Navigation und Service

CERT-Bund-Reports

Offene SSDP-Server

Das Simple Service Discovery Protocol (SSDP) ist ein Netzwerkprotokoll, welches zur Suche nach UPnP-Geräten im lokalen Netzwerk dient. SSDP verwendet Port 1900/udp.

Problem

Offen aus dem Internet erreichbare SSDP-Server können für DDoS-Reflection-Angriffe gegen IT-Systeme Dritter missbraucht werden.

Prüfung

Dieser Abschnitt beschreibt, wie Sie Ihr System auf einen offenen Dienst prüfen können. Es existieren üblicherweise mehrere Wege, dies zu testen. Das hier beschriebene Verfahren ist eines davon. Für alle hier beschriebenen Testverfahren werden Programme verwendet, die in gängigen Linux/Unix-Distributionen enthalten sind. Um zu überprüfen, ob ein Dienst offen aus dem Internet erreichbar ist, sollte die Prüfung nicht auf dem System selbst oder im lokalen Netzwerk erfolgen, sondern von einem anderen System im Internet, zum Beispiel an einem Kabel/DSL-Internetzugang. In allen Beispielen muss 192.168.45.67 durch die IP-Adresse des Systems ersetzt werden, welches geprüft werden soll.

Um zu überprüfen, ob sich unter einer IP-Adresse ein offen aus dem Internet erreichbarer SSDP-Server befindet, rufen Sie zunächst in einem Terminal das Programm 'tcpdump' wie folgt auf:

# tcpdump -n -A host 192.168.45.67

In einem zweiten Terminal nutzen Sie die Bash-Shell, um eine SSDP-Anfrage zu senden:

$ perl -e 'print "M-SEARCH * HTTP/1.1\r\nHost:239.255.255.250:1900\r\n
ST:upnp:rootdevice\r\nMan:\"ssdp:discover\"\r\nMX:3\r\n\r\n"'
> /dev/udp/192.168.45.67/1900

Ein offen erreichbarer SSDP-Server liefert dann im ersten Terminal eine Antwort wie die folgende zurück:

HTTP/1.1 200 OK
Location: http://192.168.45.67:32469/DeviceDescription.xml
Cache-Control: max-age=1800
Server: UPnP/1.0 DLNADOC/1.50 Platinum/1.0.4.11
EXT:
USN: uuid:abcdb3c3-eada-b308-2e21-6edbab9cf4ed::upnp:rootdevice
ST: upnp:rootdevice
Date: Fri, 01 Apr 2016 11:15:08 GMT

Lösung

Wenn der SSDP-Server nicht benötigt wird, sollte er deaktiviert bzw. deinstalliert werden. Andernfalls sollte der Zugriff auf vertrauenswürdige Clients beschränkt werden, zum Beispiel durch die Blockierung eingehender Verbindungen auf Port 1900/udp auf der Firewall.

Weitere Informationen