Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
cs:services:eventclass:vulnerable-config-ssdp [24.03.2020 00:23] vachek_cesnet.czcs:services:eventclass:vulnerable-config-ssdp [25.01.2025 21:25] (aktuální) – [Pozor - důležité upozornění 20250125 [P.V.]] vachek_cesnet.cz
Řádek 1: Řádek 1:
 ====== Otevřená služba SSDP ====== ====== Otevřená služba SSDP ======
  
-Protokol **SSDP (Simple Service Discovery Protocol)** informuje o službách, které nabízí daný počítač, a umožňuje vyhledávání síťových služeb na dalších počítačích. Komunikuje na UDP portu 1900. Chybou je otevřená dostupnost příkazu SEARCH. Dá se zneužít k útokům DDoS typu UDP amplification.+Protokol **SSDP (Simple Service Discovery Protocol)** informuje o službách, které nabízí daný počítač, a umožňuje vyhledávání síťových služeb na dalších počítačích. Komunikuje na UDP portu 1900. Příkaz //SEARCH// se dá zneužít k útokům DDoS typu UDP amplification.
  
 Podrobné informace o problému služby SSDP i návody k jeho odstranění lze najít např. na těchto stránkách: Podrobné informace o problému služby SSDP i návody k jeho odstranění lze najít např. na těchto stránkách:
Řádek 8: Řádek 8:
   * [[https://www.shadowserver.org/wiki/pmwiki.php/Services/Open-SSDP]]   * [[https://www.shadowserver.org/wiki/pmwiki.php/Services/Open-SSDP]]
   * [[https://www.us-cert.gov/ncas/alerts/TA14-017A]]   * [[https://www.us-cert.gov/ncas/alerts/TA14-017A]]
 +  * [[https://www.youtube.com/watch?v=4tO9KHCYrZo|Windows 10: How to Start or Stop SSDP Discovery Service]]
 +  * [[https://blog.cloudflare.com/ssdp-100gbps/|Pravděpodobně nejlepší popis SSDP od CloudFlare]]
 +
 +Zde lze otestovat, zda je vaše veřejná IP adresa zranitelná:\\
 +  * ''https://badupnp.benjojo.co.uk/''
 +
 +Kontrola funkčnosti služby UPnP, která využívá protokol SSDP:
 +  * ''# nmap %%--%%reason -sU -p1900 %%--%%script=upnp-info IP_address''
 +
 +===== Pozor - důležité upozornění 20250125 [P.V.]=====
 +
 +Pokud na stroji A.B.C.D, na kterém běží //NMAP//, je spuštěn stavový firewall pro protokol UDP, pak tento firewall nejspíše odfiltruje případnou odezvu od testovaného stroje T.U.V.W; //NMAP// tedy ohlásí chybu **False Negative**:
 +<code>
 +PORT     STATE         SERVICE REASON
 +1900/udp open|filtered upnp    no-response</code>
 +
 +Pro ilustraci uvádíme záznam skutečné komunikace mezi A.B.C.D a T.U.V.W, na kterém běží UPnP, jak ji zaznamenal //TCPDUMP// při použití příkazu
 +<code># tcpdump -i ensQQQ -AKnnt host T.U.V.W</code>
 +
 +Postup testování:
 +
 +Musíme otestovat, zda je testovaný stroj on-line: <code>
 +
 +# nmap --reason -sn T.U.V.W </code>
 +
 +Pokud je on-line, pošleme testovací dotaz: <code>
 +
 +# nmap -n -Pn -sU -p1900 --script=upnp-info T.U.V.W
 +IP A.B.C.D.39570 > T.U.V.W.1900: UDP, length 97
 +E..}.l@.@.o.N......=...l.i..M-SEARCH * HTTP/1.1
 +Host:239.255.255.250:1900
 +ST:upnp:rootdevice
 +Man:"ssdp:discover"
 +MX:3</code>
 +
 +Odpověď UPnP z testovaného stroje (pokud je UPnP funkční):<code>
 +IP T.U.V.W.4925 > A.B.C.D.39570: UDP, length 220
 +E.....@.9.o....=N....=....dPHTTP/1.1 200 OK
 +CACHE-CONTROL: max-age=1800
 +EXT: 
 +LOCATION: http://T.U.V.W:8533/rootdesc.xml
 +SERVER: Cellvision UPnP/1.0
 +ST: upnp:rootdevice
 +USN: uuid:ae67e622-7a66-465e-bab0-b0c554454c60::upnp:rootdevice</code>
 +
 +Odpověď UPnP z testovaného stroje tedy přišla z jiného zdrojového portu (UDP 4925), než kam ji testuijící stroj odeslal (UDP 1900). Tuto odpověď by stavový firewall odfiltroval a NMAP by ohlásil chybu **False Negative**.
 +
 +**Doporučujeme //TCPDUMPem// monitorovat odesílané dotazy i odpovědi z testovaného stroje.**