超级加农炮(Great Cannon)缺陷探究之TTL篇


发布人:admin分类:网络安全浏览量:29发布时间:2017-12-12

前段时间Github遭遇大规模的DDoS攻击,一时间大家就幕后元凶议论纷纷,之后便有美国媒体指责中方拥有网络武器——“超级加农炮(The Great Cannon)”。加农大炮真的有传说中的那么厉害吗?本文我们就来抛砖引玉,说说加农大炮的一点缺陷。

什么是超级加农炮?

加拿大公民实验室之前发布了针对超级加农炮的技术分析报告。报告中指出,这是一种国家层面的网络流量劫持工具,它要么将流量劫持并指向要打击的目标,要么在流量中返回一些间谍软件,要么用这种大流量来攻击其它目标。

那问题来了,加农炮是怎么展开攻击的呢?

攻击方式为一种中间人攻击,The Great Cannon劫持了用户和百度某服务器之间的通信,使得用户发出的请求并没有到达百度某服务器,而是直接返回给用户构造好的恶意Js脚本。用户浏览器加载恶意Js后,便会每隔两秒向Github发送一次请求。

攻击流程大致如下图:

图1

FreeBuf之前的报道《走近科学:剥开层层迷雾,深度追踪针对GitHub的DDoS攻击》中详细说明了发现The Great Cannon的方法及原理,即因为返回包中的TTL(time-to-live,所有网络中的数据包中都用这个字段来表示数据包经过了几跳。每一次路由器将一个数据包发出去的时候,就会将这个字段减一。当这个字段为零的时候,数据包将会被丢弃。以防止路由器无限制发送数据包造成死循环)值发生了改变,从而判定攻击方法为中间人劫持,以及更进一步的确定了The Great Cannon的位置。

图2

正是因为上图中后面几个返回包的TTL值变得与之前不一致,从而暴露了返回包已经被修改。

图3

由图3可知,一旦The Great Cannon的初始TTL值X不等于64-A,用户收到的返回包就会出现TTL值不一致的情况。TTL值发生变化的原因,做如下推测:

图4

由于每个用户所处的位置不同,到达The Great Cannon经过的路由跳数也不同,所以The Great Cannon并不知道用户和The Great Cannon之间的距离,为了使得每一个用户都能收到返回包,所以将TTL值统一设为一个较大的值。

这样一来,用户一旦发现收到的返回包中的TTL值被修改为非正常的值,就暴露了返回包已经被劫持。继续深入研究返回包的内容之后,便可了解攻击方式及攻击手段,甚至能猜测The Great Cannon的情况。为了改进The Great Cannon,可以参考如下方法:

正如图3中所示,要做到TTL值前后一致,应该使得X=64-A。A为The Great Cannon到百度某服务器之间的距离,并且是可知的。又可以确定百度某服务器发出的返回包的初始TTL值为64。从而可以很容易的确定X的值。之后便以这个值作为The Great Cannon发出数据包的初始TTL值来向用户发送数据包。这样一来,在用户端,就好像返回包是真正从百度某服务器发来的一样,从而做到了对攻击方式的隐藏。

参考资料

http://www.freebuf.com/news/62288.html

http://www.freebuf.com/news/special/63148.html

http://www.freebuf.com/articles/network/65839.html

http://www.freebuf.com/news/63676.html

http://www.freebuf.com/news/63632.html

* 作者/ArkTeam(团队账号),属FreeBuf黑客与极客(FreeBuf.COM)原创奖励计划文章,


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21264409(PV) 页面执行时间:65.205(MS)
  • xml
  • 网站地图