サミー・カンカー (USB電話充電器のキーロガーなど、さまざまな高度な攻撃デバイスを作成することで知られる有名なセキュリティ研究者) 「NATスリップストリーム」と呼ばれる新しい攻撃手法を導入しました。
攻撃 ブラウザでページを開くときに、攻撃者のサーバーからの接続を確立することができます アドレストランスレータの背後にあるユーザーのシステムのUDPまたはTCPポートに接続します。 AttackToolkitはGitHubで公開されています。
方法 ALG接続追跡メカニズムをだますことに依存しています (アプリケーションレベルゲートウェイ)アドレストランスレータまたはファイアウォール。SIPなどの複数のネットワークポート(323つはデータ用、もうXNUMXつは制御用)を使用するプロトコルのNAT転送を整理するために使用されます。 HXNUMX、IRCDCCおよびFTP。
攻撃は、ネットワークに接続するユーザーに適用されます イントラネット範囲(192.168.xx、10.xxx)の内部アドレスを使用し、任意のデータを任意のポート(HTTPヘッダーなし)に送信できるようにします。
攻撃を実行するには、 被害者が攻撃者が作成したJavaScriptコードを実行するだけで十分ですたとえば、攻撃者のWebサイトでページを開いたり、正当なWebサイトで悪意のある広告を表示したりします。
最初の段階では、 攻撃者はユーザーの内部アドレスに関する情報を取得し、 これは、WebRTCによって、またはWebRTCが無効になっている場合は、非表示の画像を要求するときの応答時間測定を伴うブルートフォース攻撃によって決定できます(既存のホストの場合、画像を要求する試みは、戻る前のタイムアウトのため、存在しないホストよりも高速ですTCP RST応答)。
第XNUMX段階では、JavaScriptコード 被害者のブラウザで実行 大きなHTTPPOSTリクエストを生成します (パケットに収まらない)攻撃者のサーバーに対して、非標準のネットワークポート番号を使用して、被害者のTCPスタックでTCPフラグメンテーションパラメータとMTUサイズの調整を開始します。
に応じて、 攻撃者のサーバーはMSSオプションを使用してTCPパケットを返します (最大セグメントサイズ)。受信パケットの最大サイズを決定します。 UDPの場合、操作は似ていますが、IPレベルの断片化をトリガーするために大きなWebRTCTURN要求を送信することに依存しています。
«NATSlipstreamingは、タイムアタックまたはWebRTCによる内部IP抽出、自動リモートIPおよびMTU、TCPの断片化検出を連鎖させることにより、NAT、ルーター、およびファイアウォールに組み込まれたアプリケーションレベルゲートウェイ(ALG)接続追跡メカニズムと組み合わせてユーザーのブラウザーを活用します。パケットサイズのマッサージ、TURN認証の誤用、パケット制限の正確な制御、ルーターの乱用によるプロトコルの混乱」と、Kamkar氏は分析で述べています。
主なアイデアは それは、断片化パラメータを知っていると、 大きなHTTPリクエストを送信し、そのキューはXNUMX番目のパケットに配置されます。 同時に、XNUMX番目のパケットに入るキューは、HTTPヘッダーを含まないように選択され、NATトラバーサルがサポートされている別のプロトコルに完全に対応するデータでカットされます。
第5060段階では、上記の操作を使用して、JavaScriptコードが特別に選択されたHTTPリクエスト(またはUDPの場合はTURN)を生成し、攻撃者のサーバーのTCPポートXNUMXに送信します。これは、断片化後、XNUMXつのパケットに分割されます。 HTTPヘッダーとデータの一部を含むパケット、および被害者の内部IPを含む有効なSIPパケット。
接続を追跡するためのシステム ネットワークスタック上 このパケットはSIPセッションの開始と見なされます また、このポートがデータ送信に使用されていると仮定すると、攻撃者が選択した任意のポートのパケット転送が可能になります。
使用しているブラウザに関係なく攻撃を実行できます。 この問題を解決するために、Mozilla開発者は、SIPプロトコルに関連付けられたネットワークポート5060および5061にHTTP要求を送信する機能をブロックすることを提案しました。
Chromium、Blink、およびWebKitエンジンの開発者も、同様の保護対策を実装することを計画しています。