Penyerang bereksperimen dengan metode baru untuk menghindari beberapa solusi mitigasi DDoS dengan menggunakan protokol UPnP (Universal Plug and Play) untuk menutupi port sumber paket jaringan yang dikirim selama serangan DDoS.


Dalam laporan yang diterbitkan pada hari Senin, perusahaan mitigasi DDoS Imperva mengatakan mengamati setidaknya dua serangan DDoS menggunakan teknik ini.




Dengan menutupi port asal paket jaringan yang masuk, Imperva mengatakan bahwa sistem mitigasi DDoS yang lebih tua, yang mengandalkan pembacaan info ini untuk memblokir serangan perlu diperbarui ke solusi yang lebih kompleks yang bergantung pada paket inspeksi mendalam (DPI).

Bagaimana UPnP membantu penyerang

Inti permasalahannya adalah protokol UPnP (Universal Plug and Play), teknologi yang dikembangkan untuk menyederhanakan penemuan perangkat terdekat di jaringan lokal.

Salah satu fitur protokol adalah kemampuannya untuk meneruskan koneksi dari Internet ke jaringan lokal. Hal ini dilakukan dengan memetakan koneksi IP:port yang masuk (Internet) ke layanan IP:port lokal.
Fitur ini memungkinkan NAT traversal tetapi juga memungkinkan admin jaringan pengguna remote mengakses layanan yang hanya tersedia di jaringan internal.

Namun, beberapa router benar-benar repot untuk memverifikasi bahwa disediakan ‘IP internal; aslinya internal, dan mematuhi semua aturan penerusan sebagai hasilnya,” kata peneliti Imperva.

Ini berarti bahwa jika penyerang berhasil meracuni tabel pemetaan port, ia dapat menggunakan router sebagai proxy dan mengalihkan IP Internet yang masuk ke IP Internet lainnya.

Skenario jenis ini bukanlah hal baru. Akamai merinci teknik ini -disebut UPnProxy- bulan lalu ketika ia mengungkapkan bahwa ia menemukan botnet dan kelompok spionase cyber negara-negara menggunakan router rumah sebagai proxy untuk bounce dan menyembunyikan lalu lintas berbahaya.

Teknik UPnProxy digunakan untuk serangan DDoS

Tapi Imperva mengatakan teknik yang sama ini dapat disalahgunakan untuk serangan DDoS juga, untuk tujuan menyamarkan port sumber serangan DDoS amplifikasi – juga dikenal sebagai refleksi serangan DDoS.
Serangan DDoS amplifikasi klasik bergantung pada penyerang yang mem-bouncing paket berbahaya dari server jarak jauh dan mengirimnya ke korban melalui IP palsu.
Dalam serangan DDoS amplifikasi klasik, port sumber selalu merupakan port layanan yang memperkuat serangan. Sebagai contoh, paket bounce dari server DNS selama serangan amplifikasi DNS akan memiliki port sumber 53, sementara serangan amplifikasi NTP akan memiliki port sumber 123.

Ini memungkinkan layanan mitigasi DDoS mendeteksi dan memblokir serangan amplifikasi dengan memblokir semua paket yang masuk dengan port sumber tertentu.

Tetapi dengan menggunakan UPnProxy, penyerang dapat mengubah tabel pemetaan port dari router rentan, dan menggunakannya untuk menyembunyikan port sumber serangan DDoS, sehingga mereka datang dari port acak, bounce dari server yang rentan, dan menekan korban serangan DDoS.


Serangan DDoS dengan port sumber masked sekarang ada di alam bebas

Imperva mengatakan bahwa mereka mengembangkan skrip in-house proof-of-concept bahwa mereka berhasil menguji dan mereproduksi salah satu dari dua serangan DDoS yang mereka temui di alam bebas.


Kode PoC mencari router yang mengekspos file rootDesc.xml mereka —yang menyimpan konfigurasi pemetaan port—, menambahkan aturan pemetaan port khusus yang menyembunyikan port sumber, dan kemudian meluncurkan serangan DDoS amplifikasi. Perusahaan tidak merilis PoC ke publik, karena alasan yang jelas.

Serangan Imperva terdeteksi di alam bebas, yang mereka percayai menggunakan UPnP untuk menyembunyikan port sumber, memanfaatkan protokol DNS dan NTP selama serangan DDoS, yang berarti teknik ini agnostik dalam hal jenis teknik DDoS amplifikasi yang digunakan penyerang.
Ini harapan kami bahwa temuan ini akan membantu industri mitigasi mempersiapkan diri untuk taktik penghindaran yang dijelaskan di atas sebelum mereka menjadi lebih umum,” kata tim Imperva.

Kami juga berharap bahwa temuan kami akan menambah badan penelitian yang berfokus pada ancaman keamanan terkait UPnP, dan membantu mempromosikan kesadaran keamanan yang lebih baik di antara produsen dan distributor IoT.”

Teknik ini, tidak diragukan lagi, akan menjadi lebih populer seiring berjalannya waktu. Sama seperti ketika UPnProxy terungkap, pemilik router disarankan untuk menonaktifkan dukungan UPnP jika mereka tidak menggunakan fitur tersebut.