跳到主要內容

新浪安全中心:Redis 威脅流量監聽實踐

網站內容來源http://server.it168.com/

新浪安全中心:Redis 威脅流量監聽實踐

2018-06-26 15:49    來源:新郎安全中心  作者: 糖果LUA 編輯:
0購買

  概要


  我們在平時的安全運維中,Redis服務對我們來說是一種比較常見的服務,相應的Redis漏洞也比較棘手,網上有很多關於Reids漏洞利用和再現的方法,如果想延伸一下這個課題,我們可以考慮如何主動的防護redis的漏洞,那怕只是監聽redis服務中,可能存在的威脅行為,先解決一部分問題?這個就是本文要給出的一個思路和解決方案。關鍵是,現在有些系統是不提供這種服務的,所以我們嘗試定製開發。


  背景


  我們在再現redis的漏洞時,用tcpdump等工具,抓取了滲透的流量,把威脅流量保存寫到pcap包中,經過分析我們發現redis的協議數據是明文的,經過截取包,我們可以看到其中的內容,所有的這些set、get、dir、config命令一般的流量中我們都可以看到,在redis密碼沒有設置的情況下。我們發現一般的防火牆也並不抓取redis的流量並解析,甚至是報警。基於我們之前的實踐,既然tcpdump能抓到,我們用pcap基礎開發包也可以抓到。


  防護策略


  既然我們可以抓取流量,就可以監聽redis的流量中的內容,先期的預想是,只要我們分析出redis攻擊行為幾個動作序列,採用行為模式匹配的方式,只要有人觸發了比較危險的幾個動作指令,我們就把這次Redis操作列為一個可疑的行為,並對這種形為的IP進行監聽日誌留存,並把威脅攻擊IP相關的屬性信息,和其它設備中的威脅數據做碰撞,這一切基礎前提就是:我們可以抓取訪問者的流量(靠工具),並識別他的行為動作(靠策略)。下面我們就用工具監聽redis的set、get、config命令為例子,通過這個來展示整個流程的監聽過程。


  監聽部署



  為了測試,我們是把某個機房的某個網段的流量,鏡像集中到另一台服務器上, 我們集中監聽打到這台服務上,其它的Redis的服務的流量匯總,我們通過分析這些Redis服務的操作內容,進行流量監控和行為識別,然後將監聽的威脅行為數據保存到威脅行為庫里。


  工具實施


  這個監聽系統工作模式就這樣,接下來就是我們要用工具實施我們方案,我們選用的工具還是傳統的C語言和Lua的腳本方式,用C讀取監聽6379端口是的流量數據,然後將解析出來的數據推給Lua進行模式匹配。



  一般的攻擊行為都有一個大概的請求序列,Redis服務本身就是系統內存的一個服務器監聽程序,一般會Bind本機的IP,監聽默認的6379端口,如果Redis的對外提供服務,需要改變redis.conf的配置,打開配置文件對應把bind xxx.xxx.xxx.xxx的IP改成你本地的網卡IP,這樣在外部使用Redis訪問,才不會出現端口訪問被拒絕的情況。



  改變IP后,我們要解決的是密碼設置問題,如果有一天某台Redis的密碼"消失了"。 這時這台機器可能會被威脅利用,這時就滿足了我們要設定場景,重現這種情況就要把redis.conf中的密碼去掉。




  這種啟動方式,是不能滲透成功的,我們要用下面的方式進行redis的服務啟動,進入root然後輸入:



  如果我們想簡單的用Tcpdump截取Redis數據包,我們可以用下面的命令:



  我們可以一邊滲透Redis,一邊記錄這次滲透過程中,攻擊指令的序列數據。 下面就是用我們要用的工具,用於監聽和解析Redis的流量數據的數據:https://github.com/shengnoah/riff


  我們下載這個pcap監聽的工具包,我們默認的工作平台是: make linux


  因為,這個工具在linux上使用,用C實現,嵌入了Lua腳本插件化的處理,來獲取監聽接口的數據,本文中提的是對6379接口的監聽。我們在完成編譯動作后,需要改一個config.lua的配置。


  打開config.lua, 修改return的返回值,告訴C主進程,我們讓Pcap監聽本機的6389端口,以下。



  需要注意的是watch.c的代碼,以下



  getPacket()這個函數,主體功還是把數據推給lua,基本的邏輯就是這麼簡單,關鍵就是這個有個入口buffer.lua,我們記着這個時序的入口就行,便於以後面的邏輯的理解清楚。 從buffer.lua這個執行序開始后,邏輯都交給lua來處理了,具體lua怎麼處理,要自己根據自己定製的規則情況寫處理邏輯。



  Lua代碼一直運行在pcap的循環內,採用的是插件機制,我們加一個處理,就相當於要加一個插件。插件模板的代碼都是類似的,我們看一個其它的就看懂了,其它相關腳手架的代碼不介紹了:




  用lua寫代碼,是為了降低策略實現部分的代碼複雜度,最關鍵的函數filter_plugin.action(),這裏的stream.data就是吐到6369上的所有數據,包括Redis相關的執行的get、set、config等請求都會在這個變量里中的所體現。我們先打開redis-cli的客戶端,發送一個set指令看看,看我們的程序是否可能監聽到。



  我們啟動這個基於pcap庫的監聽程序,畫紅色圓的地方就是,pcap主循環推給lua腳本的數據。


  "set a www.candylab.net"的整個指令的數據內容都在。



  總結


  到此我們完成了整個監控程序的執行周期,通過這個工具,所有經過6379端口的數據我們都可以取得到,至於客官們想針對什麼樣的的reids攻擊,寫出對應的策略,編寫lua插件邏輯就可以了。本身lua的代碼實現就不複雜,提供的數據結構操作類似字符串序列這種數據也很方便,代碼可以到github上直接下載,如何變動,具體就看各自的需求和各自的策略設計了。簡單說,剩下的工作就是用lua寫攻擊模式的甄別。


網站內容來源http://safe.it168.com/

【精選推薦文章】



智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選



想知道網站建置網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計後台網頁設計



帶您來看台北網站建置套版網頁設計台北網站改版設計台北RWD響應式網頁設計,各種案例分享



廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

https://www.3chy3.com/?p=2113



Orignal From: 新浪安全中心:Redis 威脅流量監聽實踐

留言

這個網誌中的熱門文章

有了四步解題法模板,再也不害怕動態規劃!(看不懂算我輸)

導言 動態規劃問題一直是算法面試當中的重點和難點,並且動態規劃這種通過空間換取時間的算法思想在實際的工作中也會被頻繁用到,這篇文章的目的主要是解釋清楚 什麼是動態規劃 ,還有就是面對一道動態規劃問題,一般的 思考步驟 以及其中的注意事項等等,最後通過幾道題目將理論和實踐結合。 什麼是動態規劃 如果你還沒有聽說過動態規劃,或者僅僅只有耳聞,或許你可以看看 Quora 上面的這個 回答 。 How to explain dynamic 用一句話解釋動態規劃就是 " 記住你之前做過的事 ",如果更準確些,其實是 " 記住你之前得到的答案 "。 我舉個大家工作中經常遇到的例子。 在軟件開發中,大家經常會遇到一些系統配置的問題,配置不對,系統就會報錯,這個時候一般都會去 Google 或者是查閱相關的文檔,花了一定的時間將配置修改好。 過了一段時間,去到另一個系統,遇到類似的問題,這個時候已經記不清之前修改過的配置文件長什麼樣,這個時候有兩種方案,一種方案還是去 Google 或者查閱文檔,另一種方案是借鑒之前修改過的配置,第一種做法其實是萬金油,因為你遇到的任何問題其實都可以去 Google,去查閱相關文件找答案,但是這會花費一定的時間,相比之下,第二種方案肯定會更加地節約時間,但是這個方案是有條件的,條件如下: 之前的問題和當前的問題有着關聯性,換句話說,之前問題得到的答案可以幫助解決當前問題 需要記錄之前問題的答案 當然在這個例子中,可以看到的是,上面這兩個條件均滿足,大可去到之前配置過的文件中,將配置拷貝過來,然後做些細微的調整即可解決當前問題,節約了大量的時間。 不知道你是否從這些描述中發現,對於一個動態規劃問題,我們只需要從兩個方面考慮,那就是 找出問題之間的聯繫 ,以及 記錄答案 ,這裏的難點其實是找出問題之間的聯繫,記錄答案只是順帶的事情,利用一些簡單的數據結構就可以做到。 概念 上面的解釋如果大家可以理解的話,接    動態規劃 算法是通過拆分問題,定義問題狀態和狀態之間的關係,使得問題能夠以遞推(或者說分治)的方式去解決。它的幾個重要概念如下所述。    階段: 對於一個完整的問題過程,適當的切分為若干個相互聯繫的子問題,每次在求解一個子問題...

我的USB為什麼總是無法識別,到底是為甚麼呢?這真的讓我好困擾

其實判斷軟件硬件問題很簡單,在別的機器或換個系統試試就可以了.有些小的問題不妨先用專門軟件格式化下.還有提醒你WINDOWS下格式化時要選擇FAT,不要選FAT32。 倘若插入後,在右下角彈出電腦正在嘗試連接此USB設備的一些信息,有時會彈出對話框讓用戶選擇,有些用戶還沒看清就點了否,或者因為電腦一些初始的設置問題,禁止了USB的一些功能。解決辦法:右鍵點"我的電腦",選"屬性"--"硬件"--"驅動器簽名",在此選擇"忽略",點"確定"。然後重新插上usb,還是不連的話,再右鍵點"我的電腦"--"屬性"--"硬件"--"設備管理器",從中找到"通用串行總線控制器",右鍵,然後"掃描檢測硬件改動"。如果都不行那就是USB識別程序或U盤的問題從控制面板進入添加或刪除硬件將所有USB設備都刪除,重新安裝需要使用的USB設備驅動程序,重新啟動電腦 USB CONNECTOR   USB CONNECTOR  USB CONNECTOR Orignal From: 我的USB為什麼總是無法識別,到底是為甚麼呢?這真的讓我好困擾

為何 Amazon 併購 Oracle 的可能性很大 ?

  2019 年 9 月份 Trefis 團隊建議《Trefis 建議:谷歌可以斥資 90 億美元收購 Nutanix》,最近又建議亞馬遜收購 Oracle。此文是其和《福布斯》雜誌的 Great Speculations 合作撰寫。   根據 Trefis 分析,亞馬遜併購 Oracle 有望帶來巨大的價值。雖然這個想法聽起來很雄心勃勃,但是為了使自己處於雲技術食物鏈的頂端,Oracle 可能是亞馬遜有史以來最好的收購對象。我們詳細說明為什麼亞馬遜可能會收購 Oracle,還在交互式儀錶板中估計了潛在交易的價值。我們的估計基於 Oracle 的獨立價值以及它作為與亞馬遜合併后的實體中一部分而具有的價值。    為何我們認為亞馬遜會收購 Oracle?      兩家公司的概況: 亞馬遜可能是在 2000 年代中期第一家打造公共雲生態系統的供應商,但 Oracle 從事數據庫業務已有近 40 年的歷史。 AWS 的想法是可以將基礎設施出租給希望存儲和計算資源方面減少費用的客戶。根據 Trefis 的估計,AWS 的企業價值高達 4930 億美元,EV/EBITDA 是 27 倍(2020 年 EBITDA 為 180 億美元)。 Oracle 因第一代雲產品失敗而很晚進入雲市場,該公司隨後在開發方面投入大量資金,旨在向市場推出第二代雲。根據 Trefis 的估計,Oracle 的企業價值應為 2510 億美元,EV/EBITDA 是 12.7 倍(2020 年 EBITDA 為 200 億美元)。 AWS 的方法是創建產品,然後讓用戶採用它。Oracle 已經長期擁有這樣的用戶群,卻無法滿足 AWS 能夠滿足的要求。結果是,儘管 Oracle 運行着全球近 50% 的數據庫,但如今 AWS 在公共雲市場的份額超過 40%,而 Oracle 甚至沒有躋身前五名。   理由1:客戶將獲得第二代架構的安全性和 AWS 的客戶服務,因而導致差異化產品與競爭。 由於市場上面臨微軟 Azure(已成為微軟 B2B 和 B2C 產品的底層結構)、谷歌雲(迎來新的掌門人)和 IBM 雲產品(收購 Red Hat 之後)的競爭,AWS 的先行優勢如今可能在減弱。 對老牌雲領導企業構成不利的另一個因素是,原本可以遷移到...