大量ssdp包堵塞路由.怀疑有人利用ssdp漏洞ddos攻击。查不出来源高手帮忙

traitor · 发表于 2007-10-29 20:32:23

我维护的一个网吧最近一直反应网络很卡.分析了一下网络发现所有机器都向239.255.255.250：1900这个目标发送ssdp包。并且生存周期只有1 数量很大。239.255.255.250。mac地址是01-00-5e-7f-ff-fa
高手帮忙出个主意啊

[ 本帖最后由 traitor 于 2007-10-29 20:48 编辑 ]

traitor · 发表于 2007-10-29 20:35:39

这是其中一个数据包的截图

traitor · 发表于 2007-10-29 20:37:12

我查看了ssdp服务是禁止的。没有启动。udp服务是手动也没有启动。。居然还会发送？

traitor · 发表于 2007-10-29 20:40:53

运行了UPnP服务的系统实施攻击并非难事，只要向该系统的1900端口发送一个UDP包，其中“LOCATION”域的地址指向另一个系统的Chargen端口，就可能使系统进入一个无限的连接循环，这将会导致受影响系统 CPU 和内存占用率达100%，使远程XP系统完全不能使用而拒绝了服务，只有通过重启后系统才能恢复正常。另外，攻击者只要向某个拥有众多XP主机的网络发送一个伪造的UDP报文，也可能会导致目标网络上所有的XP主机通过所选择的URL，执行了一个攻击的选择。而且当UPNP的部分服务被当作UDP来执行的时候，他产生的所有这些攻击都是难以找到的。

　　解决办法：最明智的做法是完全关闭UPNP服务，因为大多数的人都不用他们。要记住：服务开得越少，你就越安全。单击XP的控制面板/管理工具/服务，双击“Universal Plug and Play Device Host”服务，在启动类型中选择“已禁用”关闭UPnP服务。

明显这个服务我并没有启动

traitor · 发表于 2007-10-29 20:57:57

服务状态。

traitor · 发表于 2007-10-29 21:18:05

经过检查发现网络里有一台机器ssdp服务是开启的。
可是如果其他机器的ssdp服务都关闭了。就1台机器开了ssdp服务那么为什么所有关闭了ssdp服务的机器也会发ssdp包到组播地址？

traitor · 发表于 2007-10-29 21:19:12

而且检查了系统所有补丁齐全。ms-059这个漏洞应该打了补丁。。。

菜鸟人飞 · 发表于 2007-10-30 09:34:01

从楼主的截图来看，发送这些SSDP数据包的源主机MAC地址是00:0A:EB:AE:3C:9F，是一个TP-LINK的交换机，而不是网络中的客户端。
楼主可以首先去检查对应的交换机，而不是网络中的客户端机器，大量的SSDP数据包的确能够阻塞路由器，导致网络通讯中断。

robur · 发表于 2007-10-30 13:37:46

原帖由 菜鸟人飞 于 30/10/2007 09:34 发表
从楼主的截图来看，发送这些SSDP数据包的源主机MAC地址是00:0A:EB:AE:3C:9F，是一个TP-LINK的交换机，而不是网络中的客户端。
楼主可以首先去检查对应的交换机，而不是网络中的客户端机器，大量的SSDP数据包的确能够 ...

我也这么认为。
UPNP关闭了倒是可以，不过在内网的p2p应用会受到限制。

traitor · 发表于 2007-10-31 11:09:03

32 33 39 2E 32 35 35 2E 32 35 35 2E 32 35 30 3A 31 39 30 30 0D 0A 4D 41 4E 3A 20 22 73 73 64 70 3A 64 69 73 63 6F 76 65 72 22 0D 0A 4D 58 3A 20 36 0D 0A 53 54 3A 20 75 72 6E 3A 73 63 68 65 6D 61 73 2D 75 70 6E 70 2D 6F 72 67 3A 73 65 72 76 69 63 65 3A 57 41 4E 49 50 43 6F 6E 6E 65 63 74 69 6F 6E 3A 31 0D 0A 0D 0A
.^�?
氙?.E..燦?.竤括K?�?Gl.屰凪-SEARCH * HTTP/1.1
HOST: 239.255.255.250:1900
MAN: "ssdp:discover"
MX: 6
ST: urn:schemas-upnp-org:service:WANIPConnection:1
新的攻击包

traitor · 发表于 2007-10-31 11:12:15

Anexamplesession:

NOTIFY*HTTP/1.1
HOST:239.255.255.250:1900
CACHE-CONTROL:max-age=1
LOCATION:URL
NT:urn:schemas-upnp-org:device:InternetGatewayDevice:1
NTS:ssdp:alive
SERVER:EEYE/2001UPnP/1.0PASSITON/1.1
USN:uuid:EEYE
典型的upnp漏洞攻击包

traitor · 发表于 2007-10-31 11:13:29

来个高手研究下解决方案啊

traitor · 发表于 2007-10-31 11:24:04

原帖由 菜鸟人飞 于 2007-10-30 09:34 发表
从楼主的截图来看，发送这些SSDP数据包的源主机MAC地址是00:0A:EB:AE:3C:9F，是一个TP-LINK的交换机，而不是网络中的客户端。
楼主可以首先去检查对应的交换机，而不是网络中的客户端机器，大量的SSDP数据包的确能够 ...

239.255.255.250。mac地址是01-00-5e-7f-ff-fa 是组播地址。
路由器器不会发送ssdp包吧？

traitor · 发表于 2007-10-31 11:25:06

http://www.microsoft.com/technet/security/bulletin/MS01-059.asp
这个补丁是sp1的补丁 sp2的系统应该不用打。

traitor · 发表于 2007-10-31 11:25:56

我们这里的网吧大多有这个问题。。至少我就见了4家了。郁闷。高手来解决啊。

traitor · 发表于 2007-10-31 11:42:44

NOTIFY * HTTP/1.1
HOST: 239.255.255.250:1900
CACHE-CONTROL: max-age=10
LOCATION:http://IPADDRESS

ORT/.xml
NT: urn:schemas-upnp-org:device:InternetGatewayDevice:1
NTS: ssdp:alive
SERVER: EEYE/2001 UPnP/1.0 product/1.1
USN: uuid:EEYE
---------------------------------------------------------------------------------------------
SEARCH * HTTP/1.1
HOST: 239.255.255.250:1900
MAN: "ssdp:discover"
MX: 6
ST: urn:schemas-upnp-org:service:WANIPConnection:1

traitor · 发表于 2007-10-31 12:24:02

问题得到了解决.p2p软件牵扯到了upnp协议。
我做的系统里安装了2个关于p2p电影的服务
BoBoTurbo
BoBo P2P控件的智能升级服务和P2P加速服务组
C:\WINDOWS\system32\BoBoTurbo\BoBoTurbo.exe
P4P Service
C:\Program Files\Common Files\Sogou PXP\p2psvr.exe
这2个服务原来是为了观看某些电影网站的p2p电影安装的。
他们不停的向组播地址发送ssdp包
机器数量过多的网络如果全部安装会造成路由器负荷。

traitor · 发表于 2007-10-31 12:27:47

家庭用户安装没有问题。不建议在网吧。公司。企业等大型网络安装

iohui · 发表于 2007-10-31 12:34:31

能否附个工程文件上来

大量ssdp包堵塞路由.怀疑有人利用ssdp漏洞ddos攻击。查不出来源高手帮忙

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分