Protokol SSDP (Simple Service Discovery Protocol) informuje o službách, které nabízí daný počítač, a umožňuje vyhledávání síťových služeb na dalších počítačích. Komunikuje na UDP portu 1900. Příkaz SEARCH se dá zneužít k útokům DDoS typu UDP amplification.

Podrobné informace o problému služby SSDP i návody k jeho odstranění lze najít např. na těchto stránkách:

• https://ssdpscan.shadowserver.org/
• https://www.shadowserver.org/wiki/pmwiki.php/Services/Open-SSDP
• https://www.us-cert.gov/ncas/alerts/TA14-017A
• Windows 10: How to Start or Stop SSDP Discovery Service
• Pravděpodobně nejlepší popis SSDP od CloudFlare

Zde lze otestovat, zda je vaše veřejná IP adresa zranitelná:

• https://badupnp.benjojo.co.uk/

Kontrola funkčnosti služby UPnP, která využívá protokol SSDP:

• # nmap --reason -sU -p1900 --script=upnp-info IP_address

Pokud na stroji A.B.C.D, na kterém běží NMAP, je spuštěn stavový firewall pro protokol UDP, pak tento firewall nejspíše odfiltruje případnou odezvu od testovaného stroje T.U.V.W; NMAP tedy ohlásí chybu False Negative:

PORT     STATE         SERVICE REASON
1900/udp open|filtered upnp    no-response

Pro ilustraci uvádíme záznam skutečné komunikace mezi A.B.C.D a T.U.V.W, na kterém běží UPnP, jak ji zaznamenal TCPDUMP při použití příkazu

# tcpdump -i ensQQQ -AKnnt host T.U.V.W

Postup testování:

Musíme otestovat, zda je testovaný stroj on-line:

# nmap --reason -sn T.U.V.W 

Pokud je on-line, pošleme testovací dotaz:

# nmap -n -sU -p 1900 -Pn --script=upnp-info T.U.V.W
IP A.B.C.D.39570 > T.U.V.W.1900: UDP, length 97
E..}.l@.@.o.N......=...l.i..M-SEARCH * HTTP/1.1
Host:239.255.255.250:1900
ST:upnp:rootdevice
Man:"ssdp:discover"
MX:3

Odpověď UPnP z testovaného stroje (pokud je UPnP funkční):

IP T.U.V.W.4925 > A.B.C.D.39570: UDP, length 220
E.....@.9.o....=N....=....dPHTTP/1.1 200 OK
CACHE-CONTROL: max-age=1800
EXT: 
LOCATION: http://T.U.V.W:8533/rootdesc.xml
SERVER: Cellvision UPnP/1.0
ST: upnp:rootdevice
USN: uuid:ae67e622-7a66-465e-bab0-b0c554454c60::upnp:rootdevice

Odpověď UPnP z testovaného stroje tedy přišla z jiného zdrojového portu (UDP 4925), než kam ji testuijící stroj odeslal (UDP 1900). Tuto odpověď by stavový firewall odfiltroval a NMAP by ohlásil chybu False Negative.

Doporučujeme TCPDUMPem monitorovat odesílané dotazy i odpovědi z testovaného stroje.