如何理解基于IPMI协议的DDoS反射攻击分析

这篇文章给大家介绍如何理解基于IPMI协议的DDoS反射攻击分析，内容非常详细，感兴趣的小伙伴们可以参考借鉴，希望对大家能有所帮助。IPMI（Intelligent Platform ManagementInterface）智能平台管理接口，原本是一种Intel架构的企业系统的周边设备所采用的一种工业标准。IPMI亦是一个开放的免费标准，用户无需支付额外的费用即可使用此标准。IPMI 能够横跨不同的操作系统、固件和硬件平台，可以智能的监视、控制和自动回报大量服务器的运行状况，以降低服务器系统成本。IPMI基于UDP协议进行传输，基于该协议建立的远程管理控制服务，默认绑定在623端口。
这个攻击过程持续了15分钟，峰值超过2Gbps。攻击来源IP共有54828个，攻击来源端口都是623，使用协议IPMI，长度为72字节。对数据包的内容进行具体分析，判断攻击包几乎都是IPMI协议的ping响应包。如图所示：最初怀疑是攻击者伪造源IP实施的Flood攻击，但验证这54828个攻击源IP的623端口，存活率超过98%，很明显是一种反射攻击。分析反射源的地址位置特征，全球分布如下图示：
美国占了接近40%，TOP30国家排名如下图示：本次攻击采用的IPMIping攻击包，与常规的ping 类似，不同之处ping使用了ICMP协议传输。IPMI 协议广泛用在Supermicro, Dell, HP, IBM的板载卡管理系统中。而这些存在着默认密码，甚至有些存在长久的Web漏洞可以直接获取密码。认证后可以操作除了ping之外更多的操作，如监控等数据。此时返回数据字节数会远大于请求数据。设备分布：全网分析共有133000个IPMI设备暴露在公网中。其中HP iLO, Supermicro IPMI, Dell iDARC三种设备占据75%以上的份额。因此，之前暴露出的安全问题也基本围绕着这几款设备。
IPMI设备攻击面：1、Web管理接口通常是HTTP的80或者443端口，出现过的漏洞：存在默认账号密码登录，Webserver接口溢出等漏洞。详细如下：CVE-2013-4782 Supermicro任意IPMI命令执行CVE-2013-3623 Supermicro cgi/close_window.cgi缓冲区溢出任意命令执行CVE-2013-3622 Supermicro logout.cgi缓冲区溢出任意命令执行CVE-2013-3609 Supermicro 权限绕过漏洞CVE-2013-3607 Supermicro 任意代码执行CVE-2013-4037 IBM IPMI明文凭证泄漏CVE-2014-0860 IBM BladeCenter高级管理模块IPMI明文凭证泄漏2、KVM console接口通常为TCP 5900端口，出现过的漏洞：弱口令。3、IPMI通讯接口通常为UDP的623端口，出现过的漏洞：存在默认账号密码登录，协议漏洞。详细如下：CVE-2014-8272 IPMI 1.5会话ID随机性不足CVE-2013-4786 IPMI2.0离线密码爆破漏洞CVE-2013-4037 IPMI密码哈希值泄漏漏洞CVE-2013-4031 IPMI用户默认账号登录漏洞CVE-2013-4782 Supermicro 身份验证绕过导致任意代码执行CVE-2013-4783 Dell iDRAC6 身份验证绕过导致任意代码执行CVE-2013-4784 Hp iLO 任意密码绕过4、SMASH接口通常为TCP的22端口，出现过的漏洞：弱口令。漏洞统计：对危害性评级为高危的漏洞进行统计。共有24500个IP存在高危漏洞。总体占比18.5%。1、IPMI 2.0 Cipher Zero Authentication Bypass。（涉及的漏洞编号CVE-2013-4782，CVE-2013-4783，CVE-2013-4784）远程攻击者可通过使用密码套件0（又名cipher zero）和任意的密码，利用该漏洞绕过身份认证，执行任意IPMI命令。IPMI 2.0使用cipher zero加密组件时，攻击者只需要知道一个有效的用户名就可以接管IPMI的功能。而大部分设备都存在默认账号和密码。全网扫描结果：17716个IP存在Cipher Zero Authentication Bypass漏洞。2、IPMI V1.5会话ID随机性不足IPMI v1.5 使用Session-ID 进行认证，Session-ID的取值范围（2^32）。部分远程控制卡在实现过程中，采用的Session-ID是0x0200XXYY格式。其中XX可以直接预测，黑客伪造YY的数值，可以在低权限或者未认证的情况下，启用新session执行任意命令。全网扫描结果：2918 个IP存在会话ID随机性不足的漏洞。3、开启匿名帐户登录或明文密码泄露SuperMicro老版本在49152放置了明文密码文件。攻击者可以通过请求服务器49152端口的/PSBlock文件，就可得到80端口web管理界面的密码，密码放在PSBlock文件中。全网扫描结果：390个IP存在明文密码泄露，3776个IP允许匿名帐户登录。漏洞地理免费云主机域名分布：

板载卡管理系统往往不注重Web安全，更新也需要升级固件，很多公司往往忽略这些工作，导致很多有漏洞的平台裸露在公网中，非常容易成为黑客攻击的目标。通过扫描此次DDoS攻击源进行分析，有近一半的IP属于Supermicro IPMI管理平台。而Supermicro IPMI管理平台也曾被爆出很多漏洞，其中“明文格式存储密码文件PSBlock漏洞”影响较大，存在这类漏洞的机器被黑客劫持后，常用来当作DDoS攻击的“肉鸡”。根据安全人员的分析，在2014年8月就有攻击者劫持了多达100,000的此类“肉鸡”发起了针对ComputerworldUK.com的混合DDoS攻击，攻击峰值达300Gbps，持续一天以上。本次攻击使用的IPMIping包IPMIping 传输如下：
Req请求 65字节，返回72字节。放大比例1.1倍。但从放大比例上看，IPMI的ping包并不是一个好的“反射”放大协议。但IPMIping 由于攻击包小，来源广泛，可能会穿透部分传统设备。从最近的几次反射攻击事件看，一些使用量中等规模的UDP服务逐渐黑客利用起来，包括之前的Memcached反射，放大倍数利率达到50000倍，非常惊人。即使互联网上公共开放的数量只有10几万，也能产生大于1T的流量攻击。无认证逻辑，或者弱认证逻辑（包含默认密码），不常见的UDP服务逐渐成为黑客发动攻击的首选。关于如何理解基于IPMI协议的DDoS反射攻击分析就分享到这里了，希望以上内容可以对大家有一定的帮助，可以学到更多知识。如果觉得文章不错，可以把它分享出去让更多的人看到。

相关推荐: cp 的使用

cp 复制文件和目录cp SRC DESTSRC是文件：如果目标不存在：新建DEST，并将SRC中内容填充至DEST中如果目标存在：如果DEST是文件：将SRC中的内容覆盖至DEST中基于安全，建议为cp命令使用-i选项如果DEST是目录：在DEST下新建与原…