DDoSers滥用Plex Media Server以使攻击更有效

分布式拒绝服务攻击者已经抓住了一个新的媒介，用于放大他们向目标传播的垃圾流量，使它们脱机：最终用户或使用Plex Media Server的网络。

DDoS放大是一种利用中介资源来提高攻击火力的技术。参与攻击的计算机不是直接将数据发送到目标服务器，而是以请求某种服务的形式将数据发送给第三方。然后，第三方以更大的负载响应攻击者想要撤下的站点。

所谓的放大攻击是通过向第三方发送经过处理的请求而起作用的，因此它们似乎来自目标。当第三方响应时，答复将转到目标，而不是发送请求的攻击者设备。过去使用的最强大的放大器之一是memcached数据库缓存系统，该系统可以将有效载荷放大51,000倍。其他放大器包括配置错误的DNS服务器和网络时间协议，仅举三个例子。 DDoS缓解服务Netscout周四表示，DDoS租用服务最近转向配置错误的Plex Media Server，以扩大攻击范围。 Plex Media Server是一种软件，使人们可以访问与其他兼容设备一起存储在一个设备上的音乐，图片和视频。该软件可在Windows，macOS和Linux上运行。

在某些情况下，例如服务器使用“简单服务发现协议”在最终用户的宽带调制解调器上定位通用即插即用网关时，Plex服务注册响应器就会接触到通用Internet。响应范围从52字节到281字节，平均放大倍数约为5。

Netscout表示，它已经确定Internet上大约有27,000台服务器可以通过这种方式被滥用。为了与普通的简单服务发现协议放大DDoSes区别开来，该公司将新技术称为Plex Media SSDP或PMSSDP。

Netscout研究人员Roland Dobbins和Steinthor Bjarnason写道：“ PMSSDP反射/放大攻击的附带影响对于其客户无意间将PMSSDP反射器/放大器暴露于Internet的宽带Internet接入运营商而言，可能具有重大意义，” Netscout研究人员Roland Dobbins和Steinthor Bjarnason写道。 “这可能包括最终客户宽带互联网访问的部分或全部中断，以及由于访问/分发/聚合/核心/对等/传输链路容量消耗而导致的其他服务中断。”

报告此问题的研究人员没有提供任何先前的披露，但Plex现在已意识到该问题，并正在积极致力于解决该问题。这个问题似乎仅限于少数媒体服务器所有者，他们通过允许来自公共Internet的设备发现端口上的UDP流量到达其服务器来配置错误的防火墙，而我们目前的理解是，它不允许攻击者进行以下操作：损害任何Plex用户的设备安全性或隐私权。 Plex正在测试一个简单的修补程序，该修补程序为那些可能已意外暴露并很快发布的服务器增加了额外的保护层。

研究人员说，网络运营商（而非最终用户）通过端口32414大规模过滤UDP数据有可能阻止某些合法流量。研究人员说，取而代之的是，运营商（同样不是最终用户）应该在其网络上识别可被滥用为DDoS反射器或放大器的PMSSDP节点。研究人员还建议ISP在提供给订户的设备中默认禁用SSDP。

Plex.tv的“论坛”部分提供了这两个线程，最终用户可以仔细阅读这些线程以最好地解决该问题。

我希望获得有关如何检查plex服务器是否以易受攻击的方式配置以及如何更正它的解释。

我认为这样的部分修复是确保您的路由器未启用UPnP。如果我没事的话，这将阻止您的LAN Plex服务器自动协商防火墙中的漏洞，并在所有地方爆炸SSDP。您可能还需要禁用GDM和DNLA，这很难理解这里的服务器端缓解措施，因为即使原始的安全报告在字面上也没有任何服务器端缓解措施建议。问题的部分原因似乎是，用户多年来一直在向Plex开发人员尖叫以寻求一种禁用SSDP的方法（实际上有很多很多线程在问类似的问题），并且到目前为止，Plex开发人员已经表现出了相同的水平。热情地回应这些要求，因为基本上其他任何社区都要求提供有用的功能。