基于IPMI协议的DDoS反射攻击分析_seo技术分享-栗子

IPMI智能平台管理接口是一个开放的标准硬件管理接口规范,定义了嵌入式管理子系统通信的具体方法。IPMI信息通过位于IPMI兼容硬件组件上的基板管理控制器(BMC)进行传输。使用低级硬件智能管理代替操作系统管理有两个主要优点:第一,这种配置允许带外服务器管理;其次,操作系统不必承担传输系统状态数据的任务。

IPMI是智能平台管理接口的缩写,智能平台管理接口是基于英特尔架构的企业系统中管理外围设备的行业标准。该标准由英特尔、惠普、日本电气公司、戴尔计算机和超级微生物制定。用户可以使用IPMI来监控服务器的物理健康特性,如温度、电压、风扇运行状态、电源状态等。更重要的是,IPMI是一个开放和自由的标准,用户不必为使用这个标准而额外付费。

DDoS :分布式拒绝服务攻击是指使用客户机/服务器技术将多台计算机联合起来作为攻击平台,对一个或多个目标发起DDoS攻击,从而使拒绝服务攻击的威力加倍。通常,攻击者使用窃取的帐户在计算机上安装DDoS主程序。在设定的时间,主程序将与大量代理通信,这些代理已经安装在网络上的许多计算机上。代理在收到指令时发起攻击。使用客户机/服务器技术,主程序可以在几秒钟内激活数百个代理程序。[百度百科]

今天肖凯seo的博客转载了百度安全指数在2018年3月22日发布的对DDOS反射攻击的分析。主要内容如下:

0x00前言

百度知云屏蔽平台于2018年3月17日防御了一次峰值2Gbps反射式DDoS攻击。通过安全性分析,确定这是一种新的反射式DDoS攻击。此次攻击使用了IPMI协议进行攻击,在中国尚未发现相关案例。

IPMI(智能平台管理接口)智能平台管理接口最初是基于英特尔的企业系统外围设备的行业标准。IPMI也是一个开放和免费的标准,用户可以免费使用。

IPMI可以跨越不同的操作系统、固件和硬件平台,并且可以智能地监控、控制和自动报告大量服务器的运行状态,从而降低服务器系统的成本。IPMI传输基于UDP协议。默认情况下,基于此协议建立的远程管理控制服务绑定到端口623。

0x01攻击分析

基于IPMI协议的DDoS反射攻击分析_seo技术分享-栗子

攻击持续了15分钟,峰值超过2Gbps。有54828个攻击源IP,623个攻击源端口,使用协议IPMI和72字节长。在分析了包的内容之后,确定几乎所有的攻击包都是IPMI协议的ping响应包。如图所示:

基于IPMI协议的DDoS反射攻击分析_seo技术分享-栗子

最初怀疑攻击者伪造了源IP实施的泛洪攻击,但验证了54828攻击源IP的623个端口,存活率超过98%,这显然是一种反射攻击。分析反射源的地址位置特征,全球分布如下:

基于IPMI协议的DDoS反射攻击分析_seo技术分享-栗子

USA占近40%,排名前30位的国家如下:

基于IPMI协议的DDoS反射攻击分析_seo技术分享-栗子

0x02关联风险分析

IPMIping本次攻击使用的攻击包类似于常规ping,只是ping使用的是ICMP协议传输。

IPMI协议广泛应用于超级芯片、戴尔、惠普和IBM的板载卡管理系统。但是,有默认密码,甚至一些长期存在的网络漏洞也可以直接获得密码。认证后,除了ping之外,还可以进行其他操作,如监控和其他数据。此时,返回的数据字节数将比请求的数据多得多。近年来的大多数漏洞主要是网络漏洞:

CVE-2014-8272 IPMI1.5任意命令执行

CVE-2013-4786 IPMI2.0脱机密码爆破漏洞

CVE-2013-4037 IPMI密码哈希值泄漏漏洞

CVE-2013-4031 IPMI用户默认帐户登录漏洞

CVE-201 3-4782超级计算机任意IPMI命令执行

CVE-2013-3623超级计算机cgiCGI缓冲区溢出任意命令执行

CVE-2013-3609超级计算机权限绕过漏洞

CVE-2013-3607超级计算机任意代码执行

CVE- 2013-4783戴尔

CVE-2014-0806 IBM BladeCenter高级管理模块IPMI清除文档泄漏

CVE-2013-4037 IBM IPMI清除文档泄漏。

板载卡管理系统通常不重视网络安全,更新也需要固件升级,导致许多易受攻击的平台暴露在公共网络中。

通过扫描分析,这个DDoS攻击源的近一半的IP属于超级IPMI管理平台。然而,超级IPMI管理平台也暴露出许多漏洞。

0x03反射攻击趋势分析

IPMIping数据包

IPMIping传输在此攻击中使用如下:

基于IPMI协议的DDoS反射攻击分析_seo技术分享-栗子

请求请求65字节,返回72字节。放大倍数是1.1倍。

但是从扩增的规模来看,IPMI的ping包不是一个好的“反射”扩增协议。

但是,IPMIping由于其攻击包小、来源广,可能会渗透到一些传统设备中。

从最近的反射攻击来看,一些中等规模的UDP服务逐渐被黑客使用,包括以前的Memcached反射,放大率达到50,000倍,这是惊人的。即使互联网上的公共开放数量仅超过100,000,它也能产生超过1T的流量攻击。

由于没有认证逻辑或弱认证逻辑(包括默认密码),不常见的UDP服务逐渐成为黑客发起攻击的首选。

0x04关于团队

智云盾基于百度的安全成熟防御技术,通过灵活的合作模式,旨在为合作伙伴的IDC环境构建和提供安全基础设施,为其本地快速检测和防御DDoS攻击提供解决方案,同时为其客户提供自动和无限扩展的DDoS云防御服务。此外,云盾平台的集成还包括一系列百度安全功能,如资产脆弱性评估、黑客攻击检测、实时安全防御和威胁情报等。它提高了IDC的安全能力,同时为最终客户提供了安全增值服务。欲了解更多信息,请访问:https://dun.baidu.com