，即使攻击者扫描到了网络中的 SSDP 服务，也无法轻易发起攻击 。

防火墙与流量监控配置

配置防火墙来过滤和监控 SSDP 流量是至关重要的 。防火墙就像是网络的 “门卫”，可以对进出网络的流量进行严格检查 。通过设置防火墙规则，我们可以限制 SSDP 协议的使用范围，阻止来自不受信任源的 SSDP 请求 。比如，我们可以配置防火墙，只允许内部网络的特定 IP 地址段使用 SSDP 协议，对于其他来源的 SSDP 请求，一律进行拦截 。同时，防火墙还能实时监控 SSDP 流量，一旦发现异常流量，如大量的 SSDP 请求或响应，立即发出警报，让管理员能够及时采取措施 。
此外，还可以通过配置网络设备，限制 SSDP 响应的大小 。在 SSDP DDoS 攻击中，攻击者会利用设备响应的数据量放大效应来淹没目标 。如果我们限制了 SSDP 响应的大小，就可以有效防止这种放大攻击 。比如，设置响应消息的最大长度为 1024 字节，或者限制返回给特定请求的响应数量为 5 个 。这样，即使设备被攻击者利用，也无法向目标发送大量的数据，从而降低了攻击的威力 。
同时，要密切监测网络端口的流量情况 。使用专业的网络监控工具，对 1900 端口（SSDP 常用端口）的流量进行实时监测 。正常情况下，该端口的流量应该是相对稳定的 。如果发现该端口的流量突然大幅增加，远远超出正常范围，就可能是遭受了 SSDP DDoS 攻击 。一旦检测到异常流量，要迅速采取行动，如临时封禁相关 IP 地址，阻止攻击流量的进一步涌入 。

禁用不必要功能与定期检查

如果你的网络设备提供了 SSDP 功能，但在实际的网络环境中并不需要它，那么最好禁用该功能 。禁用不必要的 SSDP 功能，就像关闭了一扇可能被攻击者利用的 “后门” 。例如，在一些家庭网络中，如果没有使用智能设备的即插即用功能，就可以在路由器中禁用 SSDP 服务 。这样，不仅可以减少潜在的攻击面，还能降低网络设备的资源消耗，提高网络的整体性能 。
网络安全是一个动态的过程，安全威胁和攻击模式不断变化 。因此，要定期检查和更新网络安全策略 。定期评估网络设备的配置、访问控制列表和防火墙规则等，确保它们与最新的安全威胁和攻击模式保持同步 。可以每月或每季度进行一次全面的安全检查，及时发现并修复可能存在的安全漏洞 。同时，关注网络安全领域的最新动态，了解新出现的 SSDP DDoS 攻击手法和防范措施，不断完善自己的安全策略 。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御