Che cos'è un attacco DDoS di tipo SSDP (Simple Service Discovery Protocol)?

Il protocollo SSDP, o Simple Service Discovery Protocol, è un protocollo sviluppato dallo Universal Plug and Play (UPnP) Forum per permettere ai dispositivi collegati in rete di comunicare e individuarsi tra loro. Consente a un dispositivo di pubblicizzare i suoi servizi ad altri dispositivi sulla stessa rete. In tal modo, i dispositivi possono essere rilevati e configurati automaticamente con sforzo minimo da parte dell'utente. Inoltre, il protocollo SSDP può essere utilizzato per altri scopi, ad esempio per il rilevamento dei server multimediali, il controllo dei sistemi di automazione domestica, la gestione delle telecamere IP, la ricerca di stampanti e fax e l'individuazione delle console di gioco.

Il protocollo SSDP funziona inviando messaggi multicast tramite una LAN (Local Area Network). Questi messaggi vengono ricevuti da tutti i dispositivi connessi a quella LAN, che possono rispondere con le proprie informazioni di identificazione. Ciò consente al dispositivo mittente di identificare i servizi disponibili offerti dal dispositivo rispondente. La comunicazione tra questi due dispositivi è completamente automatica, il che consente agli utenti di aggiungere facilmente nuovi dispositivi senza doverli configurare manualmente.

Il protocollo SSDP dispone anche di applicazioni nelle reti informatiche distribuite, dal momento che può offrire ai server un modo per individuare i client su una determinata LAN. In questo caso, il protocollo SSDP offre un mezzo efficiente per distribuire le informazioni tra più computer e rispondere, in modo efficace, alle richieste degli utenti connessi. Inoltre, alcune applicazioni utilizzano il protocollo SSDP per l'individuazione dei servizi, per facilitare la comunicazione tra diversi processi in esecuzione su computer separati sulla stessa LAN.

Nel complesso, l'SSDP è un protocollo importante che offre molti vantaggi quando si tratta di connettere dispositivi su una LAN o un sistema informatico distribuito. In generale, il protocollo SSDP non dovrebbe essere esposto a Internet e, se esiste uno scopo legittimo per esporlo, dovrebbe essere gestito e protetto adeguatamente dagli intenti malevoli.

Un attacco DDoS di tipo SSDP è un tipo di attacco in rete che utilizza il protocollo SSDP (Simple Service Discovery Protocol) per prendere di mira i sistemi vulnerabili. Questo protocollo è stato progettato per consentire il rilevamento rapido e veloce di dispositivi quali stampanti, modem e videocamere di sorveglianza su una rete. Tuttavia, a causa dei suoi inerenti difetti di progettazione, può essere sfruttato per lanciare l'esecuzione di codice dannoso o attacchi DDoS (Distributed Denial-of-Service). Un attacco SSDP consiste nell'inviare un gran numero di richieste sconosciute come "messaggi di rilevamento", che possono sovraccaricare le risorse del sistema preso di mira e impedire agli utenti legittimi di connettersi. La maggior parte, se non tutti, questi pacchetti sono falsificati e, in alcuni casi, questi messaggi di rilevamento possono essere usati per iniettare codice dannoso nel sistema preso di mira.

I principali sintomi di un attacco DDoS di tipo SSDP sono servizi di produzione non disponibili, velocità della rete rallentata e perdita di connettività da parte dell'utente. Inoltre, durante un attacco, le risorse addette all'assistenza clienti vengono sovraccaricate, mettendo ancora più pressione sui team di sicurezza per identificare e risolvere il problema. Infine, molte vittime di attacchi SSDP ricevono dei messaggi di errore quando cercano di connettersi a risorse online quali siti Web o servizi VPN aziendali.

Akamai offre una protezione DDoS end-to-end che agisce come una prima linea di difesa, fornendo strategie che si avvalgono di un edge dedicato, un DNS distribuito e la mitigazione sul cloud nell'intento di prevenire danni collaterali e single point of failure. I nostri cloud DDoS appositamente progettati offrono una capacità di scrubbing dedicata e una qualità di mitigazione superiore per soddisfare gli specifici requisiti delle applicazioni web o dei servizi basati su Internet.

Uno dei modi migliori per arrestare gli attacchi DDoS di tipo SSDP o di altro tipo è quello di usare Akamai Prolexic, un servizio di scrubbing su cloud collaudato sul campo che protegge tutti i data center e l'infrastruttura basata su Internet dagli attacchi DDoS su tutte le porte e tutti i protocolli. Akamai Prolexic consente ai team addetti alla sicurezza di:

• Ridurre il rischio di attacchi DDoS, grazie a controlli di mitigazione proattivi e allo SLA (accordo sul livello di servizio) immediato di Prolexic
• Arresto degli attacchi DDoS di tipo SSDP altamente complessi senza sacrificare la qualità della mitigazione
• Uniformazione delle strategie di sicurezza tramite l'applicazione di policy di mitigazione degli attacchi DDoS in modo coerente in tutta l'organizzazione, a prescindere da dove si trovino le applicazioni
• Ottimizzazione della risposta agli incidenti per garantire la continuità operativa con esercizi di convalida dei servizi, runbook personalizzati e tempestività nella risposta agli attacchi
• Scalabilità delle risorse di sicurezza con una soluzione completamente gestita. disponibile per oltre 225 addetti SOCC dedicati