シンプル サービス検出プロトコル (SSDP) 攻撃は、ユニバーサル プラグ アンド プレイ (UPnP) ネットワーク プロトコルを利用するリフレクション ベースの分散型サービス拒否 (DDoS) 攻撃の一種です。SSDP 攻撃では、攻撃者はネットワーク上の UPnP デバイスの検出に使用される SSDP を悪用して、標的の被害者に大量のトラフィックを送信します。攻撃の目的は、ターゲットのインフラストラクチャを圧倒し、Web リソースにアクセスできないようにすることです。
SSDPは、ネットワークサービスとプレゼンス情報の広告と検出に使用されるプロトコルです。UDP上で動作し、プリンター、ルーター、その他のデバイス間のシームレスな通信のためにホームネットワークでよく使用されます。 メディアサーバーただし、オープンかつステートレスな性質のため、攻撃者による悪用を受けやすくなります。
SSDP 攻撃では、攻撃者は、偽装した送信元 IP アドレス (ターゲットの IP アドレス) を使用して、SSDP 対応デバイスにリクエストを送信します。デバイスは、ターゲットの IP アドレスに非常に大量のデータで応答し、被害者に向けられた増幅されたトラフィック量が発生します。この増幅効果により、帯域幅の消費量が大幅に増加し、ターゲットのネットワークが過負荷になり、サービスが中断される可能性があります。
SSDP 攻撃の主な特徴は次のとおりです。
- 反射この攻撃は、SSDP 対応デバイスからのトラフィックをターゲットに反射し、攻撃者の身元を隠します。
- 増幅攻撃者は SSDP プロトコルを悪用して、デバイスから元の要求よりも大きな応答を生成し、攻撃の影響を増幅します。
- UDP プロトコル: UDP を使用すると、接続ハンドシェイクが不要になるため、IP アドレスのスプーフィングが容易になります。
SSDP 攻撃を軽減するために、組織は、インターネットに公開されているデバイスで UPnP を無効にする、ネットワーク境界で SSDP トラフィックをフィルタリングおよびブロックする、ネットワーク トラフィックを監視して異常なアクティビティの兆候を検出するなどのセキュリティ対策を実施できます。ネットワーク デバイスを定期的に更新してパッチを適用することでも、悪用されるリスクを軽減できます。