8

我正在实现一个应该响应SSDP M-SEARCH查询的设备。

我是设备供应商,我无法控制这些设备的部署位置。

有一种已知的 DDoS 攻击使用 SSDP 搜索放大,即攻击者从虚假地址发送搜索请求,而编码不良的 SSDP 服务器会响应该虚假地址。假地址最终会受到打击。

我应该怎么做才能防止我的设备被用于此类攻击?

  1. 仅设置 TTL=2 并依靠路由器丢弃数据包
  2. 只响应来自自己子网的请求
  3. 为有效的查询源子网添加配置选项
  4. 猜猜什么 IP 地址是“本地”和“全球”
  5. 添加响应油门,希望最好
  6. 你的建议?

Wrt 1. TTL 应该根据 SSDP 规范进行配置;即使响应非常低,仍然会从本地网络泄漏。如果网络上有一个桥接 VPN,响应会泄漏得很远。

Wrt 2. 我可以想象可以访问多个子网的公司网络(例如,一个子网用于无线客户端,另一个用于台式机,另一个用于服务器),因此我的设备必须可以跨子网搜索(尽管每个规范都受 TTL 限制)。

Wrt 3.配置和维护麻烦。

Wrt 4.有可靠的方法吗?IPv6 怎么样?具有例如 /28 片全局地址的网络呢?

Wrt 5. 来自无数设备的涓涓细流仍然相当于洪流......

参考:https ://blog.sucuri.net/2014/09/quick-analysis-of-a-ddos-attack-using-ssdp.html

4

1 回答 1

3

另一种选择是根本不回复单播请求。不过,我不能给你一个明确说明这是允许的消息来源。其中一个草稿读起来肯定是这样,如果它也是,那也是有道理的:毕竟这是一个发现协议。

由于在任何合理的默认配置中默认情况下都不会路由多播,并且 239.0.0.0/8 是组织本地的,因此您可以放心地假设到达多播地址的请求是真实的。(当然,除非您自己的网络中有攻击者,但这是一个不同的问题。)

在 Linux 上,可以使用IP_PKTINFO套接字选项检查传入的 UDP 数据包,以验证它实际上是发送到多播地址的:

https://stackoverflow.com/a/5309155/705086 http://www.linuxquestions.org/questions/programming-9/how-to-get-destination-address-of-udp-packet-600103/

于 2015-09-17T10:20:12.427 回答