基于snmp的反射攻击的理论及其实现

◆0前言



当时dns反射攻击爆发的时候，我就开始研究snmp的反射攻击（实际可以达到20倍的放大效果），在2013年夏天就已经理论研究完成，后来实现工具化。最后还差规模化（武器化）。其实，是国外在2013年初，就有只言片语叙述snmp的反射攻击，但是没有一篇完整的文章，最近在微博上看到很多朋友转载国外的信息，我觉得，如果再不把自己所研究的放出来刷刷存在感，让我这个rank9的人活不下去了。

◆1背景



罗嗦了这么多，进入正题。

首先反射攻击的基础是向有缺陷的目标发送精心构造的伪造源ip地址的udp包来实现。第二，需要主机和缺陷主机之间有大小不对等的信息交换。一般满足这两个条件就可以来实现反射攻击。

◆2理论



Snmp就不过多介绍了，大家可以百度。Snmp有3个版本，这里攻击最理想的是2c版本，而恰恰2c版本也是应用最广的。

在bt5下可以用snmpwalk或snmpget命令来和snmp主机进行交换数据。

Snmpwalk –c public –v2c IP oid

这里oid是获取snmp具体信息内容的一个标识，snmp里面存的信息是一个树状的信息结构。

图片：2014052716250940920.jpg

其实snmpwalk是获取一条oid信息，但是这个oid里面附带了下一个树节点的oid号，然后snmp会通过 snmpget继续访问下一个oid号（在getnext字段里面），来执行一个类似于循环的行为，但是snmpget的协议大家也看到了，只能获取到一条信息，79的信息长度，只能获得279的反馈，这样实现攻击的放大倍数是不给力的。

关键点来了，根据rfc1441-rfc1452文档说明，snmp第二版里面引入了getbulk来取代反复getnext，用来更好的在单个请求里面获得大量的管理数据。相对应的bt5下还有个snmpbulkget命令

snmpbulkget -v2c -Cn0 -Cr70 -c public IP oid

对应就是获取当前oid后面的70个团体字，这样如果你用snmpwalk跑一个1.3.6的团体字会看到很多信息，而你用bulkget这个一次就可以收到一个包里面包含70条信息的数据包，如图。

图片：2014052716250940920.jpg

这里看到数据包的length大家就会明白了，就是利用这种方式，来获得反射攻击的效果。

这里大家会有个疑问。一个snmp里面会包含n多的信息（上千条肯定有了）为什么这里只用70条，用更多的会返回更多的信息，获得更大的倍数。当然我也想，这么做，可是snmp这协议不像ntp协议直接给你把数据分包返回，而是通过一个包里的不同字段返回多个信息的，所以这里面就会受到网络链路上的mtu这个值的影响，1500这个硬伤是不能越过去的。理论上已经实现了信息不对等的交互了，那么下面就是伪造源ip发udp包的环节了。

此处我用的是sendip这个工具，安装很简单http://www.earth.li/projectpurple/progs/sendip.html

下载源码之后直接在linux下编译安装，这其中可能会遇到编译问题，请参考这里http://blog.csdn.net/figo1986/article/details/7336131

下面看下我用的命令

sendip -v -p ipv4 -is src_IP -id dst_IP -p udp -us 8000 -ud 161 dst_IP -d0x123456789

这里是使用ipv4的协议发送udp包，src_IP 源ip， dst_ip 目的ip，-us udp源端口,-ud udp目的端口，这里snmp默认端口是161，源端口自己随便填，最后部分是数据部分，其实可以直接输入明文的，但是snmp的pdu编码是非常蛋疼的，所以我使用了-d 16进制的形式。

下面是效果，这个包就发到本地吧，这里的源地址就是ddos的反射攻击的被攻击者的地址。

图片：2014052716250940920.jpg

这里看到了效果，为下一步工具化进行了铺垫

最后这个图是虚拟机环境搭的，实现反射攻击的整体图

图片：2014052716250940920.jpg

◆3工具化



首先要解决snmp数据包pdu部分的蛋疼的编码部分，snmp的数据部分是符合基本编码规则（ber）的这里有三篇文章，大家可以完全读懂ber编码和snmp的关系。

http://blog.csdn.net/shanzhizi/article/details/11574849

http://yuanmuqiuyu2000.blog.sohu.com/72641116.html

http://blog.chinaunix.net/uid-23069658-id-3251045.html

对于这个蛋疼的编码，我写了个java程序来生成pdu，里面有注释，大家很好理解的。


#!java
import java.io.UnsupportedEncodingException;
public class SnmpPDUber { public static String sumlen(String s){ int c=0; String r=""; String r2=""; s=qukongge(s); s=s.replaceAll(" ","+"); r=s.replaceAll("+",""); //System.out.println(s); c=r.length()/2; r2=Integer.toHexString(c); //十进制转换成16进制返回 return subStr(r2); } public static String randomtohex(int i) //产生 i 组 16进制 随机数 { String s=""; int k; for(int j=0;j