Durante el último tiempo, se puede decir dos años, hemos notado un gran incremento en la utilización del puerto 1900 para llevar a cabo ataques de denegación de servicio distribuido.

La justificación de este patrón de comportamiento por parte de los atacantes, se debe a la utilización de una técnica denominada amplificación o reflectación, ya que en el puerto 1900 corre un protocolo denominado SSDP (Simple Service Discovery Protocol) que posee un factor de amplificación de 30.8.

Si bien SSDP no es de los protocolos que mayor amplificación realiza, la característica particular que tiene es que como es parte del protocolo de UPnP (Plug and Play) controla la comunicación de éste, es muy fácil encontrar dispositivos que corran éste protocolo y se que puedan utilizar para reflectar porque no cuentan con los debidos

parches o control. Basta con utilizar, por ejemplo ScanNow for Universal Plug and Play de Rapid7, el auxiliary/scanner/upnp/ssdp_msearch para identificar en una red o buscar en shodan alguno de los dispositivos que están en la siguiente url (upnp hacks).

De éste modo, los atacantes pueden tener a su disposición una gran cantidad de dispositivos que responden las solicitudes spoofeadas realizando peticiones UDP a una misma ip víctima que devuelve paquetes ICMP autoconsumiendo recursos.

Veamos el proceso más detallado:

- El atacante hace una petición spoofeando la ip de la víctima porque udp no valida.

- La petición es amplificada 30.8 al apuntar al puerto 1900.

- Todas las respuestas van a la ip spoofeada, es decir a la víctima.

Escrito enviado de manera anónima, quiero dar las gracias por haberlo realizado  y aun mas por tener el tiempo para compartir.

Regards,

Snifer