5月16日訊 網絡安全解決方案提供商 Imperva 5月14日發布報告披露，攻擊者正在利用 UPnP 協議掩蓋 DDoS 攻擊期間發送的網絡數據包源端口，從而繞過 DDoS 緩解服務。Imperva 已發現了至少兩起采用該技術的 DDoS 攻擊， 包括 DDoS 放大攻擊。

攻擊者如何利用UPnP協議？

問題的核心在于 UPnP 協議是針對智能家電、無線設備以及個人電腦的普遍點對點（peer-to-peer，P2P）網絡連接而設計的一種架構。該協議旨在簡化在本地網絡上發現附近設備的過程。

UPnP 協議的其中一項功能是能夠將連接從互聯網轉發到本地網絡，將傳入的互聯網 IP:port 連接映射到本地 IP:port 服務。UPnP 允許 NAT 遍歷，并允許網絡管理員和遠程用戶訪問僅能在內部網絡上訪問的服務。

Imperva 公司研究人員指出，實際上，很少有路由器會驗證提供的內部 IP，并遵守所有轉發規則。這意味著，攻擊者可設法感染端口映射表，將路由器作為代理，并將傳入的互聯網 IP 重定向至其它互聯網 IP。

這種攻擊場景并不新穎。Akamai 公司2018年4月就詳細描述了這種技術，該公司將其稱之為 UPnProxy，并披露稱，發現僵尸網絡和國家支持型網絡間諜組織將家用路由器作為代理反彈并隱藏惡意流量。

利用UPnProxy技術發起DDoS攻擊

Imperva 公司表示，攻擊者還可濫用 UPnProxy 技術發起 DDoS 攻擊，從而掩蓋 DDoS 放大攻擊的源端口。

在傳統的 DDoS 放大攻擊中，攻擊者會從遠程服務器反彈惡意數據包，并通過欺騙 IP 將其發送給受害者，源端口始終是放大攻擊的服務端口。這樣一來，DDoS 緩解服務便可以阻止所有具有特定源端口的傳入數據包，從而檢測并阻止放大攻擊。但是，攻擊者可借助 UPnProxy 修改路由器的端口映射表，并用來掩蓋 DDoS 攻擊的源端口，這就意味著這些攻擊來自隨機的端口，從易受攻擊的服務器反彈，并攻擊受害者。

DDoS 放大攻擊或泛濫

Imperva 表示已發現了至少兩起采用該技術的 DDoS 攻擊，并且也通過其內部 開發出的 POC 腳本成功進行了測試。該 PoC 代碼通過搜索暴露其rootDesc.xml文件的路由器（其中包含端口映射配置），添加了隱藏源端口的自定義端口映射規則，隨后發起了 DDoS 放大攻擊。DDoS 放大攻擊主要步驟如下：

第一步：找到一個開放的UPnP路由器

第二步：訪問設備XML文件

第三步：修改端口轉發規則

第四步：啟動端口混淆 DNS 放大

通過2018年5月16日與14日的 SHODAN 搜索情況對比顯示，暴露 rootDesc.xml 文件的路由器數量仍在增加。

關于暴露rootDesc.xml 文件的路由器數量變化

出于安全的考慮，該公司未公開 PoC 代碼。隨著時間的推移，這種技術將變得越來越流行。研究人員建議路由器所有者禁用 UPnP 功能。

Imperva 公司指出，通過掩蓋傳入網絡數據包的源端口，依賴這類信息阻止攻擊的老舊 DDoS 緩解系統需升級到依賴深度包檢測（DPI）技術的復雜解決方案。