近日，据外媒报道称，攻击者正在尝试采用UPnP（Universal Plug and Play，通用即插即用，基于TCP/IP协议和针对设备彼此间通讯而制订的新Internet协议）协议来屏蔽DDoS泛洪期间发送的网络数据包源端口，从而绕过DDoS缓解服务。

在本周一（5月14日）发布的一份报告中，DDoS缓解公司Imperva表示，其已经发现了至少两起采用该技术的DDoS攻击活动。

Imperva公司表示，通过屏蔽传入网络数据包的源端口，依赖读取此类信息来阻止攻击的老旧DDoS缓解系统需要更新升级到更为复杂的新版本，其依赖于深度包检测（DPI）技术，是一种成本更高但速度更慢的解决方案。

攻击者如何利用UPnP协议？

问题的核心在于通用即插即用（UPnP）协议旨在简化在本地网络上发现附近设备的过程。该协议的其中一个功能是能够将连接从互联网转发到本地网络。它通过将传入的互联网IP：port连接映射到本地IP：port服务。该功能允许NAT遍历，同时还允许网络管理员和远程用户访问仅在内部网络上可用的服务。

Imperva公司研究人员表示，事实上，很少有路由器真的会去验证提供的内部IP，并遵守所有的转发规则。这就意味着，如果攻击者设法感染端口映射表，他可以使用路由器作为代理，并将传入的互联网IP重定向到其它互联网IP中。

这种类型的攻击场景其实并不新鲜。Akamai公司曾于上个月就详细介绍过这种技术——“UPnProxy”，该公司还披露称，发现僵尸网络和国家支持型网络间谍组织正在使用家用路由器作为代理，来反弹并隐藏恶意流量。

将UPnProxy技术用于DDoS攻击

Imperva公司进一步介绍称，同样的技术也可能被滥用于发起DDoS攻击，其目的是屏蔽DDoS放大攻击（也被称为反射DDoS攻击）的源端口。

典型的DDoS放大攻击依赖于攻击者将远程服务器上的恶意数据包弹出，并通过欺骗性IP将其发送给受害者。在这种攻击类型中，源端口始终是放大攻击的服务端口。例如，在DNS放大攻击期间，从DNS服务器反弹的数据包的源端口为53，而NTP放大攻击的源端口为123。

这样一来，DDoS缓解服务便可以通过阻止所有具有特定源端口的传入数据包，来检测并阻止放大攻击。

但是，借助UPnProxy技术，攻击者便可以修改脆弱的路由器的端口映射表，并用它们来屏蔽DDoS攻击的源端口，这就意味着，这些攻击来自随机端口，从易受攻击的服务器上弹出，并击中DDoS攻击的受害者。

DDoS放大攻击在野案例

Imperva公司表示，其已经发现了至少两起采用该技术的DDoS攻击活动，且已经利用自身开发的概念验证（POC）脚本成功进行了测试。

该PoC代码通过搜索暴露其rootDesc.xml文件的路由器（其中包含端口映射配置），添加了隐藏源端口的自定义端口映射规则，然后发起了DDoS放大攻击。不过，出于对安全因素的考虑，该公司暂未公开PoC代码。

Imperva公司安全团队表示，

我们希望这些调查结果能够帮助DDoS缓解服务行业，在攻击变得更为复杂且不可预测之前，做好防御准备。同时，我们也希望这份研究报告能够提升业界对于UPnP相关安全威胁的重视，帮助物联网制造商和分销商树立安全意识。

毫无疑问，随着时间的推移，这项技术将变得越来越流行。最后，研究人员建议路由器所有者可以通过禁用UPnP功能来缓解威胁。