Port Map DDoS Amplification

Thảo luận trong 'Dos/DDOS' bắt đầu bởi kaitoukid, 16/11/15, 08:11 AM.

  1. kaitoukid

    kaitoukid Wh------

    Tham gia: 18/07/14, 02:07 PM
    Bài viết: 33
    Đã được thích: 27
    Điểm thành tích:
    28
    1. Giới thiệu.
    Tấn công ddos rất đa dạng, nó nằm sâu trong nhiều hệ thống và chờ cơ hội bộc phát. Trong thời gian gần đây, một dịch vụ có tên là Portmap đã bị lợi dụng để tiến hành những cuộc tấn công ddos. Sau một thời gian tìm hiểu, hôm nay tôi sẽ trình bày cho các bạn về kiểu tấn công mới này.
    1. Chúng ta cần năm được những thông tin cơ bản sau:
    • RPC (Remote Procedure Call), Thủ tục gọi hàm từ xa là một kỹ thuật tiến bộ cho quá trình kết nối từ Client đến Server để sử dụng các ứng dụng và dịch vụ. RPC cho phép client có thể kết nối tới 1 dịch vụ sử dụng dynamic port nằm ở một máy tính khác.
    • Portmap là dịch vụ quản lý các kết nối RPC. Nhiệm vụ chính là chuyển dynamic port của các chương trình RPC sang số hiệu cổng của giao thức TCP/IP (hoặc UDP/IP). Những ứng dụng phổ biến nhất sử dụng portmap là NFS và NIS.
    1. Kịch bản khai thác.
    • Server Portmap cung cấp các tiện ích cho người sử dụng có thể tra cứu nhiều thông tin của các kết nối RPC do server đó quản lý. Trong đó có 1 lệnh cho phép client gửi 1 gói tin udp yêu cầu server cung cấp 1 danh sách ngắn gọn của tất cả các chương trình RPC đã đăng ký .
    [​IMG]
    • Việc sử dụng giao thức UDP cũng như độ khuếch đại của gói tin phản hồi lên tới 24 lần khiến cho Portmap trở thành công cụ để thực hiện những cuộc tấn công ddos.
    • Để thực hiện được cuộc tấn công kẻ tấn công sẽ giả mạo địa chỉ ip của nạn nhân và gửi đi lượng lớn gói tin trên đến 1 server Portmap, sau đó server Portmap sẽ làm công việc hàng ngày của mình là phản hồi lại nạn nhân các gói tin có dung lượng gấp nhiều lần dung lượng gói tin do kẻ tấn công gửi đi. Hậu quả băng thông mạng của nạn nhân bị quá tải và không sử dụng được.
    [​IMG]
    1. Thử nghiệm
    1. Kịch bản :
    • Lấy địa chỉ IP của 1 số server Portmap trên shodan.io
    • Tiến hành tấn công sử dụng IP portmap đã lấy được
    • Gói tin gửi đi bắt được bởi wireshark
    [​IMG]
    • Gói tin phản hồi từ server được khuếch đại lên nhiều lần (server phản hồi lại nạn nhân 3 gói tin như trong hình)
    [​IMG]
    1. Khắc phục
    • Lỗ hổng đã được xác định. Hãy update bản vá lỗi mới nhất để nhận được sự hỗ trợ từ nhà sản xuất.
    • Tuy nhiên bạn cũng có thể hạn chế người sử dụng quyền yêu cầu danh sách của các chương trình RPC đang chạy, cũng như chặn cổng 111 nếu không sử dụng.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan