セキュリティ系の勉強、その他開発メモとか雑談. GithubはUnity触っていた頃ものがメイン Twitterフォローもよろしくです

dionaeaのログをちょっと見てみる2

今回は短く、UPnPのログに関して。

UPnP

ウィキペディアさんには、Universal Plug and Play (UPnP)は、機器を接続しただけでコンピュータネットワークに参加することを可能にするプロトコルである。機器をコンピュータに接続するだけで利用可能になるPlug and Play(プラグアンドプレイ)の概念をネットワークに拡張したものといえるが、直接的な関連はない。と書いてあります。

他のサイトさんには、

UPnPを用いれば、ネットワークパラメータを機器自身が正しく設定でき、またネットワーク上にどのような機器が存在しているか、他機器がどんな機能を持ったものなのかを知ることもできる。また物理的にどのような線(もしくは電波)で結ばれていようと、ひとつのIPネットワークになっていれば、互いにどのような形態で接続されているかは意識しなくていい。

http://www.itmedia.co.jp/broadband/0210/18/honda4.html

他調べてみると現在はそれほど使われてはいなさそうなプロトコルな感じがします。

リフレクター攻撃

ログは一日数件なのですが、以下のようなログがほとんどです。

tream = [('in', b'M-SEARCH * HTTP/1.1\x0d\x0aHost:239.255.255.250:1900\x0d\x0aST:upnp:rootdevice\x0d\x0aMan:"ssdp:discover"\x0d\x0aMX:3\x0d\x0a\x0d\x0a')


調べた所このような資料が、
https://www.npa.go.jp/cyberpolice/detect/pdf/20141017.pdf

上のようなM-SEARCHメッセージが送られて来ると、UPnP対応の機器はより大きいメッセージをレスポンスとして返すらしい。これを利用して、他サーバに負荷をかける攻撃に利用されるとのこと。一般的な対応としては、FWによる遮断、サービスの停止、使用しているのであれば外部からのM-SEARCHを遮断するなどの対策があるらしい。