プロホスト > ブログ > インターネットニュース > Alt-Svc HTTP ヘッダーを使用して内部ネットワーク ポートをスキャンできます。

Alt-Svc HTTP ヘッダーを使用して内部ネットワーク ポートをスキャンできます。

ボストン大学の研究者 開発した 攻撃方法
(CVE-2019-11728) 許可する ファイアウォールによって外部ネットワークから隔離されているユーザーの内部ネットワーク、または現在のシステム (ローカルホスト) 上で IP アドレスをスキャンし、ネットワーク ポートを開きます。 ブラウザで特別にデザインされたページを開いたときに攻撃が実行される可能性があります。 提案された手法は、HTTP ヘッダーの使用に基づいています。 Alt-Svc (HTTP 代替サービス、 RFC-7838)。 この問題は、Firefox、Chrome、およびそれらのエンジンをベースにしたブラウザ (Tor Browser や Brave など) で発生します。

Alt-Svc ヘッダーを使用すると、サーバーはサイトにアクセスする別の方法を決定し、負荷分散などのためにリクエストを新しいホストにリダイレクトするようにブラウザーに指示できます。 転送用のネットワーク ポートを指定することもできます。たとえば、「Alt-Svc: http/1.1="other.example.com:443";ma=200」を指定すると、クライアントはホスト other.example に接続するように指示されます。 .org を使用して、ネットワーク ポート 443 と HTTP/1.1 プロトコルを使用して、要求されたページを受信します。 「ma」パラメータは、リダイレクトの最大期間を指定します。 プロトコルとしては、HTTP/1.1に加え、UDPを使用したHTTP/2-over-TLS(h2)、HTTP/2-over plain text(h2c)、SPDY(spdy)、QUIC(quic)をサポートしています。

Alt-Svc HTTP ヘッダーを使用して内部ネットワーク ポートをスキャンできます。

アドレスをスキャンするために、攻撃者のサイトは、繰り返されるリクエスト間の遅延を兆候として使用して、対象の内部ネットワーク アドレスとネットワーク ポートを順番に検索します。
リダイレクトされたリソースが使用できない場合、ブラウザは応答として RST パケットを即座に受信し、すぐに代替サービスを使用不可としてマークし、リクエストで指定されたリダイレクトの有効期間をリセットします。
ネットワーク ポートが開いている場合、接続が完了するまでに時間がかかり (対応するパケット交換との接続を確立しようとします)、ブラウザはすぐには応答しません。

検証に関する情報を取得するために、攻撃者はユーザーをすぐに XNUMX 番目のページにリダイレクトできます。このページは、Alt-Svc ヘッダーで攻撃者の実行ホストを参照します。 クライアントのブラウザがこのページにリクエストを送信した場合、最初の Alt-Svc リクエストのリダイレクトがリセットされ、テスト中のホストとポートが使用不可になっていると想定できます。 リクエストが受信されない場合は、最初のリダイレクトに関するデータの有効期限がまだ切れていないため、接続は確立されています。

この方法では、メール サーバー ポートなど、ブラウザによってブラックリストに登録されているネットワーク ポートを確認することもできます。 実用的な攻撃は、被害者のトラフィックで iframe 置換を使用し、Firefox および QUIC の Alt-Svc で HTTP/2 プロトコルを使用して Chrome の UDP ポートをスキャンすることによって準備されました。 Tor ブラウザでは、この攻撃は内部ネットワークやローカルホストのコンテキストでは使用できませんが、Tor 出口ノードを介して外部ホストの秘密スキャンを組織するのには適しています。 すでにポートスキャンに問題があります 排除された Firefox 68では。

Alt-Svc ヘッダーも使用できます。

  • DDoS 攻撃を組織する場合。 たとえば、TLS の場合、最初のクライアント要求には 60 バイトかかり、証明書を含む応答は約 500 KB であるため、リダイレクトは 30 倍のゲイン レベルを提供できます。 複数のクライアント システム上で同様のリクエストをループで生成すると、サーバーが利用できるネットワーク リソースが使い果たされる可能性があります。

    Alt-Svc HTTP ヘッダーを使用して内部ネットワーク ポートをスキャンできます。

  • セーフ ブラウジングなどのサービスによって提供されるフィッシング対策およびマルウェア対策メカニズムをバイパスするため (悪意のあるホストにリダイレクトしても警告は表示されません)。
  • ユーザーの動きの追跡を整理するため。 このメソッドの本質は、Alt-Svc で外部移動追跡ハンドラーを参照する iframe を置き換えることです。このハンドラーは、アンチトラッカー ツールが含まれているかどうかに関係なく呼び出されます。 また、Alt-Svc での一意の識別子 (識別子としてランダムな IP:ポート) を使用し、その後の通過トラフィックの分析を通じてプロバイダー レベルで追跡することも可能です。

    Alt-Svc HTTP ヘッダーを使用して内部ネットワーク ポートをスキャンできます。

    Alt-Svc HTTP ヘッダーを使用して内部ネットワーク ポートをスキャンできます。

  • 移動履歴情報を取得するため。 Alt-Svc を使用する特定のサイトからの画像をリクエストとともにその iframe ページに挿入し、トラフィック内の Alt-Svc の状態を分析することにより、トランジット トラフィックを分析する能力を持つ攻撃者は、ユーザーが以前に指定されたサイトにアクセスしたと結論付けることができます。サイト;
  • 侵入検知システムのノイズの多いログ。 Alt-Svc を使用すると、ユーザーに代わって悪意のあるシステムにリクエストを大量に送信し、偽の攻撃のように見せかけ、実際の攻撃に関する情報を一般ボリュームに隠すことができます。

出所: オープンネット.ru

コメントを追加します