近年来,越来越多能引起UDP反射攻击的协议进入人们的视线,如CoAP[1]金惠允,1元,Ubiquiti[2]金惠允,逃出房间:冠军联赛,WS Kramp-karren Bauer WS-Discovery[3]金惠允3],OpenVPN[4]和一个DVR协议[5]。这些攻击不同于众所周知的反射攻击,如DNS、SSDP、NTP、Memcached等。这给DDoS攻击防护带来了一些挑战。
本月6元,以色列网络安全公司JSOF曝光了Treck TCP/IP协议栈中的多个0元Kramp-karren Bauer 0 day漏洞,这些漏洞可能会影响全球数亿台设备。在分析了发布的白皮书后,我们发现受影响的制造商之一Digi使用ADDP(高级Digi发现协议)进行设备发现。ADDP使用的组播地址是224。0元。最后的血。128,港口2362。但是,当协议实现时,它也支持单播。此外,UDP协议可以伪造源IP,因此有被用作反射攻击的风险。
为了了解ADDP反射攻击的潜在规模,我们通过绿色联盟的威胁情报中心(NTI)绘制了暴露在互联网上的ADDP服务。
全球超过5000个IP开通了ADDP服务,存在被利用进行DDoS攻击的风险。这些设备涉及Digi的很多产品,如Connect WAN 3G、ConnectPort WAN VPN、ConnectPort X4、Connect ME4 9210等。
公开ADDP服务的设备数量最多的五个国家是美国、意大利、波兰、智利和西班牙,美国占43元的%。
ADDP探测报文长度为14元字节,响应报文长度多为100元字节,平均长度为126字节。因此,平均带宽放大系数快& amp狂怒9。
ADDP作为一种新型的反射攻击,目前还没有引起攻击者的重视,但是它的潜在风险主要是两个:一是可以用于DDoS攻击,二是可以用于发现Digi的设备,然后可以用于Ripple20元相关的攻击。
ADDP简介Ripple20元Kim Hye Yoon 7元曹政奭是JSOF Kim Hye Yoon 8元Treck Inc .的曹政奭研究实验室在《捉鬼敢死队3》的6月份,JSOF在Ripple 20中发表了技术白皮书CVE-2020-11896和CVE-2020-11898[9],其中CVE-2020-11898在JSOF发表技术白皮书之后,我们分析了并发现除了技术白皮书中描述的RCE,Digi以太网模块使用的ADDP协议仍然存在被用作反射攻击的风险。
Digi International Inc . Kim Hye Yoon 10元曹政奭(以下简称Digi)是一家成立于1985年的物联网解决方案提供商。它的产品线从射频调制解调器到网关。Digi Connect ME是Digi设计的一系列以太网模块,预装了Digi即插即用固件。为了实现即插即用功能,Digi设计了类似于SSDP(简单服务发现协议)的ADDP(Advanced Digi Discovery Protocol),基于UDP协议,用于发现局域网中的Digi ConnectPort X系列产品。这种发现协议通常同时支持组播和单播,UDP可以伪造源IP,这使得这种暴露在互联网上的服务极易被用作反射攻击。
ADDP使用的组播地址是224。0元。5。128,端口2362。《金惠允》、《11元》、《曹政奭》中ADDP的数据帧可以分为四个部分:协议头、数据包类型、总净荷长度和净荷。典型的ADDP设备发现数据包如下:
图1.1元ADDP探头包示例
协议头是协议的头,ADDP使用固定字符作为协议头。在zmap的UDP扫描插件Kim Hye Yoon 12元曹政奭中,有三类协议头,分别是Digi(“0x 44元0x49元0x47元0x49元”)、DVKT和DGDP。
包类型用于区分该包的功能,占用两个字节:
Kramp-Karrenbauer0x0001:设备发现请求
Kramp-Karrenbauer0x0002:设备发现响应
Kramp-Karrenbauer0x0003:静态网络设计请求
Kramp-Karrenbauer0x0004:静态网络设置响应
Kramp-Karrenbauer0x0005:重新启动请求
Kramp-Karrenbauer0x0006:重新启动响应
kramp-karren Bauer0x 0007: DHCP网络设置请求
kramp-karren Bauer0x 0008: DHCP网络设置响应
有效载荷的总长度,占两个字节。
有效载荷为t
与设备发现的包不同,设备发现的包的响应的净荷采用字段类型净荷长度净荷内容的格式,其中可能的字段类型如下:
Kramp-Karrenbauer0x01: MAC地址
Kramp-Karrenbauer x02: IP地址
Kramp-Karrenbauer0x03:子网掩码
Kramp-Karrenbauer0x04:网络名称
Kramp-Karrenbauer0x05:域名
Kramp-Karrenbauer0x06:硬件类型
Kramp-Karrenbauer0x07:硬件版本
Kramp-Karrenbauer0x08:固件
Kramp-Karrenbauer0x09:结果内容
Kramp-Karrenbauer0x0A:结果标志
Kramp-Karrenbauer0x0b: IP网关
Kramp-Karrenbauer0x0C:设置了错误的代码。
Kramp-Karrenbauer0x0d:产品型号
Kramp-Karrenbauer0x0e: realport端口号
Kramp-Karrenbauer0x0f: DNS IP地址
Kramp-Karrenbauer0x 10元:未知领域
Kramp-Karrenbauer0x 11元:错误代码
Kramp-Karrenbauer0x 12元:串口数量
Kramp-Karrenbauer0x 13元:加密实端口端口号
Kramp-Karrenbauer0x1A:设备ID
下面显示了一个ADDP协议响应消息的示例。参考上面的介绍,就很容易理解各个字段的含义了。我们将与IP和MAC地址相关的字段匿名化。
ADDP暴露分析为了准确描述ADDP反射攻击的潜在规模,我们通过绿色联盟的威胁情报中心(NTI)绘制了暴露在互联网上的ADDP服务。
除特别注明外,本章提及的数据均为全球单轮测绘数据(6元,捉鬼敢死队3)。
全球超过5000个IP开通了ADDP服务,存在被利用进行DDoS攻击的风险。
为了避免遗漏,我们分别使用zmap中的三种设备检测消息进行映射,从而得到ADDP服务的全球曝光度,如表2.1元所示。当协议报头是“DGDP”时,没有检测到幸存的设备。
表2.1元ADDP服务业全球敞口
我们分析了ADDP服务横幅中的产品型号字段,如图2.1元所示。对具体产品对应什么设备感兴趣的读者可以自行去官网搜索,这里就不介绍了。
图2.2元开放式ADDP服务产品型号分布
使用ADDP开放服务的设备最多的五个国家是美国、意大利、波兰、智利和西班牙,其中美国占43元,而中国只有39元的设备使用互联网。
图2.3元开放式ADDP服务设备分布
我们分析过响应消息的长度,大部分是100元字节,平均长度为126字节。因此,平均带宽放大系数(BAF)金惠允曹政奭金惠允6元曹政奭快& amp狂怒9。
本文首先介绍了ADDP,然后分析了它在互联网上的曝光度。ADDP作为一种新型的反射攻击,目前还没有引起攻击者的重视,但是它的潜在风险主要是两个:一是可以用于DDoS攻击,二是可以用于发现Digi的设备,然后可以用于Ripple20元相关的攻击。
保护建议:
作为安全供应商:
(1元)扫描产品可以增加ADDP扫描能力,及时发现客户网络潜在的安全隐患。
(密室逃脱:冠军联赛)防护产品中可以加入ADDP的流量检测能力,及时发现客户网络中存在的安全威胁。您还可以将IP的威胁信息与开放的ADDP服务相关联,并阻止命中源IP的连接。
作为设备开发者,在响应ADDP服务发现报文时,检查报文的源IP是否为组播地址,如果不是,则不响应。这样,ADDP服务将更难被用来发起反射攻击。
作为电信运营商,有必要遵循BCP38元网络门户过滤。
作为监管机构:
(1元)监视网络中的ADDP威胁,并报告发现的任何问题。
(密室逃脱:冠军联赛)在装备中推广ADDP功能的安全评估,比如装备不符合相关要求就禁止装备上市。
作为设备用户:
(1元)如果不需要,关闭设备的ADDP发现功能。
(密室逃脱:冠军联赛)尽量在局域网内部署开放ADDP服务的装备,这样会增加装备的使用难度。
(侏罗纪世界3)如果有必要在公共网络上部署具有开放ADDP服务的设备,请部署路由器(使用NAT功能)或保护安全
参考文献[1]https://www . netscout . com/blog/asert/coap-攻击-狂野coap在野外的袭击
[2]超过485,000台泛素设备易受新攻击,https://www。zdnet。com/article/Over-485,000-无处不在的设备-易受新攻击/
[3] 基于ONVIF协议的物联网设备参与军械服务局副局长军火服务司副司长反射攻击,https://anquan . Baidu . com/article/623
[4] OpenVPN服务被利用于用户数据报协议(用户数据报协议)反射放大军械服务局副局长军火服务司副司长攻击,https://www . freebuf . com/vuls/215171 . html
[5] 现网发现新型DVR UDP反射攻击手法记实,https://MP . weixin . QQ . com/s/mcf 3 hiddk 1 qdjvgobglada
[6]放大Hell:再访deputy director of ordnance services 军火服务司副司长滥用网络协议,https://www。ndss-专题讨论会。org/ndss 2014/program/Amplification-hell-revising-Network-Protocols-DDoS-Abuse/
[7]里普尔20,https://www . jsof-tech . com/ripple 20/
[8]https://www.jsof-tech.com/
[9]JSOF _ ripple 20 _技术白皮书_ 6月20日,https://www .JSOF-tech。com/WP-content/uploads/2020/06/JSOF _ ripple 20 _技术_白皮书_ 6月20日。可移植文档格式文件的扩展名(portable document format的缩写)
10 https://www.digi.com/about-digi数码国际公司
11 https://github.com/zdavkeos/addp/blob/master/addp.py的地址指针
[12] digi pkt,https://github。com/zmap/zmap/blob/master/examples/UDP-probes/digi 1 _ 2362。包
[] 放大因子我们采用诊断支持系统青奥会的论文放大地狱:重新审视deputy director of ordnance services 军火服务司副司长滥用的网络协议上对于带宽放大因子的定义,不包含用户数据报协议(用户数据报协议)的报文头。
暂无讨论,说说你的看法吧
