DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

服务器防护_服务器靠什么防御_原理

06-14 DDOS防御

服务器防护_服务器靠什么防御_原理

内容:介绍RDP背景DVC经理动态虚拟通道DVC管理器–初始化DVC–发送数据DejaBlue漏洞CVE-2019-1181和CVE-2019-1182错误原因:DLL中Int溢出Shodan数据:易受攻击的RDP连接建议拒绝服务攻击视频介绍当我们进入新的十年,我们发现旧内核代码中的旧编码错误甚至有可能影响到最新的操作系统,如windows10。在远程桌面协议(RDP)中发现像DejaBlue这样的溢出漏洞并不令人惊讶。RDP是Citrix在1995年首次发布的—25年前!-作为Windows NT 3.51增强版WinFrame的一部分。它后来被微软添加到WindowsNT4.0终端服务器版中,从那以后它就成为了所有Windows Server操作系统的一部分,也是自WindowsXP以来所有非家庭客户端操作系统的一部分。像RDP这样的远程访问协议对系统管理员非常有利,尤其是在OT环境中,因为它们允许用户从办公室或家中远程配置OT系统,而不会带来不便,也不会出现在工厂地板上的潜在安全问题。但是将RDP暴露在互联网上也会增加很多风险。在过去的几年中,美国高防cdn多久生效,我们已经看到了被破坏的RDP访问是勒索软件攻击的主要入口,比如SamSam、Dharma和CrySis。攻击者通常通过利用薄弱或缺失的RDP凭据进入。这些针对RDP的勒索软件攻击被归咎于各种威胁行为体,包括伊朗网络间谍组织、中国国家资助的行为体以及医疗勒索软件勒索计划,很可能是由一个复杂的网络犯罪组织实施的。上个月,我们还看到有人试图利用BlueKeep RDP漏洞进行加密货币挖掘。不足为奇的是,攻击者在互联网上扫描有漏洞的RDP端口的机器。加密货币矿商在企业环境中无疑是一个烦恼,但在OT环境中,它们更为严重,在OT环境中,它们会降低生产效率,并可能导致停机时间,因为窃取加密挖掘的CPU周期会影响网络物理系统(CP)对亚毫秒响应时间的关键需求。最后,尽管我们还没有看到,但DejaBlue和其他RDP漏洞可能会被用于有针对性的攻击中,以部署后门进行持久访问,这在OT环境中尤其令人担忧。这篇博客文章描述了RDP的工作原理以及DejaBlue漏洞如何利用Windows内核代码中的堆溢出漏洞,该漏洞是由CyberX的Section 52威胁情报团队进行反向工程的。最后,本文对暴露在互联网上的易受攻击的计算机的数量进行了估计,并提出了一系列针对DejaBlue和类似漏洞的建议。最后还有一段简短的视频,展示了Section 52针对DejaBlue漏洞的拒绝服务攻击。RDP背景RDP(远程桌面协议)为用户提供远程访问和控制Windows计算机的资源和数据的能力。该协议通常在3389/TCP和3389/UDP端口上工作。为了传输复杂的数据,该协议使用称为静态虚拟通道的模块化组件构建。每个信道都有自己的用途,ddos种类及如何防御,用于传输特定的数据,例如:rdpdr—文件系统操作rdpsnd–音频输出cliprdr–剪贴板共享drdynvc–动态虚拟通道虚拟通道是在服务器和客户机之间的初始连接阶段选择的。客户机负责指定要使用的频道。选择的频道以纯文本传输。我们可以在下面的屏幕截图中看到客户请求的频道:定义RDP服务器/客户端通信中使用的通道ID。在通信的初始阶段使用纯文本。服务器返回将标识每个通道的唯一ID列表。这些ID用于指定传输数据时将使用哪个通道。此外,在初始化阶段选择几个安全级别之一,包括:标准RDP安全SSLCredSSP公司RDSTLS具有CREP的早期用户授权在某些情况下,在初始化状态期间不必提供用户名和密码。如果安全级别需要用户名和密码,则DejaBlue漏洞将变得无用。DVC经理动态虚拟通道RDP协议每个会话只支持31个通道。为了克服这一限制,创建了一个称为drdynvc的新通道来支持其他通道。drdynvc中的通道称为动态通道,因为它们可以在会话期间创建,而不仅仅是在初始化阶段。动态通道也通过名称来标识。以下是一些示例:Microsoft::Windows::RDS::Video::Control::v08.01Microsoft::Windows::RDS::Video::Data::v08.01Microsoft::Windows::RDS::Geometry::v08.01在初始化阶段,还需要初始化drdynvc通道,但每个会话只需初始化一次。DVC管理器–初始化在RDP连接序列的功能交换阶段,服务器发送协议数据单元(PDU)消息,指示支持的最大版本和其他相关信息。客户端将使用其支持的最高版本进行响应,如下所示:在创建动态虚拟通道(DVC)期间交换有关支持版本的信息的握手机制。DVC–打开下一步是打开DVC本身。打开动态通道的请求总是来自服务器。动态信道有一个唯一的ID,它将用于标识数据在哪个信道上传输。为动态虚拟通道(DVC)创建唯一ID的握手机制。DVC–发送数据每个数据包称为一个PDU(协议数据单元),其大小限制为1600(0x640)字节。数据也可以压缩。压缩仅在DVC版本3中可用,nginxddos攻击防御,使用的算法是RDP 8.0无损压缩。RDP8.0压缩基于Lempel-Ziv和静态Huffman编码,但稍作修改。这里有趣的一点是,根据RDP协议规范,单个未压缩的PDU数据包被限制为8192(0x2000)字节。压缩数据的结构称为RDP分段数据。包的结构如下所示:描述符(1字节)–指定它是包装单个段还是多个段;每个PDU可以在一个数据包中包含多个数据段。segmentCount(2字节)–段数;仅当描述符==255时才存在uncompressedSize(4字节)–未压缩数据的总大小;仅当描述符==255时才存在segmentArray(variable)–它的结构是RDP_DATA_SEGMENT,ddos防御网,它是4字节大小+压缩数据(RDP8_BULK_ENCODED_DATA);仅当描述符==255时才存在结构如下:DejaBlue漏洞CVE-2019-1181和CVE-2019-1182这些漏洞由微软内部发现,并于2019年8月发布。微软将这些漏洞描述为"严重的",因为它们可能导致远程代码执行(RCE)。与BlueKeep一样,这些漏洞也特别严重,因为它们是"预身份验证"的,因此"易受攻击"——这意味着它们可以用来创建一个自动蠕虫病毒,在没有任何用户交互的情况下从一台机器跳到另一台机器(类似于WannaCry)。这些漏洞影响从Windows 7到Windows 10的所有Windows版本,包括服务器版本。这些漏洞存在于处理信道drdynvc的DVC管理器组件中。错误原因:DLL中Int溢出导致这些漏洞的bug存在于DLL中RDPcorets.dll,易受攻击的函数是DecompressUnchopper::Decompress。此函数负责从RDP_分段的_数据包中解压缩数据。我们可以从下面的代码中看到,一旦描述符的值为225,代码会通过将其与缓冲区的长度(这个+16)进行比较,来检查是否有足够的空间来容纳未压缩的大小。如果缓冲区对于未压缩的数据来说太小,代码将删除原始缓冲区,并分配一个新的缓冲区,服务器怎么有效防御ddos,使用uncompressedSize+0x2000。它假设不可能需要超过0x2000,因为协议规范应该将数据包限制在该值。这将导致int溢出情况。如果我们发送值为0xFFFFE001的未压缩数据,并且代码尝试重新分配它,则缓冲区的新大小将为1(0xFFFFE001+0x2000=1)。假设我们发送导致int溢出的未压缩数据,但也发送一个大小为0x1500的实际缓冲区。代码将使用memcpy函数将0x1500字节复制到1字节缓冲区。这将导致堆的内存损坏。由CyberX威胁情报小组第52节逆向工程的Windows代码,显示堆溢出漏洞的位置。Shodan数据:易受攻击的RDP连接CyberX的Section 52团队创建了一个专有的扫描仪,扫描打开的RDP连接,以确定它们是否易受DejaBlue攻击。我们使用Shodan扫描打开的RDP会话,发现目前大约有350万个开放的RDP连接。使用我们的工具,我们发现其中9.26%或大约33万个系统易受DejaBlue攻击。这比今年早些时候讨论的100万个易受攻击系统的估计值要小得多。我们不知道确切原因,但我们猜测是因为:DejaBlue只影响更新的Windows版本,而且在全球范围内部署的Windows版本要少得多。更新的Windows系统的所有者比旧Windows系统的所有者更有可能进行修补。按地理位置分布具有开放RDP端口的系统(通过Shodan)。建议有许多优秀的文章wri

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/69737.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9229226访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X