挡不住的DDoS攻击：采用UPnP协议绕过解决方案！

近日，Canthink网络安全攻防实验室发现，攻击者正在尝试采用UPnP协议（the Universal Plug and Playprotocol）来屏蔽DDoS泛滥期间发送的网络数据包的源端口，从而绕过那些针对DDoS的解决方案。

据悉，UPnP协议旨在简化在本地网络上发现附近设备的过程，它能够将互联网连接转发至本地网络。它通过将传入（Internet）IP：端口连接映射到本地IP：端口服务来完成此操作。此功能允许NAT traversal穿越，但也可让用户远程访问内部网络。

对此，Canthink安全研究员表示，这需要基于深度包检测（DPI）的更为复杂的解决方案，成本更高、速度更慢。且一旦攻击者设法感染端口映射表，就能够以路由器为代理，将传入的Internet IP重定向到其他Internet IP，此项技术被称为UPnProxy 。

UPnProxy技术被DDoS攻击采用

这项技术也可能被滥用于DDoS攻击以屏蔽放大（amplification）DDoS攻击的源端口，即反射DDoS攻击。

传统的放大DDoS攻击是将远程服务器上的恶意数据包弹出并通过欺骗性IP将其发送给受害者，而源端口始终是放大攻击的服务端口。例如，DNS放大攻击期间从DNS服务器反弹的数据包的源端口号为53，而NTP放大攻击的源端口号为123。这使得DDoS缓解服务可以通过阻止所有具有特定源端口的传入数据包来检测和阻止放大攻击。

但使用UPnProxy后，攻击者可以修改易受攻击的路由器的端口映射表，并用它们来屏蔽DDoS攻击的源端口，使其源自随机端口，能从易受攻击的服务器上弹出，并击中DDoS攻击的受害者。

UPnP DDoS攻击与伪造的源端口

此外，Canthink网络安全攻防实验室还开发了一个内部的概念验证脚本，成功测试并重现了其中一个DDoS攻击：PoC代码搜索暴露其rootDesc.xml文件的路由器（其中包含端口映射配置），添加了隐藏源端口的自定义端口映射规则，然后发起了DDoS放大攻击。

毋庸置疑，这项技术将变得越来越流行。就像UPnProxy漏洞一样，Canthink研究员建议路由器所有者最好禁用UPnP支持。