首页 >> 网络安全 >>系统安全 >> 新的NAT /防火墙绕过攻击使黑客可以访问任何TCP / UDP服务
详细内容

新的NAT /防火墙绕过攻击使黑客可以访问任何TCP / UDP服务

时间:2020-11-03        阅读

1.jpg

一项新的研究表明,该技术可使攻击者绕过防火墙保护,并远程访问受害计算机上的任何TCP / UDP服务。


称为NAT滑流,此方法涉及向目标发送指向恶意站点(或加载了恶意广告的合法站点)的链接,该链接在被访问时最终触发网关打开受害者上的任何TCP / UDP端口,从而绕开浏览器-基于端口的限制。


隐私和安全研究员Samy Kamkar在周末揭露了这一发现。


“ NAT滑流结合了通过定时攻击或WebRTC链接内部IP提取,自动远程MTU和IP碎片发现,TCP数据包大小的内部IP提取,结合了内置在NAT,路由器和防火墙中的应用级网关(ALG)连接跟踪机制来利用用户浏览器按摩,TURN身份验证滥用,精确的数据包边界控制以及由于浏览器滥用而引起的协议混乱,”卡姆卡尔在分析中说。


该技术是使用运行Linux内核版本2.6.36.4的NetGear Nighthawk R7000路由器执行的。


确定数据包边界

网络地址转换(NAT)是一个过程,其中网络设备(例如防火墙)通过在数据包传输过程中修改IP包头中的网络地址信息,将IP地址空间重新映射到另一个IP地址空间。


主要优点是它限制了组织内部网络中使用的公共IP地址的数量,并通过允许在多个系统之间共享单个公共IP地址来提高安全性。


NAT滑动流通过利用TCP和IP数据包分段来远程调整数据包边界,并使用它来创建TCP / UDP数据包(从SIP方法(如REGISTER或INVITE)开始)而起作用。


2.jpg

SIP(会话启动协议的缩写)是一种通信协议,用于启动,维护和终止语音,视频和消息传递应用程序的实时多媒体会话。


换句话说,HTTP中的数据包分段和走私SIP请求的混合可用于欺骗NAT ALG打开任意端口以用于到客户端的入站连接。


为此,将发送一个带有ID和隐藏Web表单的大型HTTP POST请求,该请求指向运行运行数据包嗅探器的攻击服务器,该服务器用于捕获MTU大小,数据包大小,TCP和IP标头大小,其他,然后通过单独的POST消息将大小数据发送回受害客户端。


此外,它还滥用TURN(使用围绕NAT的中继的遍历)中的身份验证功能(该协议与NAT结合使用,将媒体从任何对等方中继到网络中的另一客户端),从而导致数据包溢出并导致IP数据包碎片化。


简而言之,该想法是通过填充(带有“ ^”字符)来溢出TCP或UDP数据包,并强制将其拆分为两个,以便SIP数据包位于第二个数据包边界的最开始。


通过数据包更改连接到TCP / UDP

在下一阶段,使用现代浏览器(例如Chrome或Firefox)上的WebRTC ICE提取受害人的内部IP地址,或者通过对常见网关(192.168。*。1、10.0.0.1和本地网络)执行定时攻击来提取受害人的内部IP地址。

“一旦客户端获得了数据包的大小和内部IP地址,它就会构建一个特制的Web表单,该表单填充POST数据,直到我们认为该数据包将变得碎片化为止,这时将附加包含内部IP地址的SIP REGISTER,”注意。“该表格是通过Javascript提交的,未经受害者同意。”


就像数据包到达攻击服务器并且确定未用公共IP地址重写SIP数据包一样,自动消息也会发送回客户端,要求其根据数据将其数据包大小调整为新的边界以前是从嗅探器收集的。


有了正确的数据包边界,NAT被欺骗了,以为“这是合法的SIP注册,并且来自受害者计算机上的SIP客户端”,最终导致NAT在受害者发送的原始数据包中打开端口。


Kamkar说:“路由器现在会将攻击者选择的任何端口转发回内部受害者,而所有这些端口都只需要浏览到一个网站即可。”


可以在此处(https://github.com/samyk/slipstream)找到NAT滑流的完整概念验证代码。

.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录