利用 SSDP 反射发起 DDoS 攻击

SSDP,Simple Service Discovery Protocol
控制点(也就是接受服务的客户端)可以通过使用简单服务发现协议,根据自己的需要查询在自己所在的局部网络里面提供特定服务的设备。设备(也就是提供服务的服务器端)也可以通过使用简单服务发现协议,向自己所在的局部网络里面的控制点宣告它的存在。

在攻击思路上跟其他反射攻击一样,攻击者发起SSDP反射的大致过程为:
  • 通过IP地址欺骗方式,攻击者伪造目标服务器IP,向开放SSDP服务的控制点发起请求;
  • 由于协议设计缺陷,SSDP服务无法判断请求是否伪造,并向目标服务器进行响应。就这样数量极其庞大的SSDP响应报文同时发往被攻击服务器;
  • 更可怕的是在特定请求下,一个SSDP请求报文可以触发多个响应报文,而每个响应报文比请求报文体积更大,最终造成攻击流量约为30倍的放大。

防护方案

(1)预估攻击风险,必要时接入高防
(2)接入高防后,切勿暴露源站
(3)基于业务特性,定制防护策略