智安 *** 讯：据外媒 15 日报道， *** 安全解决方案提供商 Imperva 披露攻击者正在利用 UPnP 协议掩盖 DDoS 攻击期间发送的 *** 数据包源端口，从而绕过 DDoS 缓解服务。Imperva 已发现了至少两起采用该技术的 DDoS 攻击， 包括 DDoS 放大攻击。

UPnP如何利用？

问题的来源在于通用即插即用（UPnP）协议，这个协议原本的目的是简化在本地 *** 上发现附近设备的过程。它能够将互联网连接转发到本地 *** ，把连接映射到本地。

此功能能够被用来穿透NAT， *** 管理员也可以远程访问内网里的服务。

“但是，很少有路由器真的会确认内网IP，因此路由器会执行所有的转发规则，”Imperva的研究人员说。

这意味着如果攻击者设法污染端口映射表，他可以使用路由器作为 *** ，并且把IP重定向。

实际上利用UPnP进行攻击并不新鲜。Akamai就曾介绍过这种攻击，并把它称为UPnProxy。

UPnProxy能做什么？

Imperva表示，这项技术也可能被滥用于DDoS攻击以屏蔽放大（amplification）DDoS攻击的源端口，即反射DDoS攻击。

DDoS放大攻击需要由攻击者发送数据包并通过欺骗性IP将其发送给受害者。

在传统的DDoS放大攻击中，源端口指向的始终是放大攻击服务的端口。例如，DNS放大攻击时从DNS服务器反弹的数据包的源端口号为53，而NTP放大攻击的源端口号为123。

基于这个原理，那些抗DDoS的服务可以屏蔽指定源端口来阻止DDoS攻击。

但是如果黑客使用了UPnProxy，就可以修改端口映射表，可以把端口映射为随机，从而绕过DDoS防御服务。

后果：DDoS 放大攻击或泛滥

Imperva 公司表示已开发一款自有 PoC 脚本并已测试成功，而且复现了在实际中发现的两起 DDoS 攻击中的一种。

他们开发的 PoC 查找暴露 rootDesc.xml 文件（该文件持有端口映射配置文件）的路由器，添加隐藏源端口的自定义端口映射规则，随后发动 DDoS 放大攻击。

DDoS 放大攻击主要步骤如下：

之一步：找到一个开放的UPnP路由器

第二步：访问设备XML文件

第三步：修改端口转发规则

第四步：启动端口混淆 DNS 放大

通过2018年5月16日与14日的 SHODAN 搜索情况对比显示，暴露 rootDesc.xml 文件的路由器数量仍在增加。

而出于安全的原因，该公司并未发布该 PoC 代码。

建议大家如果没有使用的需要就把路由器的UPnP功能关闭。

云联防：全网分布式联动防御

业务快速接入云联防系统，轻松抵御各类流量攻击，实现了1+1＞2的防御效果。