Các lỗ hổng UDP
UDP là giao thức lớp vận chuyển (transport-layer) không kết nối trước, cung cấp interface giữa IP và các tiến trình lớp cao hơn. Các cổng giao thức UDP phân biệt nhiều ứng dụng chạy trên một thiết bị duy nhất với nhau. Không giống như TCP, UDP không bổ sung bất kỳ chức năng tin cậy, kiểm soát lưu lượng hoặc phục hồi lỗi cho IP. Do tính đơn giản của UDP, các tiêu đề UDP chứa ít byte hơn và tiêu tốn ít chi phí mạng hơn TCP. Tiêu đề của phân đoạn UDP chỉ chứa số cổng nguồn và đích, checksum UDP và chiều dài phân đoạn.
UDP hữu ích trong các tình huống không cần đến các cơ chế đảm bảo tin cậy của TCP, chẳng hạn như khi một giao thức lớp cao hơn có thể cung cấp kiểm soát lỗi và lưu lượng. UDP là giao thức vận chuyển cho một số giao thức lớp ứng dụng nổi tiếng, bao gồm Hệ thống Tệp Mạng (NFS), Giao thức Quản lý Mạng Đơn giản (SNMP), Hệ thống Tên Miền (DNS), TFTP và các dịch vụ thời gian thực như trò chơi trực tuyến, truyền phát phương tiện và VoIP.
UDP dễ bị tấn công vì checksum (checksum), một trường tùy chọn được sử dụng để phát hiện lỗi truyền, có thể dễ dàng được tính toán lại cho những kẻ tấn công muốn thay đổi dữ liệu ứng dụng. UDP không có thuật toán nào để xác minh nguồn của gói tin gửi. Kẻ tấn công có thể nghe lén các gói tin UDP và tạo các gói tin UDP giả mạo, giả vờ rằng gói tin UDP được gửi từ một nguồn khác (giả mạo). Người nhận gói tin không có gì đảm bảo rằng địa chỉ IP nguồn trong gói tin nhận được là nguồn thực sự của gói tin. Ví dụ, các tin nhắn SNMPv1 và DNS sử dụng UDP làm giao thức vận chuyển và dễ bị nghe lén. Kẻ tấn công có thể dễ dàng nghe lén và tạo các tin nhắn giả mạo bằng UDP, miễn là kẻ tấn công biết định dạng của các tin nhắn được gửi và các tin nhắn đó không được mã hóa.
Hầu hết các cuộc tấn công liên quan đến UDP liên quan đến việc cạn kiệt một số tài nguyên được chia sẻ (bộ đệm, dung lượng liên kết, v.v.) hoặc khai thác các lỗi trong việc triển khai giao thức, gây ra sự cố sập hệ thống hoặc hành vi không an toàn khác. Cả hai đều thuộc phạm vi rộng của các cuộc tấn công DoS. Ví dụ, trong các cuộc tấn công ngập UDP, tương tự như các cuộc tấn công ngập TCP, mục tiêu chính của kẻ tấn công là gây ra tình trạng thiếu tài nguyên hệ thống. Cuộc tấn công ngập UDP được kích hoạt bằng cách gửi nhiều gói tin UDP đến các cổng ngẫu nhiên trên hệ thống nạn nhân. Hệ thống của nạn nhân sẽ nhận thấy rằng không có ứng dụng nào lắng nghe trên cổng đó và trả lời bằng một gói tin ICMP "destination port unreachable" (cổng đích không thể truy cập). Nếu nhiều gói tin UDP được gửi, nạn nhân sẽ buộc phải gửi nhiều gói tin ICMP "destination port unreachable". Thông thường, các cuộc tấn công này được thực hiện bằng cách giả mạo địa chỉ IP nguồn của kẻ tấn công.
Cuộc tấn công worm SQL Slammer vào năm 2003 là một ví dụ điển hình về lỗ hổng bảo mật phần mềm liên quan đến cổng UDP 1434. Microsoft SQL Server 2000 chứa ba lỗ hổng cho phép kẻ tấn công từ xa thực thi mã tùy ý hoặc làm sập máy chủ. Lỗ hổng nằm trong Dịch vụ Giải quyết SQL Server 2000. SQL Server 2000 cho phép sử dụng nhiều phiên bản của máy chủ SQL trên một máy tính duy nhất. Do nhiều phiên bản không thể sử dụng cổng phiên SQL Server chuẩn, cổng TCP 1433, các phiên bản khác sẽ lắng nghe trên các cổng được gán. Dịch vụ Giải quyết SQL Server, hoạt động trên cổng UDP 1434, phản hồi truy vấn của khách hàng, do đó khách hàng có thể kết nối với phiên bản SQL Server thích hợp. Hai lỗ hổng tràn bộ vùng đệm có thể bị khai thác bằng cách gửi một gói tin đặc biệt bị lỗi đến Dịch vụ Giải quyết SQL Server trên cổng UDP 1434 để gây tràn vùng nhớ heap hoặc stack. Nếu kẻ tấn công từ xa khai thác thành công các lỗ hổng, chúng có thể thực thi mã tùy ý trên hệ thống. Một nỗ lực không thành công có thể khiến dịch vụ SQL Server bị sập. Mã tùy ý sẽ được thực thi trong ngữ cảnh bảo mật của máy chủ SQL và có thể thực hiện bất kỳ chức năng cơ sở dữ liệu nào. Mã khai thác cho các lỗ hổng được thảo luận có sẵn công khai.
Một lỗ hổng DoS khác cũng có thể bị khai thác thông qua cơ chế "giữ kết nối" (keep-alive) của SQL trên cổng UDP 1434. Hệ thống máy chủ SQL sử dụng cơ chế "giữ kết nối" để xác định phiên bản nào đang hoạt động và phiên bản nào không hoạt động. Khi một phiên bản nhận được gói tin "giữ kết nối" với giá trị 0x0A trên cổng UDP 1434, nó sẽ tạo và trả lại cho người gửi một gói tin "giữ kết nối" với cùng giá trị 0x0A.
Nếu gói tin "giữ kết nối" đầu tiên bị giả mạo để xuất hiện như đến từ cổng UDP 1434 của một hệ thống máy chủ SQL khác, cả hai máy chủ sẽ liên tục gửi các gói tin có giá trị 0x0A cho nhau, tạo ra một cơn bão gói tin (packet storm) và tiếp tục cho đến khi một trong các máy chủ bị ngắt kết nối hoặc khởi động lại.
#vnpro #cisco #kienthuc
=AZUfanVXXZZM5QucLwi_gHIgezNBDlHL3_lFy4nTB_RAOKaHK yJhOPP3k0wiAVZ7jfP8hlhXKIJlcPzCPTR0sPzUy5tbUG621Jq GUGTLgcIwRr3OqDyfu5sVliLev_sEd1crd3bQ6LIHUtITJLSaZ wA2t04RARCiU6R3oBxkrdBSQCCNFrIR8M71dx4Z5qMrAIw&__t n__=EH-R]
UDP là giao thức lớp vận chuyển (transport-layer) không kết nối trước, cung cấp interface giữa IP và các tiến trình lớp cao hơn. Các cổng giao thức UDP phân biệt nhiều ứng dụng chạy trên một thiết bị duy nhất với nhau. Không giống như TCP, UDP không bổ sung bất kỳ chức năng tin cậy, kiểm soát lưu lượng hoặc phục hồi lỗi cho IP. Do tính đơn giản của UDP, các tiêu đề UDP chứa ít byte hơn và tiêu tốn ít chi phí mạng hơn TCP. Tiêu đề của phân đoạn UDP chỉ chứa số cổng nguồn và đích, checksum UDP và chiều dài phân đoạn.
UDP hữu ích trong các tình huống không cần đến các cơ chế đảm bảo tin cậy của TCP, chẳng hạn như khi một giao thức lớp cao hơn có thể cung cấp kiểm soát lỗi và lưu lượng. UDP là giao thức vận chuyển cho một số giao thức lớp ứng dụng nổi tiếng, bao gồm Hệ thống Tệp Mạng (NFS), Giao thức Quản lý Mạng Đơn giản (SNMP), Hệ thống Tên Miền (DNS), TFTP và các dịch vụ thời gian thực như trò chơi trực tuyến, truyền phát phương tiện và VoIP.
UDP dễ bị tấn công vì checksum (checksum), một trường tùy chọn được sử dụng để phát hiện lỗi truyền, có thể dễ dàng được tính toán lại cho những kẻ tấn công muốn thay đổi dữ liệu ứng dụng. UDP không có thuật toán nào để xác minh nguồn của gói tin gửi. Kẻ tấn công có thể nghe lén các gói tin UDP và tạo các gói tin UDP giả mạo, giả vờ rằng gói tin UDP được gửi từ một nguồn khác (giả mạo). Người nhận gói tin không có gì đảm bảo rằng địa chỉ IP nguồn trong gói tin nhận được là nguồn thực sự của gói tin. Ví dụ, các tin nhắn SNMPv1 và DNS sử dụng UDP làm giao thức vận chuyển và dễ bị nghe lén. Kẻ tấn công có thể dễ dàng nghe lén và tạo các tin nhắn giả mạo bằng UDP, miễn là kẻ tấn công biết định dạng của các tin nhắn được gửi và các tin nhắn đó không được mã hóa.
Hầu hết các cuộc tấn công liên quan đến UDP liên quan đến việc cạn kiệt một số tài nguyên được chia sẻ (bộ đệm, dung lượng liên kết, v.v.) hoặc khai thác các lỗi trong việc triển khai giao thức, gây ra sự cố sập hệ thống hoặc hành vi không an toàn khác. Cả hai đều thuộc phạm vi rộng của các cuộc tấn công DoS. Ví dụ, trong các cuộc tấn công ngập UDP, tương tự như các cuộc tấn công ngập TCP, mục tiêu chính của kẻ tấn công là gây ra tình trạng thiếu tài nguyên hệ thống. Cuộc tấn công ngập UDP được kích hoạt bằng cách gửi nhiều gói tin UDP đến các cổng ngẫu nhiên trên hệ thống nạn nhân. Hệ thống của nạn nhân sẽ nhận thấy rằng không có ứng dụng nào lắng nghe trên cổng đó và trả lời bằng một gói tin ICMP "destination port unreachable" (cổng đích không thể truy cập). Nếu nhiều gói tin UDP được gửi, nạn nhân sẽ buộc phải gửi nhiều gói tin ICMP "destination port unreachable". Thông thường, các cuộc tấn công này được thực hiện bằng cách giả mạo địa chỉ IP nguồn của kẻ tấn công.
Cuộc tấn công worm SQL Slammer vào năm 2003 là một ví dụ điển hình về lỗ hổng bảo mật phần mềm liên quan đến cổng UDP 1434. Microsoft SQL Server 2000 chứa ba lỗ hổng cho phép kẻ tấn công từ xa thực thi mã tùy ý hoặc làm sập máy chủ. Lỗ hổng nằm trong Dịch vụ Giải quyết SQL Server 2000. SQL Server 2000 cho phép sử dụng nhiều phiên bản của máy chủ SQL trên một máy tính duy nhất. Do nhiều phiên bản không thể sử dụng cổng phiên SQL Server chuẩn, cổng TCP 1433, các phiên bản khác sẽ lắng nghe trên các cổng được gán. Dịch vụ Giải quyết SQL Server, hoạt động trên cổng UDP 1434, phản hồi truy vấn của khách hàng, do đó khách hàng có thể kết nối với phiên bản SQL Server thích hợp. Hai lỗ hổng tràn bộ vùng đệm có thể bị khai thác bằng cách gửi một gói tin đặc biệt bị lỗi đến Dịch vụ Giải quyết SQL Server trên cổng UDP 1434 để gây tràn vùng nhớ heap hoặc stack. Nếu kẻ tấn công từ xa khai thác thành công các lỗ hổng, chúng có thể thực thi mã tùy ý trên hệ thống. Một nỗ lực không thành công có thể khiến dịch vụ SQL Server bị sập. Mã tùy ý sẽ được thực thi trong ngữ cảnh bảo mật của máy chủ SQL và có thể thực hiện bất kỳ chức năng cơ sở dữ liệu nào. Mã khai thác cho các lỗ hổng được thảo luận có sẵn công khai.
Một lỗ hổng DoS khác cũng có thể bị khai thác thông qua cơ chế "giữ kết nối" (keep-alive) của SQL trên cổng UDP 1434. Hệ thống máy chủ SQL sử dụng cơ chế "giữ kết nối" để xác định phiên bản nào đang hoạt động và phiên bản nào không hoạt động. Khi một phiên bản nhận được gói tin "giữ kết nối" với giá trị 0x0A trên cổng UDP 1434, nó sẽ tạo và trả lại cho người gửi một gói tin "giữ kết nối" với cùng giá trị 0x0A.
Nếu gói tin "giữ kết nối" đầu tiên bị giả mạo để xuất hiện như đến từ cổng UDP 1434 của một hệ thống máy chủ SQL khác, cả hai máy chủ sẽ liên tục gửi các gói tin có giá trị 0x0A cho nhau, tạo ra một cơn bão gói tin (packet storm) và tiếp tục cho đến khi một trong các máy chủ bị ngắt kết nối hoặc khởi động lại.
#vnpro #cisco #kienthuc
=AZUfanVXXZZM5QucLwi_gHIgezNBDlHL3_lFy4nTB_RAOKaHK yJhOPP3k0wiAVZ7jfP8hlhXKIJlcPzCPTR0sPzUy5tbUG621Jq GUGTLgcIwRr3OqDyfu5sVliLev_sEd1crd3bQ6LIHUtITJLSaZ wA2t04RARCiU6R3oBxkrdBSQCCNFrIR8M71dx4Z5qMrAIw&__t n__=EH-R]