在当前的互联网领域，随着各种网络安全事件的频繁发生，如何做好安全防御，成为很多用户关注的焦点。

　　通过暴力手段淹没目标网络的DDoS（分布式拒绝服务）攻击，是能够让受害者无法正常处理网络请求的一种高破坏力、高攻击效率的大危害网络攻击形式。在多种表现形式中，通常我们看到的是流量拥塞和带宽消耗。由于DDoS攻击能够对企业的网络型业务造成严重的威胁，并且很难用传统的办法进行防护，俨然成为当下的一种网络公害。

　　UPnP协议成DDoS攻击帮凶

　　然而近日，相关机构发现不论是路由器、网络摄像头，还是电视，又或是媒体服务器、打印机，数以百万计的家庭终端设备正由于普遍应用一种网络通讯协议，而可能成为直接或间接放大DDoS攻击流量的帮凶。这个网络通讯协议便是我们常常使用却不大起眼的UPnP（即插即用）协议。

　　据悉，UPnP设备间是通过SSDP（简单服务发现协议）进行相互感知的，利用SOAP（简单对象访问协议）来获取控制信息，并进行信息反馈。可是随着UPnP通信方案在终端设备间的大量滥用，令攻击者能够方便直接地获得巨大的攻击流量，来阻碍目标企业的正常网络服务。

　　超过400万设备易被DDoS攻击利用

　　研究机构发现自从今年7月以来，就有利用家庭终端设备进行DDoS攻击的证据，目前这种情况正不断增加，并有向常态化发展的趋势。据该机构调查显示，有410万台面向互联网的UPnP设备，可以被DDoS攻击利用进行流量反射。

　　在实验室实验中，研究人员模拟了一个小规模的DDoS攻击，在获取了易受攻击的设备列表后，他们从攻击者处收到了伪装成目标IP地址的恶意请求。在攻击过程中，这些终端设备都被利用，像攻击目标发送、反馈了像描述文件似的文件。而如果攻击者一旦获得由足够的设备响应，则为展开一次真正的DDoS攻击创造了条件。

　　Python脚本被用于SSDP扫描和攻击

　　上述易受攻击的终端设备，均是通过使用SSDP协议对端口1900进行扫描而获得的。研究人员发现网络犯罪分子可以依靠一个Python脚本（ssdpscanner.py）来确定反射器。而该操作是由为大规模扫描提供某一范围内的IP地址展开的。

　　另一个Python脚本（ssdpattack.py）则可被用于运行攻击。它是一个不同版本的扫描工具，其中包括数据包级别的假冒IP源，它实现了反射流量的攻击。而该工具被设计为一旦启动直到通过手动终止，才能停止运行，危害性较大。

　　什么是UPnP协议？

　　UPnP这个概念是从即插即用（Plug-and-play），即热拔插技术中派生而来的。UPnP协议简化了家庭网络和企业局域网中各种设备连接，使内网中任意两个设备能互相通信，而不需要特别配置。

　　UPnP协议

　　UPnP协议的目标是使家庭网络（数据共享、通信和娱乐）和公司网络中的各种设备能够相互无缝连接，并简化相关网络的实现。UPnP通过定义和发布基于开放、因特网通讯网协议标准的UPnP设备控制协议来实现这一目标。

　　如何应对防御UPnP漏洞

　　对于UPnP安全漏洞来说，因为很多网络设备出厂时都是默认开启这个即插即用功能的，因此我们需要手动关闭UPnP功能。以无线路由器为例，需要进入到它的Web配置界面里进行调整。

　　一般路由器的UPnP功能可在“高级”选项中找到，用户只需将勾中的选项去除即可。

　　一般路由器的UPnP功能为默认开启，建议关闭该功能。