标签: ProfiShark

随着网络安全威胁的不断增加，了解并预防可能的攻击变得至关重要。 Blast-RADIUS 是一种严重影响 RADIUS 协议的安全漏洞，能够让攻击者绕过身份验证获取未经授权的访问权限。本篇文章将深入探讨该漏洞的工作原理、检测方法及应对措施，帮助您有效防范潜在的安全风险。 关于 Blast-RADIUS 的基础知识 Blast-RADIUS 是一种影响 RADIUS 协议（依据 RFC 2865）的安全漏洞。 它允许位于 RADIUS 客户端和服务器之间的中间人攻击者伪造一个有效的访问接受（access-accept）消息，来响应实际已经失败的认证请求。这种伪造使攻击者能够在无需猜测或强制破解密码和共享密钥的情况下，获得对网络设备和服务的访问权限。攻击者在请求中插入了一个恶意属性，导致合法服务器响应中的认证信息与攻击者伪造的消息发生碰撞。这使得攻击者能够将拒绝转变为接受，并添加任意的协议属性。然而，攻击者并不会获取任何用户凭据。该漏洞已在 CVE-2024-3596 中描述。 具体来说，该攻击是通过计算碰撞来攻击响应认证器的 MD5 签名。该攻击代表了一个协议漏洞，因此影响所有不使用 EAP 认证方法并通过 UDP 未加密工作的 RADIUS 实现。特别是，密码认证协议（PAP）和质询握手认证协议（CHAP）方法受到影响。 图1 对使用 PAP 方法进行 RADIUS 验证的 Blast-RADIUS 攻击 如果无法直接使用 TLS 或 DTLS 进行传输加密，可以使用 RFC 2869 中描述的可选 RADIUS 属性 "Message-Authenticator" 作为替代方法。 该方法为整个 RADIUS 数据包计算一个 HMAC-MD5 校验和。未通过此完整性检查的数据包必须被静默丢弃。根据当前的状态，没有共享密钥的情况下，HMAC-MD5 校验和无法被伪造。 如果在所有数据包中都要求使用有效的消息认证属性，这种攻击将变得不可能。然而，这个属性仅在 EAP 认证方法中是强制性的，而在 PAP 和 CHAP 中并不是。即使在 RFC 5080 中也只是定义了一个 "SHOULD"（建议使用）。 如何检查漏洞？ 要检查您的实现是否存在漏洞，可以捕获 RADIUS 服务器和 RADIUS 客户端之间的通信数据包，并根据受影响的协议特性进行筛选。我们可以使用 ProfiShark 或 IOTA 捕获数据包，基于 RADIUS 协议对 IOTA 进行预筛选，并使用 Wireshark 进行分析。需要捕获 RADIUS 客户端与服务器之间的数据包，例如，在图2所示的内联模式下进行捕获。 图2 在 RADIUS 客户端（交换机）和 RADIUS 服务器之间定位 IOTA 或 ProfiShark 使用 ProfiShark 进行捕获 在 ProfiShark Manager 中，我们需要在 "Network Ports" 选项卡中将 ProfiShark 设置为内联模式（即取消勾选 "Span Mode" 复选框，如图 3 所示），然后将其内联集成到我们的网络中（如图 2 所示）。 图3 在 ProfiShark Manager 中禁用 SPAN 模式，将 ProfiShark 内联集成到 RADIUS 客户端和 RADIUS 服务器之间 接下来，在 "Capture" 选项卡中，根据需要设置捕获目录，并通过点击 "Start Capture" 按钮开始捕获数据，直到我们获取到足够的数据为止。 图4 在 ProfiShark Manager 中设置捕获目录并开始捕获 使用 IOTA 进行捕获 Interface Configuration" 页面上，将 IOTA 的捕获接口设置为内联模式。 图5 将端口控制设置为内联模式 Capture Control" 页面上点击 "Start Capture" 按钮开始捕获数据。 图6 通过 "Capture Control" 页面上的 "Start Capture" 按钮开始捕获 现在，我们可以通过应用程序或协议栈过滤器对 RADIUS 协议进行过滤。最简单的方法是过滤 "APPLICATION" 属性，并将其值设置为 "RADIUS"（如图 7 所示），这样只会获取 RADIUS 数据包。另一种选择是通过 "PROTOCOL_STACK" 进行过滤，设置值为 "Ethernet | IPv4 | UDP | RADIUS"。 图7 过滤 RADIUS 数据包 在正确过滤协议后，我们可以滚动至概览仪表板的底部，直到看到流列表。接下来，我们需要选择要进一步分析的流，并点击左侧的下载按钮。 图8 可下载的流列表 分析易受攻击的执行方式 例如，我们可以使用 Wireshark 检查 RADIUS 请求中是否包含易受攻击的属性。首先，我们需要打开位于之前在 ProfiShark Manager 中配置的目录或从 IOTA 下载的文件夹中的 PCAPNG 文件。接下来，我们需要一个显示过滤器来获取 RADIUS Access-Requests（代码 1）、Access-Accepts（代码 2）、Access-Rejects（代码 3）和 Access-Challenges（代码 11），但不包括使用 EAP 方法或带有 "Message-Authenticator" 属性值对的 RADIUS 消息，因为它们不受此漏洞影响。为此，我们可以使用显示过滤器 “(radius.code in {1,2,3,11}) and not (radius.Message_Authenticator or eap)”，如图 9 所示。这样，我们只会获取受此协议漏洞影响的 RADIUS 数据包，并且可以看到受影响产品的源 IP 地址。 图9 在 Wireshark 中使用显示过滤器筛选潜在易受攻击的 RADIUS 数据包的截图 作为使用 “Message-Authenticator” 属性值对来实现解决方案的数据包示例，我们可以参考图10，其中展示了该解决方案的实现。 图10 Wireshark 中带有消息认证器属性/值对的 RADIUS 访问请求截图。在此情况下，它也是一个不易受攻击的 EAP 认证 结论 IOTA 和 ProfiShark 可以帮助我们轻松高精度地收集 RADIUS 数据包的包级数据并进行分析。Wireshark 通过使用上述显示过滤器支持我们高效分析收集到的数据，快速筛选出易受攻击的 RADIUS 实现。 作为应对 Blast-RADIUS 攻击的替代方案，可以使用 “Message-Authenticator” 属性值对，或者在 RADIUS 客户端到 RADIUS 服务器的传输过程中，通过 RadSec 或 IPSec 使用 TLS 传输加密来保护 RADIUS 数据包。

来源：艾特保IT 虹科分享丨利用ProfiShark 构建便携式网络取证工具包 原文链接：https://mp.weixin.qq.com/s/T0cIPmoF85N0Cyu2xicP2A 欢迎关注虹科，为您提供最新资讯！ #网络安全 #便携式网络取证工具 #ProfiShark 网络安全领域日益重视便携式取证工具的灵活应用。本文介绍了如何构建一个以ProfiShark 1G为核心的便携式网络取证工具包，以提高网络取证的效率和实效性。 文章速览： l 为什么要使用便携式网络取证工具？ l 构建便携式网络取证套件 l 法证分析 l ProfiShark 1G作为便携式分路器的优点 一、为什么要使用便携式网络取证工具？ 1、企业自身需求 网络取证和网络安全团队需要具备拦截网络流量和实时捕获数据包的能力，以防止威胁和实时攻击。企业组织需要根据其网络的规模和架构建立网络拦截和流量捕获机制。例如，拥有分布式数据中心的大型网络的公司必须部署多个捕获点，并将数据包送至中央数据包分析设备（网络分析仪），该设备能够以10 Gbps甚至高达100 Gbps的速度接收和分析数据。 2、企业面临的困境 然而，并非所有公司都在分布式架构中拥有多个数据中心。大多数中小型企业的整个IT基础设施都托管在一个站点上。这些公司大多没有能力投资网络安全分析产品。那这些中小型企业该如何改善企业网络安全呢？ 答案是，便携式网络取证工具包。成本低得多，但仍能按需对网络的任何网段进行实时取证分析。 即使是大型多分支机构也不能否认它的实用性和好处。在网络攻击案例中，分支机构与总部断开连接，而本地IT团队希望对分支机构的内部网络进行取证分析。或者，如果由于内部连接问题，网络分析仪设备被隔离在数据中心内，该怎么办？在这种情况下，即使是大型企业，在很短得调查时间内，也会青睐便携式取证工具包。 二、构建便携式网络取证套件 接下来我们将介绍构建用于取证分析的便携式套件的三个基本工具。 1、一台笔记本电脑 首先需要一台笔记本电脑。 1）最低规格：4GB内存、容量至少500GB的快速存储设备(SSD)、1Gbps网卡、USB 3.0端口和3小时的备用电池。 2）我们强烈推荐使用基于SSD（固态硬盘）的存储设备，因为它们比硬盘快得多，这种速度有利于正确捕获。开始对网络进行取证分析之前，首先需要在笔记本电脑上捕获和存储数据包。如果能在安全危机期间尽快存储和解析数据包，固态硬盘存储将为您带来显著的时间优势。硬盘的最大磁盘写入速度一般为 100 MB/s，相比之下，固态硬盘的磁盘写入速度要快得多，可达500MB/s（某些固态硬盘甚至更高）。 3）这台笔记本电脑不应该是IT团队日常使用的机器，因为这意味着上面安装了大量应用程序，注册表会发生重大变化，内存负荷也会增加，从而导致性能降低。相反，这台笔记本电脑应该是专用于特殊用途的特定机器，如取证分析或现场故障排除。下一节将解释对USB 3.0端口的要求。 2、数据包分析器 接下来，需要一个数据包分析器（也称为数据包嗅探器），它是一种可以记录、解析和分析通过网络的流量的工具（软件或硬件）。当数据在网络上流动时，数据包分析器接收捕获的数据包并解码数据包的原始数据，显示数据包中各个字段的值（例如 TCP 标头、会话详细信息等）。你可以根据相应的 RFC 规范分析这些值，以推断数据包在网络点之间传输期间是否存在任何异常行为。 3、便携式网络分路器 为了进行网络取证，需要有一个特定的数据包捕获设备，可以拦截并捕获实时流量中的数据包。在端口镜像(SPAN)和网络TAP两种捕获数据包的方法中，后者更可靠、更准确。TAP能够捕获线路上的数据包，保证100%实时捕获实时流量中的数据包。TAP被广泛用于安全应用程序，因为它们是非侵入式的，并且在网络上无法检测到，并且没有物理或逻辑地址。因此，取证团队可以以隐形模式执行他们的活动。 在当今可用的各种类型的TAP中，便携式TAP能够灵活地在现场携带并在任何位置立即部署，因而迅速普及开来。如何选择便携式TAP呢？必要的两个条件的是：一是功能足够强大，足以承担全部流量；二是便携容易部署。 三、法证分析 这里给大家补充一些关于法证分析的知识，你可以从几个基本步骤开始，进行取证分析。 1、检查活动时间 事件计时（即事件之间的时间）对于识别网络中是否存在恶意活动至关重要。在短时间内（例如几百毫秒甚至几秒）发生的事件表明这些事件是由机器人或恶意软件生成的。例如，在几毫秒内从同一源IP接收到针对单个网站的数十个DNS请求，或者在几毫秒内从多个源IP接 收到针对单个网站的多个DNS请求，这些示例表明这些请求可能是由自动化生成的。由机器人或恶意软件启动的脚本。 2、检查DNS流量 由于DNS是所有发送到 Internet 的请求的主要处理程序，因此应检查DNS服务器的流量活动。如果网络中存在流氓系统或网络蠕虫，并且有可能与Internet建立出站连接，那么你可以在DNS服务器上检测到其恶意活动。如果在短时间内（例如几百毫秒）看到来自同一源IP的连接请求数量异常高，那么这可能是恶意活动，可以深入挖掘数据包标头以进一步调查。如果你的DNS服务器受到大量请求的轰炸，它很可能受到DoS攻击。 3、检查中间人攻击 这是组织网络中最常见的攻击之一，中间人(MitM)攻击是攻击者试图通过充当网络中可信系统之一来渗透到网络中的攻击。使用过滤器选项，过滤所有数据包以仅查看ARP数据包。如果您看到大量ARP流量（广播和回复），那么这很可疑。因为在运行的网络中，所有受信任的系统通常在其缓存中都有MAC到IP的映射，所以您不应该看到一长串ARP消息。深入研究数据包标头中的源地址和目标地址，并进一步调查以查明是否正在发生MitM攻击。 4、检查DOS (DDOS)攻击 这也是最常见的攻击之一，可以在网络内部或从网络外部进行。DoS（拒绝服务）攻击的目的是消耗机器或网络的资源，最终导致实际用户无法使用。要快速识别是否发生DoS攻击，请在Wireshark中过滤查看TCP数据包。使用Wireshark上的选项查看数据包序列图，该图通过源系统和目标系统之间的箭头说明TCP连接流。如果您看到大量TCP/SYN数据包从单个源IP轰炸到目标服务器IP，并且服务器IP没有回复，或者只有SYN-ACK消息但没有来自源的ACK回复，那么您最有可能正在观看实际的DoS攻击。如果您看到一长串TCP/SYN请求从多个源IP轰炸到目标服务器P，则这是DDoS（分布式拒绝服务）攻击，其中多个流氓系统攻击目标服务器，并且更具致命性比DoS攻击。 四、ProfiShark 1G作为便携式分路器的优点 1、体积小巧，真正便携，不依赖于外部电源，可以再任何位置使用。 2、2个千兆位网络端口，可以完美地结合两个流量流，通过单个监控端口进行传输。 3、利用USB 3.0的强大功能，数据传输速度高达5 Gbps。通过USB 3.0链路轻松传输2 Gbps的聚合流量流。这意味着缓冲存储器不需要丢弃任何数据包，也不需要将数据包存储足够长的时间来影响它们的时序。因为它可以轻松连接到笔记本电脑的USB端口，即插即用的最佳部分。 4、ProfiShark 1G配备了自己的基于GUI的配置软件ProfiShark Manager，它与任何网络分析仪（WireShark、Omnipeek等）并行工作，并且与Windows和Linux平台兼容。 5、ProfiShark Manager允许直接在笔记本电脑上一键捕获流量，而无需特别需要网络分析仪来捕获流量。当您需要捕获远程网段上的流量并希望通过导出PCAP文件在笔记本电脑以外的另一台计算机上分析流量时，这尤其有用。GUI还有一个计数器部分，显示两个网络端口A和B的内部计数器。这显示了有效/无效数据包的数量、CRC错误、冲突和不同的数据包大小。这是一种无需打开网络分析仪即可查看每个端口接收的流量质量的快速方法。