通过暴力手段淹没目标网络的ddos（分布式拒绝服务）攻击，是能够让受害者无法正常处理网络请求的一种高破坏力、高攻击效率的大危害网络攻击形式。在多种表现形式中，通常我们看到的是流量拥塞和带宽消耗。由于ddos攻击能够对企业的网络型业务造成严重的威胁，并且很难用传统的办法进行防护，俨然成为当下的一种网络公害。

upnp协议成ddos攻击帮凶

然而近日，相关机构发现不论是路由器、网络摄像头，还是电视，又或是媒体服务器、打印机，数以百万计的家庭终端设备正由于普遍应用一种网络通讯协议，而可能成为直接或间接放大ddos攻击流量的帮凶。这个网络通讯协议便是我们常常使用却不大起眼的upnp（即插即用）协议。

据悉，upnp设备间是通过ssdp（简单服务发现协议）进行相互感知的，利用soap（简单对象访问协议）来获取控制信息，并进行信息反馈。可是随着upnp通信方案在终端设备间的大量滥用，令攻击者能够方便直接地获得巨大的攻击流量，来阻碍目标企业的正常网络服务。

超过400万设备易被ddos攻击利用

研究机构发现自从今年7月以来，就有利用家庭终端设备进行ddos攻击的证据，目前这种情况正不断增加，并有向常态化发展的趋势。据该机构调查显示，有410万台面向互联网的upnp设备，可以被ddos攻击利用进行流量反射。

在实验室实验中，研究人员模拟了一个小规模的ddos攻击，在获取了易受攻击的设备列表后，他们从攻击者处收到了伪装成目标ip地址的恶意请求。在攻击过程中，这些终端设备都被利用，像攻击目标发送、反馈了像描述文件似的文件。而如果攻击者一旦获得由足够的设备响应，则为展开一次真正的ddos攻击创造了条件。

python脚本被用于ssdp扫描和攻击

上述易受攻击的终端设备，均是通过使用ssdp协议对端口1900进行扫描而获得的。研究人员发现网络犯罪分子可以依靠一个python脚本（ssdpscanner.py）来确定反射器。而该操作是由为大规模扫描提供某一范围内的ip地址展开的。

另一个python脚本（ssdpattack.py）则可被用于运行攻击。它是一个不同版本的扫描工具，其中包括数据包级别的假冒ip源，它实现了反射流量的攻击。而该工具被设计为一旦启动直到通过手动终止，才能停止运行，危害性较大。

什么是upnp协议？

upnp这个概念是从即插即用（plug-and-play），即热拔插技术中派生而来的。upnp协议简化了家庭网络和企业局域网中各种设备连接，使内网中任意两个设备能互相通信，而不需要特别配置。

upnp协议

upnp协议的目标是使家庭网络（数据共享、通信和娱乐）和公司网络中的各种设备能够相互无缝连接，并简化相关网络的实现。upnp通过定义和发布基于开放、因特网通讯网协议标准的upnp设备控制协议来实现这一目标。

如何应对防御upnp 洞

对于upnp安全 洞来说，因为很多网络设备出厂时都是默认开启这个即插即用功能的，因此我们需要手动关闭upnp功能。以无线路由器为例，需要进入到它的web配置界面里进行调整。

一般路由器的upnp功能可在“高级”选项中找到，用户只需将勾中的选项去除即可。

一般路由器的upnp功能为默认开启，建议关闭该功能。

当然，上述方法只能尽量降低upnp协议 洞的影响，为了今后让更多受波及的终端设备能够提升安全性，恐怕还需要同各个设备制造商进行协商，来查 补缺，这就可能要耗费时日了。