Basit bir hizmet keşif protokolü (SSDP) saldırısı, sunucuya güçlendirilmiş bir trafik akışı göndermek için Universal Plug and Play (UPnP) ağ protokollerinden yararlanan bir yansıma DDoS saldırısı türüdür.

SSDP Saldırısı Nasıl Meydana Gelir?

SSDP, Universal Plug and Play protokol yığınını kullanarak hizmet kullanılabilirliğini keşfeder. Örneğin, bir UPnP yazıcı normal bir ağa bağlandığında multicast adresi adı verilen belirli IP adresine bir mesaj göndererek aynı ağdaki diğer bilgisayarlara sağladığı hizmetlerin türünü, ardından multicast adresi yeni yazıcının varlığını ağdaki diğer tüm bilgisayarlara duyurur. Her bilgisayar yazıcıyla ilgili bir bildirim alır almaz, yeni aygıtın işlevlerinin tam açıklamasını sağlamasını ister. Yazıcı, hizmetlerinin ayrıntılı bir açıklamasını sağlayarak yanıt verir. SSDP saldırısı, sağlanan hizmet türleri hakkındaki son kullanıcı sorgusundaki güvenlik açığını kullanarak yanıtları kurbanın adresine iletir.

Tipik bir SSDP yansıtma saldırısının 6 adımı şunlardır:

• Siber saldırgan, amplifikatör görevi görebilecek Plug and Play cihazları aramaya başlar.

• Sorgulara yanıt gönderebilen cihazları keşfeder ve bir liste yapar.

• Seçilen hedefin sahte IP adresiyle bir UDP paketi oluşturur.

• Saldırgan, her Plug and Play cihazına sahte sorgular içeren paketleri dağıtmak için bir botnet kullanır ve ssdp: rootdevice или ssdp: all gibi özel bayraklar ayarlayarak olabildiğince fazla bilgi ister.

• Sonuç olarak, her cihaz, seçilen hedefe saldırganın sorgusundan yaklaşık 30 kat daha büyük miktarda veriyle bir yanıt gönderir.

• Son olarak, kurban tüm cihazlardan muazzam miktarda trafik alır ve band genişliği dolar, bu da temiz trafiğin işlenememesine neden olur.

Sistem bir SSDP saldırısından nasıl korunur?

Sistem yöneticilerinin ağ güvenlik duvarını kullanarak 1900 numaralı bağlantı noktasından gelen tüm UDP trafiğini engellemesi çok önemlidir. Etkilenen trafik hacmi ağ altyapısını tıkamak için yeterli değilse bu tür önlemler makuldür. Bilgisayar korsanları genellikle SSDP'yi diğer saldırı türleriyle birleştirir. Bu nedenle, ağ koruması karmaşık önlemler gerektirir.