Tấn công khuếch đại sử dụng RIPv1

Thảo luận trong 'Dos/DDOS' bắt đầu bởi kaitoukid, 05/09/15, 09:09 AM.

  1. kaitoukid

    kaitoukid Wh------

    Tham gia: 18/07/14, 02:07 PM
    Bài viết: 33
    Đã được thích: 27
    Điểm thành tích:
    28
    Những bài viết trước đây, tôi viết đều đề cập những kĩ thuật tấn công DdoS nổi bật sau những vụ tấn công cách đây 2-3 năm.Vào ngày16/5/2015, công ty an ninh mạng và hạ tầng Akamai đã phát hiện dữ liệu RIPv1 tràn ngập với băng thông cao điểm nhất là 12.9Gb và số liệu này đến đầu tháng 7 này mới được công bố, tôi đã xem một số bài báo, bài phân tích và quyết định viết một bài giới thiệu về vụ tấn công và kĩ thuật sử dụng tới các bạn để cập nhập thông tin.
    [h=1]Giới thiệu về RIPv1[/h]RIPv1 lần đầu tiên được giới thiệu vào năm 1988 trong RFC1058. RIPv1 cho phép một router yêu cầu thông tin mạng từ một router khác như là một cách nhanh chóng học các cấu trúc của mạng lưới nội bộ. Vì vậy nhiều router cũ được sử dụng trong gia đình và văn phòng nhỏ vẫn còn sử dụng RIPv1. Đây là một giao thức không an toàn khi mà bộ định tuyến của nó không có sự xác thực vì vậy nó đã dần được thay thế dần bởi các giao thúc thế hệ tiếp theo. Những kẻ tấn công có thể lợi dụng các router bị cấu hình sai để cho phép truy cập vào các tính năng từ Internet công cộng để điều hướng việc trả lời cho nạn nhân. Kết quả là một vụ tấn công DoS dễ dàng được thực hiện.
    [h=1]Cách khai thác[/h]RIPv1 dựa trên UDP, điều này làm nó trở thành một mục tiêu dễ dàng cho việc giải mạo. Với 24 byte yêu cầu gửi tới, sẽ nhận được câu trả lời với dung lượng là bội số 504 byte của với số lượng đường định tuyến được xác định trên router đó (tối đa có thể có 25 đường định truyến trong một gói tin RIP). Điều này là cơ sở tiền đề cho cuộc tấn công khuếch đại.
    [​IMG]
    Hình 1. Một gói tin phản hồi của RIPv1
    [h=1]Thử nghiệm[/h]Kịch bản thử nghiệm:
    - Thử tìm kiếm qua Shodan.io xem những IP nào đang public port 520.
    - Gửi gói tin RIPv1 request và nhận gói tin trả về.
    Tôi đã thử lấy bất kì một IP từ kết quả quét của Shodan.io và thực hiện request. Đây là gói tin request tôi thực hiện:
    [​IMG]
    Và gói tin trả về:
    [​IMG]

    Việc thử nghiệm tấn công này có vẻ không được thành công cho lắm, khi gói tin trả về có giá trị chỉ lớn hơn gói tin request một chút
    Nhưng mục chính tôi viết bài này để giới thiệu về một kiểu tấn công mới để cung cấp kiến thức cho bạn đọc vì vậy, thử nghiệm cũng đã thể hiện được là có khả năng gửi gói tin request từ tới Router từ IP public. Chính việc này nảy sinh vấn đề có khả năng bị khai thác.
    [h=1]Cách phòng vệ[/h]- Chuyển sang sử dụng RIPv2 hoặc kích hoạt việc xác thực.
    - Hạn chế việc truy cập bằng cách sử dụng ACL
    Nguồn tham khảo:
    https://blogs.akamai.com/2015/07/ripv1-reflection-ddos-making-a-comeback.html
    http://news.nexusguard.com/ripv1-special-case-request-threat-advisory
    http://www.stateoftheinternet.com/d...net-threat-advisory-ripv1-reflection-ddos.pdf
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan