什么是 SSDP DDoS 攻击？

简单服务发现协议 (SSDP) 攻击是一种基于反射的分布式拒绝服务 (DDoS) 攻击，它利用通用即插即用 (UPnP) 网络协议将放大的流量发送给目标受害者，使目标的基础设施不堪重负并使它们的 Web 资源脱机。

这是一个免费工具，可检查您的公共 IP 是否具有暴露的 SSDP 设备：https://badupnp.benjojo.co.uk/

SSDP 攻击的工作原理

在正常情况下，SSDP 协议用于允许 UPnP 设备向网络上的其他设备广播其存在。例如，当 UPnP 打印机连接到典型网络时，在它收到 IP 地址之后，该打印机能够通过将消息发送到称为多播地址的特殊 IP 地址，以向网络上的计算机通告其服务。然后，多播地址将新打印机的存在告知网络上的所有计算机。一旦计算机收到有关打印机的发现消息，它就会向打印机发出请求，要求打印机完整描述其服务。然后，打印机将发出其提供的所有内容的完整列表来直接响应该计算机。SSDP 攻击通过要求设备响应目标受害者来利用最终步骤的服务请求。

典型的 SSDP DDoS 攻击的 6 个步骤：

· 1、首先，攻击者进行扫描，寻找可以用作放大因子的即插即用设备。
· 2、攻击者发现联网设备后，创建所有发出响应的设备的列表。
· 3、攻击者使用目标受害者的欺骗性 IP 地址创建 UDP 数据包。
· 4、然后，攻击者使用僵尸网络通过设置某些标志（比如 ssdp:rootdevice 或 ssdp:all），向每个即插即用设备发送一个欺骗性发现数据包，并请求尽可能多的数据。
· 5、结果，每个设备都会向目标受害者发送回复，其数据量最多达到攻击者请求的 30 倍。
· 6、然后，目标从所有设备接收大量流量，因此不堪重负，可能导致对正常流量拒绝服务。

如何防护 SSDP 攻击？

对于网络管理员，一个关键的防护措施是在防火墙的 1900 端口阻止传入 UDP 流量。如果流量不足以使网络基础设施不堪重负，则从此端口筛选流量可能能够防护这种攻击。
要深入了解 SSDP 攻击和更多缓解策略，请探索 https://blog.cloudflare.com/ssdp-100gbps/ 。

参考

https://www.zhujib.com/document/20541.html