Möglicher Hack mit FTP - Was sind die Lösungen?


2

Ich habe den FTP-RFC gelesen und hatte daher diese Idee.

Angenommen, es gibt mehrere öffentliche FTP-Server, auf denen sich anonyme Benutzer anmelden können. Ich öffne eine Steuerverbindung auf Port 21 zu jedem dieser Server.

Angenommen, auf example.com befindet sich ein Webserver mit der IP-Adresse xyzw, der an Port 80 empfangsbereit ist. Mithilfe von FTP kann ein Benutzer den Host angeben, auf dem die Datenverbindung eingerichtet werden soll. Ein Benutzer gibt also den Host und die Portnummer des example.com-Webservers an. Nun beginnt der FTP-Server mit dem Senden von Daten an example.com, für die es sich nicht um eine gültige HTTP-Anforderung handelt, und wird daher abgelehnt. Example.com stellt jedoch fest, dass die ungültige http-Anfrage von einem öffentlichen FTP-Server und nicht von meiner IP-Adresse stammt. Kann dies nicht zu einem verteilten Angriff führen, wenn alle öffentlichen FTP-Server genutzt werden?

Schlimmer noch, die vom FTP-Server gesendeten Daten könnten eine gültige http-Anfrage sein, die example.com veranlassen könnte, eine Datei an den FTP-Server zurückzusenden.

Gibt es eine Lösung dafür oder ist es überhaupt kein Problem?

Antworten:


4

Dies ist kein Problem, da der Ziel-Webserver die Übertragung von Ihrem FTP-Server ablehnt. Selbst wenn die Daten der Übertragung eine gültige http-Anforderung sind, stimmen die Protokoll-Handshakes nicht überein, und die Verbindung wird geschlossen. Auf diese Weise würden Ihre anfänglichen FTP-Anforderungen mehr Overhead für Ihren ursprünglichen Computer verursachen, als Ihr Ziel im Datenverkehr erhalten würde.

Möglicherweise liegt hier noch eine verteilte Sicherheitslücke vor. Wenn Sie ein Botnetz ausführen, können Sie die PCs im Botnetz verwenden, um den Angriff auszuführen. Jedes einzelne Mitglied würde immer noch mehr Bandbreite verbrauchen, als es erstellt hat, aber es ist nicht Ihre Bandbreite, also ist es in Ordnung. Dies hat den Vorteil, dass Sie Ihre erbeuteten Zombie-PCs vor Entdeckungen schützen können. Es könnte eine Möglichkeit sein, zu maskieren, wo sich Ihre Zombies verstecken. Glücklicherweise erwarte ich, dass diese zusätzliche Indirektionsebene mehr Ärger bedeutet, als es wert ist.

Dieser Angriff wäre auch relativ leicht zu verteidigen. Es gibt eine begrenzte und feste Anzahl potenzieller anonymer öffentlicher FTP-Server auf der Welt, die Sie verwenden können. Diese Server werden im Allgemeinen auch nicht für den normalen HTTP-Verkehr verwendet. Wenn Sie als guter Netzwerkadministrator das Ziel eines solchen Angriffs gefunden haben, können Sie diese Computer einfach per IP an Ihrem Router blockieren, bevor die Anforderungen Ihren Webserver erreichen. Bei einem herkömmlichen verteilten Angriff wäre dies schlecht, da Sie auch viel legitimen Datenverkehr abschneiden würden. In diesem Fall senden Ihnen jedoch nur sehr wenige der an dem Angriff beteiligten IP-Adressen legitimen Datenverkehr. Sie können diese also sicher blockieren.


Erfordert die Datenübertragungsverbindung von FTP Protokoll-Handshakes? Ich glaube nicht, weil es dafür einen separaten Steuerungsanschluss gibt. TCP-Handshake ist zulässig und eine gültige Antwort für die http-Anforderung wird an den FTP-Server gesendet, der die Antwort möglicherweise nicht liest. Könnten Sie den zweiten Absatz näher erläutern? Ich habe das meiste nicht verstanden.
Rohit Banga

macht Sinn. Wenn jedoch jemand mehr Informationen zum Thema hat, zögern Sie bitte nicht zu diskutieren.
Rohit Banga

0

Ich glaube nicht, dass der FTP-Server Ihrem PC erlaubt, Port 80 für Daten zu wählen. Sie werden wahrscheinlich nur eine Fehlermeldung erhalten oder die Verbindung wird getrennt.


ist es nicht meine Wahl, welchen Port ich abhöre.
Rohit Banga

Möglicherweise könnte ein Reverse-DNS-Lookup helfen.
Rohit Banga

aber was wird eigentlich gemacht?
Rohit Banga
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.