SSDP DDOS Saldırıları

SSDP saldırıları basit hizmet keşif protokolü olarak tanımlanır. Hedeflenen bir kurbana aşırı miktarda trafik göndermek için UPnP cihazları kullanılır. Ağ protokollerinden yararlanan yansıma tabanlı bir DDOS saldırı türüdür. Bu saldırı türünde amaç hedefin altyapısı ve web kaynaklarını çevrimdışı duruma getirmektir. Evrensel tak çalıştır cihazlarının herkese açık IP adresleri tespit edilerek SSDP cihazları olup olmadığı kontrol edilmektedir.

SSDP Saldırısı Nasıl Yapılır?

Legal kullanımda SSDP protokolü, UPnP cihazlarının varlıklarını ağdaki diğer cihazlara bildirmek ve izin vermek içindir. Örnek vermek gerekirse UPnP destekli bir yazıcının IP adresi alarak ağa dahil olduktan sonra ağ içerisine özel bir mesaj göndererek yazdırma işlemine hazır olduğunu iletmesi verilebilir. Bu sayede ağdaki tüm cihazlar bu yazıcı ile iletişime geçerek yazıcıyı kullanabilir.

SSDP saldırıları bu iletişim metodunu kullanılarak gerçekleştirilir. İlgili cihazdan hedeflenen kurbana yanıt vermesi istenir ve bu hizmet talebi kötüye kullanılarak yapılır.

SSDP Saldırı Aşamaları Nelerdir?

• İlk adımda siber saldırgan büyütme faktörleri olarak kullanılabilecek tak ve çalıştır özelliğine sahip cihazları tespit eder.
• Saldırgan ağa bağlı cihazları keşfederken, yanıt veren tüm cihazların bir listesini oluşturmaya başlar.
• Ardından UDP paketi içerisine kurbanın ip adresi yerleştirilir.
• Saldırı aşamasında bir botnet ağını kullanarak olabildiğince fazla veri talebi gönderecek saldırı paketleri oluşturmaya başlar.
• Sonuç olarak kullanılan her cihaz kurbana saldırgan talebinin yaklaşık olarak 30 katı büyüklükte bir veri göndermeye başlar.
• Ne kadar çok UPnP cihazı kullanılırsa saldırı trafiği 30 kat artarak kurbana ulaşır.
• Hedeflenen kurban sistem bu trafikle baş edemez ve siber saldırgan amacına ulaşmış olur.

SSDP Saldırıları Nasıl Azaltılır?

Genel olarak ağ yöneticileri SSDP saldırılarına karşı Firewall cihazlarında 1900 numaralı porta gelen UDP trafiğini engelleyerek bu saldırıya önlem almaya çalışır. Bu savunma yöntemi en temel korunma yöntemlerinden biridir.

Saldırı tek bir ip adresini hedefliyorsa, Anycast ağları sayesinde tüm saldırı trafiğini kesintiye uğratmayacak şekilde birçok noktaya dağıtmak gereklidir. Bu sayede yük dağıtılarak kontrol altına alınmış olur.