I. نظرة عامة

وبناء على الأشياء الماضية، بدأ جهاز نقطة هجوم نظر، والفيضانات في الغالب الهجمات. ميراي فيروس الشائنة هو استخدام الثغرات الأشياء الجهاز، وعدد كبير من الغزاة معدات الشبكات، تنفيذ بناء الروبوتات من هجمات DDoS. ومع ذلك، هذا الهجوم يختلف عن الهجمات الفيضانات التقليدية، بدأ هذا الهجوم باستخدام الكثير من الأشياء لاستخدام خصائص بروتوكول UDP تضخيم ودوس الهجوم.

الثانية، ودراسة الهجوم

تشي يون نظام الدرع بالكشف عن الهجوم، وحركة المرور هجوم أخذ العينات التلقائي، حزمة عينة من خبراء الأمن التي أجريت على وجه السرعة تحليل متعمق والتدريبات. الهجمات التي تنطوي على مصدر انعكاس مجموع 1665.

2.1 تحليل الحزم الهجوم

التي وجدت تشي سحابة هجوم درع كيس أخذ العينات، ومنفذ المصدر 3702 ينعكس حركة المرور، وإذا كانت نقاط السهم الأحمر إلى ميناء مصدر التفكير:

مهاجمة أخذ العينات كيس 1 من FIG. المصدر ميناء FIG.

عرض حزمة بيانات الحمولة شكل شكل الصابون أكس، أكس تنسيق البيانات الصابون هو مبين في الشكل 2 على النحو التالي:

FIG 2 الصابون محتوى البيانات أكس

هنا سوف نفصل محتويات حمولة الحزمة المستخرج، كما هو مبين في الشكل (3):

FIG 3 بيانات منفصلة الصابون المستخرج أكس المحتوى

لهذا الهجوم، نحن استخراج البيانات المناظرة طلب حركة المرور من المركز الفكري سحابة درع لتحليل التهديدات، وهذا هو انعكاس لاستخدام بروتوكول هجوم ONVIF. خبراء الأمن سحابة درع تشي تحليل الهجمات يعكس الهجمات انعكاس التقليدية خصائص مماثلة، إلا أن استخدام أشياء مثل جهاز مصدر التفكير.

وفيما يلي تفاصيل عن مبدأ الهجوم التفكير.

2.2 الهجمات

نوع هجمات DDoS انعكاس لا يهاجم مباشرة ضحية تكوين IP، IP ولكن في حزم UDP ضحية، وينقل الحزمة إلى مصدر التفكير وهمية، ومصدر انعكاس ردا على معدل تدفق يفوق بكثير المهاجم IP ضحية لUDP حداد بيانات حركة المرور، وهذا التجسيد يعتمد دوس دوس قراصنة تهاجم الضحايا تجسيد، ونوع التفكير هو مبين في الشكل (4) على النحو التالي:

4 وتخطيطيا من الهجمات انعكاس FIG

الشكل 4 قراصنة مزورة الحزم UDP إرسالها إلى مكبر للصوت، من خلال هجمات DDoS سحابة درع فريق تشي على التحول من الاستنساخ القياسية وWS-DISCOVERY حزمة طلب، سلسلة حمولة بعد التحول على النحو التالي:

< الصابون: مغلف > < الصابون: رأس > < جائزة القمة العالمية: العمل > < / جائزة القمة العالمية: العمل > < جائزة القمة العالمية: MessageID > جرة: UUID: < / جائزة القمة العالمية: MessageID > < جائزة القمة العالمية: ل > < / جائزة القمة العالمية: ل > < / الصابون: رأس > < الصابون: الجسم > < TNS: التحقيق / > < / الصابون: الجسم > < / الصابون: مغلف >

باستخدام انتقال UDP، يتم إرسال السلسلة إلى ميناء 3702، يعود الخادم تستهدف حزمة استجابة WS-DISCOVERY. لا اقتنعت الصابون من الشمال باتجاه حركة يحددها WS-DISCOVERY، واجهة ليست يتم تجاهل حزمة طلب الرد.

التكبير 2.3

وفقا لدراساتنا السابقة على التكبير التفكير، وذلك باستخدام التكبير الإحصائي العلمي عندما، ردا على رأس طلب هو ينبغي أن تؤخذ حتى الفجوة شبكة بعين الاعتبار.

حاولنا أن تشي يون المركز درع التهديد المتخذة لقراصنة انعكاس طلب هجوم حزمة مستنسخة، وتحسين المحتوى المطلوب، مما يقلل من حجم حمولة طلب إلى 211 بايت، ردا على طول حزمة استجابة من عنوان جهاز فيديو واحد هو 1515 بايت (ورقة شاهد، رأس شريحة هو 34 + 4 + 20 = 58)، وFIG 5 هو موضوع متكرر:

FIG 5 WS-DISCOVERY موضوع المتكررة

ولذلك، فإن التكبير المحسوب (1515 + 66 + 58) / (211 + 66) = 5.92 مرة.

من خلال إيجاد أخذ العينات تشي يون الحزم الهجوم درع الفعلية، ردا على محتويات معظم ما يصل إلى 3558 وتنقسم الى ثلاث قطع بايت حزمة استجابة، يمكن أن الطول الإجمالي تصل إلى 3558 * 2 + 66 + 58 = 3740 بايت، والذي في الحالة التي يكون فيها أقصى التكبير 3740/277 = 13.5 مرة.

لذلك، من الملاحظات الحالية افترضنا أن التكبير من 5-14 مرات.

ثالثا، تحليل مصدر انعكاس

وجد تشي سحابة خبراء الأمن الدرع المسح IP مصدر انعكاس أن المصدر الرئيسي منها هو استخدام مصدر التفكير وجهاز كاميرا الفيديو، وهذه الأجهزة IP عبر ما مجموعه 60 دولة ومنطقة. في أي مصدر انعكاس معظمها في الصين وتايوان، المجر والولايات المتحدة.

وقد اعتمدت هذه الأجهزة في إدارة الاتصالات الموحدة بروتوكول بروتوكول ONVIF القيام به.

يصف 3.1 ONVIF بروتوكول

وONVIF ملتزمة بتعزيز تطبيق أنظمة الفيديو الشبكية في سوق الأوراق المالية من خلال واجهة قياسية عالمي مفتوح، فإن مواصفات واجهة ضمان أن الشركات المصنعة مختلفة من المنتجات الفيديو الشبكية لديهم إمكانية التشغيل المتداخل. خدمات الشبكة العالمية هي واجهة الجهاز الرقابة الإدارية مواصفات القسم ONVIF وشكل محدد. بيانات الخادم والتفاعل العميل باستخدام تنسيق البيانات الصابون أكس.

يستخدم WS-DISCOVERY القراصنة هذه الواجهة إلى الواجهة اكتشاف جهاز، وبروتوكول نقل البيانات المحددة ONVIF طريقة استخدام UDP.

3.2 واجهات عيب WS-DISCOVERY

ONVIF معدات دعم بروتوكول اللازمة لاكتشاف جهاز ومعدات الكشف ONVIF اكتشاف خدمة بروتوكول أقل WS-DISCOVERY نقوله.

WS-DISCOVERY، العميل 3702 ينقل رسالة البث إلى IP ميناء مصدر التفكير، والانتظار لجهاز الشبكة ردا على بروتوكول بهم ONVIF IP، UUID، EP عنوان وغيرها من المعلومات.

بالمعنى الدقيق للكلمة فضح يوفر ميناء UDP الخدمات في الشبكة العامة، يجب أن تلتزم بشكل صارم حسب الطلب والاستجابة نسبة حجم 1: 1 علاقة، ولكن هنا ONVIF كما كشف جهاز 3702 الميناء لا يتبع هذا المبدأ، مما أدى إلى التعرض إلى الشبكة العامة ويستخدم الميناء 3702 كمصدر التفكير.

يتعرض 3.3 ONVIF ميناء بروتوكول 3702 عن حالة الشبكة العامة

ووجد البحث أن نحو 21 مليون لوحات المفاتيح التعرض في جميع أنحاء العالم للميناء 3702، في حالة دعم ONVIF البروتوكول، يمكن أن تستخدم كمصدر للهجوم التفكير، كما هو مبين في الشكل (6) من الحزام الأسود من 3702 المتعلقة المنفذ:

FIG 63702 الشخصي ميناء (بيانات من shodan.io)

مصدر انعكاس سحابة درع لالتقاط الحكمة من الهجمات التي تنطوي على التحليل، الذي يتضمن الكثير من التعرض لجهاز الشبكة العامة IOT، والغالبية العظمى من أجهزة الفيديو، وهي جزء صغير من جهاز طابعة وغيرها من الأمور، التي تنطوي على العديد من الشركات، بما في ذلك بعض الرائدة في مجال تصنيع معدات الفيديو.

أربعة، دوس اتجاهات الهجوم انعكاس

خدمة الشبكة يعرف مواصفات هجوم الفيديو ويستخدم واجهة التحقيق كمصدر للتفكير، وعامل انعكاس أكبر هجوم، واستخدام الجهاز مما يعكس الأشياء ضررا كبيرا. مقارنة مع الهجوم DRDoS التقليدية، وهجوم يستخدم بروتوكول الأشياء ضعف الجهاز، مع شعبية من الأشياء، وهجمات مماثلة تكون أكثر وأكثر.

مع إطلاق هجمات DDoS الأشياء الجهاز، ملخص المشار إليه الأمور المعدات ميراي عن خط المرمى العدوى إلى الروبوتات ضخمة هجمات DDoS أطلقت، والهجوم هو مختلف، مما يعكس استخدام الأشياء الهجوم بدأ الجهاز بدون جهاز التسلل بناء الروبوتات كبير لا يمكن أن تتحقق، وشعبية من الأمور سهلت تنفيذ هجمات القراصنة تدفق كبيرة.

الخامسة، توصيات الوقاية

1) خدمات الانترنت

عندما يتم تعطيل أ) UDP، لا يمكن أن يكون المعوقين، وضمان الطلبات والردود لا تملك علاقات متعددة

ب) تمكين التحقق إذن

2) للمستخدمين في المؤسسة

أ) إذا لم يكن هناك UDP الأعمال ذات الصلة، الحزمة UDP يمكن تصفية الحاضر في الجزء العلوي أو جدار حماية.

ب) توفير يمكن لمشغلي تسعى UDP الثقب الأسود من خدمات شبكة IP قيام موقع خارجي

ج) قد حدد للوصول إلى سحابة دوس الأجهزة الأمنية الوقاية

3) المستخدم الأمور

أ) إذا لم يكن هناك متطلبات الوصول العامة، معدات الشبكات لا تمكن الشبكة العامة IP.

ب) إذا كان هناك متطلبات الوصول إلى الشبكة العامة، يجب عليك إضافة قواعد جدار الحماية لتقييد الوصول إلى IP، للحد من التعرض لشبكة الإنترنت.

ج) التكوين الأولي الجهاز، TCP تفضيل الاتصال على تكوين جهاز الاتصالات.

* الكاتب: بايدو الأمن مختبرات، يرجى الإشارة من FreeBuf.COM