论文笔记| On Using Application-Layer Middlebox Protocols for Peeking Behind NAT Gateways

2020-03-15 proxy web net

  • Teemu Rytilahti et al.
  • Ruhr University Bochum
  • NDSS 2020

背景

网络扫描是一种互联网上的普遍攻击手段。由于 NAT 协议的使用,使得很多设备无法被扫描到。但是许多设备需要使用端对端协议,因此使用了各种NAT穿透手段。这些代理手段安全性不足可能导致攻击的发生。

Contribution

  • 建立不同的方法扫描和分析网络请求。
  • 分析持久性NAT传统协议及其不足:UPnP IGD and NAT-PMP/PCP
  • 分许临时性NAT穿透协议及其不足:Socks以及HTTP代理

NAT 穿透协议分析

UPNP

  1. 首先通过互联网发送构造的SSDP消息找到暴露在公网中的接入点。
  2. 通过接入点获取端口映射信息
  3. 也可以通过接口建立新的端口转发关系来绕过 NAT

目前发生已有攻击的迹象,并构造蜜罐来明确攻击途径。

NAT-PMP AND PCP

NAT-PMP 提供了查询网关外部地址、建立新映射的功能。PCP是其继任者,提供了IPv6和外部映射的功能。但是这个协议不提供直接查询已有端口映射的接口。

尽管发现了部分服务被暴露在了公网,但是大部分都提示无认证、并无法进行下一步攻击。

Proxy 分析

文章的第二个工作点非常明朗,就是HTTP/SOCKS代理有没有配置漏洞,导致可以代理到本地的服务。发现 3% 的开放代理中有 23% 存在此漏洞。