dionaeaのログをちょっと見てみる2
今回は短く、UPnPのログに関して。
UPnP
ウィキペディアさんには、Universal Plug and Play (UPnP)は、機器を接続しただけでコンピュータネットワークに参加することを可能にするプロトコルである。機器をコンピュータに接続するだけで利用可能になるPlug and Play(プラグアンドプレイ)の概念をネットワークに拡張したものといえるが、直接的な関連はない。と書いてあります。
他のサイトさんには、
UPnPを用いれば、ネットワークパラメータを機器自身が正しく設定でき、またネットワーク上にどのような機器が存在しているか、他機器がどんな機能を持ったものなのかを知ることもできる。また物理的にどのような線(もしくは電波)で結ばれていようと、ひとつのIPネットワークになっていれば、互いにどのような形態で接続されているかは意識しなくていい。
他調べてみると現在はそれほど使われてはいなさそうなプロトコルな感じがします。
リフレクター攻撃
ログは一日数件なのですが、以下のようなログがほとんどです。
tream = [('in', b'M-SEARCH * HTTP/1.1\x0d\x0aHost:239.255.255.250:1900\x0d\x0aST:upnp:rootdevice\x0d\x0aMan:"ssdp:discover"\x0d\x0aMX:3\x0d\x0a\x0d\x0a')
調べた所このような資料が、
https://www.npa.go.jp/cyberpolice/detect/pdf/20141017.pdf
上のようなM-SEARCHメッセージが送られて来ると、UPnP対応の機器はより大きいメッセージをレスポンスとして返すらしい。これを利用して、他サーバに負荷をかける攻撃に利用されるとのこと。一般的な対応としては、FWによる遮断、サービスの停止、使用しているのであれば外部からのM-SEARCHを遮断するなどの対策があるらしい。