利用UDP19端口实施DOS攻击的真实案例

作者：易隐者 发布于：2013-10-17 17:06 Thursday 分类：网络安全

       昨天在一个用户现场发现了一个利用UDP19端口对互联网受害者主机进行DOS攻击的真实案例。这个情况是我第一次见到，个人认为对以后遇到此类情况的兄弟具有参考价值。有必要做一个简单的分析记录。

       在此次的分析过程中，我主要通过wireshark来抓取相关数据报文的。

数据包分析

1，我们首先通过wireshark的“Summary”功能，查看网络流量统计情况，如下图所示： 

我们发现服务器区域的流量较大，平均每秒10M左右的流量，这个流量相对于用户整个30M的互联网出口带宽而言，已经算相当大的流量了。
2，我们再通过wireshark的“Protocal Hierarchy”功能，查看这么大的流量在各个协议之间的分布情况，如下图： 

我们看到UDP和IP分片的报文流量占据了总流量的92%以上，而业务应用所使用的TCP流量仅有7.24%！这意味着绝大部分的流量都是垃圾流量，那么这些垃圾流量到底是什么呢？
3，我们接下来分析这些占总流量92%以上的UDP报文和IP分片报文到底是用来干什么的。我们通过wireshark的数据包查看UDP报文都是UDP19端口交互的报文，如下图： 

 我们使用wireshark的“Follow UDP Stream”功能，将其中任意一个UDP19端口交互的报文进行重组还原，如下图所示： 

我们可清晰看到这个UDP19端口交互的内容都是明显填充的内容。
4，UDP19端口是用来做什么的呢？我们百度一下，摘录了百度百科中对UDP19端口的相关描述如下：
“端口：19
服务：Character Generator
说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。”
（该段百度百科描述的原始链接为：
http://baike.baidu.com/link?url=PVKVjqJ4jUhiI6y9bPnrTiVZwSi8vu6mxIw9LxHVqRpmjKWpPJyboZIUddoLL6m3aYVo_LcwgDwSOnLJcElRU_）
5，我们了解了这个UDP19端口的上述信息，那么用户目前遇到的情况是否正是黑客利用其对外进行DOS攻击呢？我们来一起验证一下。
我们通过抓包发现，跟服务器192.168.1.8的UDP端口交互的主机主要有37.17.173.32、88.190.35.204、97.86.229.87、71.61.231.170、等，我们分别来看一下这些IP与192.168.1.8交互报文的解码： 

明显发现，这些报文的TTL都是236，这基本可判定这些报文应该都来自于同一物理位置的机器，换句话说，这些报文都是一台机器伪造的IP报文！
6，至此，我们基本可以将此次异常的原因定位为黑客利用服务器开启的UDP19端口，伪造源IP为互联网某受害者服务器的IP地址向192.168.1.8服务器的UDP19端口发送报文，服务器在收到这个报文后会向互联网受害者服务器IP送填充任意字符的报文，导致受害者服务器带宽被占满，从而达到对受害者服务器DOS攻击的效果，其工作机制大致如下图所示：

更进一步的分析

我们分析清楚了异常的原因，但是UDP19端口并不是服务器的对外提供业务的端口，为什么服务器会开启UDP19端口呢？我们在服务器上通过“netstat –ano”命令，查看UDP19端口是由什么进程开启的，如下图所示：

 由上图我们知道该端口由进程ID号为1432的进程开启，查看任务管理器，得知该进程为简单TCPIP服务，进程名为tcpsvcs.exe，该进程是微软Windows网络组件的一部分。这个系统进程用于计算机使用专用的TCP/IP网络服务，例如DHCP，简单TCP和打印服务。
通过百度搜索tcpsvcs.exe、UDP19端口等关键字，如下图所示： 

我们发现曾有人遇到过这种问题，当事人反馈“win2003 sp2 近来发现tcpsvcs.exe上传速度太猛了，最高时有2m，都差不多占了全部带宽了…….总是国外IP连接19端口,IP禁了几十个,还是不断有新的” （原始链接为：http://bbs.csdn.net/topics/390496813），这说明我们的用户并不是唯一一个遇到这种情况的：黑客利用服务器对外开放的UDP19端口，伪造受害者IP向服务器发送报文，服务器在收到报文后，会向受害者IP发送填充的字符报文，这些报文大部分都是大报文，需要分为多个分片报文，这会产生较大的网络流量，消耗服务器和互联网受害者的网络带宽资源。

阅读全文>>

标签: wireshark 分片 TTL DOS UDP19端口 tcpsvcs进程 伪造源IP Character Generator tcpsvcs.exe

评论(3) 引用(0) 浏览(109561)

Sharkfest '13 Retrospective

作者：易隐者 发布于：2013-6-28 20:41 Friday 分类：网络分析

Sharkfest '13 Retrospective

June 16th - 19th, 2013
UC Berkeley, Clark Kerr Campus | Berkeley, California

Blog Posts

• Gerald Combs: your network is not a black box
• 12 Ways to Go Deep with Wireshark at SHARKFEST 2013
• Wireshark at 15: how to start a project that lasts
• Wireshark tips and tricks used by insiders and veterans

Press Releases

• Sharkfest 2013 Marks 15th Anniversary Of Wireshark

Packet Challenge

The Sharkfest 2013 Packet Challenge answer key is online at Wireshark University.

CONGRATULATIONS to the winners of the Packet Challenge (and an AirPcap Nx and Cascade Pilot PE license):
Clay Maddox, University of North Florida (100%, but missed the bonus Challenge #7)
Gareth Sydie, G-Research (Missed 1 Challenge but nailed the bonus one)

+ Keynote Presentation Videos

-Network & Application Performance Track Presentations

-Packet Analysis Presentations

-Security Presentations

阅读全文>>

标签: wireshark sharkfest

评论(0) 引用(0) 浏览(8282)

wireshark过滤器使用注意事项

作者：易隐者 发布于：2013-4-26 15:23 Friday 分类：网络分析

       以前一直认为各个网络分析产品的过滤器工作机制应该都是一样的，今天在协助分析定位一个故障的时候，我使用wireshark进行分析，用HTTP作为过滤条件，想仅查看HTTP交互的报文，其过滤后显示的内容如下图所示：

       单看上图的显示内容，我们很容易的认为，这就是纯粹的HTTP交互，但是未看见三次握手连接建立的过程，一开始我心里是有点疑惑，但是并未往心里去，后来在合作伙伴的提醒下，我再尝试使用TCP作为过滤条件，方才看到大量的SYN报文，如下图所示：

         实在想不通，难道HTTP的三次握手过程不属于HTTP报文？？？？不知道wireshark在这一块是如何设计和考虑的，总之个人认为这个设计不合常理。我们以后在使用wireshark过滤器的时候稍微注意一下，避免出现误解。

阅读全文>>

标签: TCP wireshark 过滤器 HTTP

评论(2) 引用(0) 浏览(9176)

【转】中科院《个人隐私泄露风险的技术研究报告V1.0》的部分内容

作者：易隐者 发布于：2012-11-23 9:43 Friday 分类：案例讨论

【说在之前】：

1，早上看到新浪新闻《中科院报告：360产品存在三大隐私安全问题 》，其中引用了中科院保密技术攻防重点实验室研究撰写的《个人隐私泄露风险的技术研究报告》的部分内容，通过分析可见任何应用产品，若非自行开发，均可能在后台执行各种非法的或非授权的操作，而这种隐形的操作行为很可能会给最终用户带来各种威胁；

2，这些后台的隐形行为不易为用户所察觉，但是利用网分析技术可以对这些隐形行为进行数据包级别的深入分析；

3，该报告分析的主要方式是通过网络分析的技术手段实现对360浏览器网络行为的分析，使用的工具看截图应该是wireshark，此报告作为利用网络分析技术对应用进行分析评估的一个案例，值得大家参考学习。

【原文链接】：http://tech.sina.com.cn/i/2012-11-23/08517825584.shtml

【原文】：

　　前言

　　随着国内外个人隐私泄露事件的频繁发生和对个人隐私保护的重视，人们越来越关注日常工作生活中计算机软件、移动终端以及高技术带来的个人隐私问题。中国科学院信息工程研究所保密技术攻防重点实验室对当前常用软件和终端产品的用户隐私保护情况进行了初步调查，通过实验研究发现了一些有关隐私保护存在的风险。本文主要从常用软件、网络服务、移动终端以及声光电磁等四个方面介绍了实验室的研究结果和发现。文中内容注重实例研究和数据再现，希望引起有关部门对个人隐私相关问题的关注。

　　本文得到了北京大学互联网安全技术北京市重点实验室的帮助。

　　1 终端常用软件与用户隐私保护

　　1.1网络浏览器

　　许多网络浏览器为了增强用户体验、提供个性化服务、发展定向广告业务等目的，通常会在后台收集用户的网页浏览记录等个人信息上传到服务器。然而许多收集用户个人信息的行为是在用户不知情的情况下进行的，或者所收集的信息超出了软件《安装许可协议》中进行了明确规定的范围。

　　实验室以360安全浏览器当前最新版本5.0为例，对浏览器的用户隐私泄露问题进行了分析和研究，网络浏览器中的隐私泄露威胁存在于以下几个方面：

　　1)预留后门，植入代码：一些浏览器在使用过程中会在用户不知情的情况下在后台执行《安装许可协议》规定内容之外的功能，360安全浏览器在运行过程中约每5分钟与服务端进行一次通信，并下载一个文件，如下图所示，下载的文件为se.360.cn/cloud/cset18.ini，但是从数据流可以看出该文件实际上是一个PE文件，文件头中标识的产品名称为DataDll。

　　将该文件从数据流中提取出来得到一个dll文件，查看该文件的属性，得到其文件说明为“360安全浏览器 安全网银”。

　　从该文件中提取到一段Base64编码的文本信息：

W3N0XQ0KY291bnQ9Mg0KW3N0MV0NCmlkPTENCnVybD1odHRwOi8vd3d3LmJhaWR1LmNvbS9zZWFyY2gvc

mVzc2FmZS5odG1sKg0KW3N0Ml0NCmlkPTINCnVybD1odHRwOi8vdmVyaWZ5LmJhaWR1LmNvbS92Y29kZT8q

DQpbdHJheW1zZ10NCnN0YXRpY3NpZD0zMQ0KY291bnQgPSAxDQp1cmwxPWh0dHA6Ly93d3cuYmFpZHUuY2

9tL3NlYXJjaC9yZXNzYWZlLmh0bWwqDQpbbWFpbl0NCmhrcmVzMj0xDQpjYmM9MQ0KW2NiY10NCnVybGNvdW

50PTENCnVybDE9aHR0cDovL3d3dy5iYWlkdS5jb20vc2VhcmNoL3Jlc3NhZmUuaHRtbCoNCmNiY2NvdW50PTINC

mMxPUJBSURVSUQNCmMyPUJEVVNT

　　经过解码后的内容为：

　　[st]

　　count=2

　　[st1]

　　id=1

　　url=http://www.baidu.com/search/ressafe.html*

　　[st2]

　　id=2

　　url=http://verify.baidu.com/vcode?*

　　[traymsg]

　　staticsid=31

　　count = 1

　　url1=http://www.baidu.com/search/ressafe.html*

　　[main]

　　hkres2=1

　　cbc=1

　　[cbc]

　　urlcount=1

　　url1=http://www.baidu.com/search/ressafe.html*

　　cbccount=2

　　c1=BAIDUID

　　c2=BDUSS

　　由此可推测该DLL文件的功能与网银无任何关系，而是跟搜索引擎百度相关可能是为了躲避Referer字段的检查。这种行为虽然不涉及用户隐私，但是具有欺骗性。

　　此外，360安全浏览器还会在用户不知情的情况下定期从服务端下载和执行一个名为“ExtSmartWiz.dll”的动态链接库。如果该动态链接库被植入恶意功能或者不法分子利用域名劫持等方法对浏览器下载的“ExtSmartWiz.dll”文件进行恶意篡改，将会给用户安全带来严重危害。

　　2)收集用户浏览记录：很多浏览器会将用户所打开的页面地址上传到服务器，以分析用户的个人爱好或者统计网站的受欢迎度，从而在浏览器首页更好地为用户推荐个性化内容。这种行为也侵犯了用户的隐私数据。下图为当用户使用360安全浏览器5.0访问网页的时候，每打开一个网页之后都会向360的特定服务器发送一个POST请求，内容包含加密过的url信息。

　　3)收集浏览器地址栏输入信息：当用户在浏览器地址栏中输入网址的时候，很多浏览器为了帮助用户自动补全网址，会把用户所输入的内容上传到服务器来。下图为当用户在360安全浏览器5.0的地址栏中输入“10.105.240.57”时，浏览器会将该地址发送到sug.so.360.cn，并且发送时附带的Cookie中会带有具有用户唯一性标志的guid值，这可能会导致特定用户的地址栏输入以及浏览记录被跟踪和泄漏。

　　下图所示为当用户在360安全浏览器5.0的地址栏中输入“weibo.com”的过程中，每输入一个字符，浏览器就会向sug.so.360.cn发送当前浏览器地址栏中的内容(即“w”、“we”、“wei”、“weib”、“weibo”、“weibo。”、“weibo.c”、“weibo.co”、“weibo.com”)。

图1-5

阅读全文>>

标签: wireshark 网络分析 解码 安全 业务 网络行为 应用分析 应用评估

评论(0) 引用(0) 浏览(5453)

异常流量分析方法——发现-定位-管控

作者：易隐者 发布于：2012-11-8 21:50 Thursday 分类：网络分析

       我们在实际工作环境中遇到各种影响网络系统和业务正常运行的异常流量的概率远远高于遇到疑难故障的概率，在我的博客里已经将疑难杂症的分析方法和思路做了非常深入的阐述（大家可参考《疑难故障分析常规流程和思路》、《疑难网络故障的分析方法和原理之关联分析法》、《疑难网络故障的分析方法和原理之对比分析法》等文），并且我为此撰写了大量的疑难故障的实际分析和解决的案例，我在《疑难故障分析常规流程和思路》一文中，仅仅简单的提到“全局捕包确认异常类型和源头”等寥寥数字，这并不是我疏忽，而是当这些异常流量足以对网络和业务应用产生较为严重影响的时候，其在流量的特性上往往具有较为明显的特征，因此站在网络分析技术的角度，我认为针对这些异常流量的分析是一件非常简单的事情，只要通过简单几个分析步骤和流程，即可快速的定位。
       但是这些看似简单的方法和流程，对于一些不了解网络分析技术或网络分析初学者来说，却是一件令人头疼的事情，我曾在工作中数次遇到朋友问我：为什么不把这些最常遇到的异常流量问题的分析方法和思路，简单明了的写出来，以助初学者快速入手呢？
       我想的确有道理，把这些东西写出来，让更多的朋友能够利用我写的分析方法和思路解决实际工作过程中遇到的问题，岂不是一件快事？但是考虑到高彦刚老师在其《实用网络流量分析技术》一书中，已经对蠕虫、P2P、环路、ARP病毒等常见异常流量的分析案例做了专业的介绍，在此我将不再将高老师已经做过的、非常优秀的事情再做一遍，我主要将异常流量分析的方法和思路总结为一个简单易懂的、通用的分析流程。据此流程，你可以快速的分析定位大部分的异常流量。
       该方法并不局限于任何一款具体的网络分析产品和工具，只要你熟练掌握某一种网络分析工具（wireshark、omnipeek、科来或其他），都可以按照这个分析方法，快速的分析定位大部分的异常流量。

什么是异常流量

       严格的来讲，正常业务流量之外的流量，都应该归类为异常流量的范畴。但是，除了在工业控制系统等生产网络环境中，可以这样定义异常流量之外，其他的办公网络环境如此严格的定义异常流量都是不合适的。因为在普通的办公网环境下很难保证网内交互的都是业务流量。
       在办公网络环境下，办公端系统的应用和管理是非常丰富和复杂的，我们难以做到让每个办公终端在固定的时间内只运行某些固定的业务系统，相反，这些办公终端会根据不同的使用者特性和个人偏好，在不同的时段运行的大量的应用进程，这些进程中可能包含正常的办公应用的进程，也可能包含大量依托于互联网的非业务应用进程，甚至可能包含使用者自己都不知道的第三方插件、木马、病毒等进程。因此，我们还需要定义一个应用更为广泛的狭义上的异常流量。

       狭义范畴上的异常流量主要指：病毒、蠕虫、木马、垃圾应用（P2P下载/在线视频/在线游戏等）、攻击（各种DOS攻击流量）等影响网络和业务正常运行的流量。
       如此一来，我们便明确了我们需要分析的对象了，如果你是一个初学者，这样是不是感觉更具体一点？是不是有种找到靶心的感觉，哈哈。话不多说，还是跟我一起来开启这趟分析之旅吧。

异常流量分析方法和思路

       按照我个人的经验，我将异常流量的分析方法归纳为三大步骤和五个过程，分别为
发现-定位-管控三大步骤和Whether-Who-What -Where-How五个过程。如下图所示： 

发现-定位-管控三大步骤

Whether-Who-What -Where-How五个过程

发现-定位-管控三大步骤：
发现（Discovery）：及时发现当前网络环境中是否存在异常流量。
定位（Location）：通过分析定位出异常流量的根源、类型、运作模式以及具体的主机位置，为下一步的管控提供全面的信息。
管控（Control）：利用现有资源，及时实现对异常流量的管理和控制，消除异常流量对网络和业务正常运转的影响。

Whether-Who-What -Where-How五个过程：
Whether：通过分析，大致判断网络内部是否存在异常流量？
Who：若存在异常流量，异常流量都与谁有关？
What：异常流量是什么类型的？异常流量的运作机制怎样？
Where：异常流量相关的主机都在什么位置？
How：如何实现对异常流量的及时管理和控制？
       这三大步骤和五个具体分析过程是相互关联的。下面我们将这三大步骤和五个具体分析过程关联起来进行阐述。

阅读全文>>

标签: 交换机 TCP wireshark omnipeek 防火墙 IPS 科来 中间设备 UDP 抓包 DOS 攻击 行为特征 发包频率 异常流量 蠕虫 木马 P2P 扫描 TCP会话 UDP会话 平均包长 平均每秒包数 利用率

评论(0) 引用(0) 浏览(17339)