Обнаружен новый способ проведения DDoS-атак с помощью протокола UPnP

Исследователи из компании Imperva обнаружили новый способ проведения DDoS-атак с использованием протокола UPnP. По словам представителей организации, они наблюдали как минимум 2 DDoS-атаки с помощью данного метода.

Использование UPnP в DDoS-атаках

В основе найденного метода лежит UPnP — протокол, предназначенный для обнаружения соседних устройств в локальной сети и перенаправления в нее соединений из Интернета. При этом он позволяет обходить механизм NAT и дает сетевым администраторам удаленный доступ к службам, которые по умолчанию доступны только во внутренней сети. Проблема, по словам Imperva, заключается в том, что несколько маршрутизаторов пытаются идентифицировать, действительно ли представленный внутренний IP-адрес является таковым.

Данный механизм, названный UPnProxy, в апреле 2018 года описали специалисты компании Akamai. С его помощью операторы ботнетов и кибершпионские группировки массово использовали маршрутизаторы в качестве прокси-серверов и перенаправляли вредоносный трафик.

Однако Imperva заявляет, что UPnProxy можно использовать и для проведения DDoS-атак. По их словам, злоумышленник может редактировать таблицу сопоставления портов уязвимых маршрутизаторов. В дальнейшем с их помощью он будет способен замаскировать исходный порт DDoS-атаки:

Защита от DDoS-атаки с замаскированными исходными портами

Исследователи из Imperva воспроизвели одну из двух обнаруженных DDoS-атак. Используя PoC-код, они искали маршрутизаторы, которые открывали файл rootDesc.xml, содержащий конфигурацию сопоставления портов. Отредактировав настройку, им удавалось начать усиленный широковещательный шторм.

Для защиты от такого типа DDoS-атак компания советует отключать поддержку протокола UPnP, если он не используется.

Способы для проведения DDoS-атак постоянно совершенствуются. Напомним, что в конце февраля 2018 года была зафиксирована первая «нативная» DDoS-атака по протоколу IPv6.