Samy kamkar (นักวิจัยด้านความปลอดภัยที่มีชื่อเสียงเป็นที่รู้จักในการสร้างอุปกรณ์โจมตีที่ซับซ้อนต่างๆเช่นคีย์ล็อกเกอร์บนที่ชาร์จโทรศัพท์ USB) ได้แนะนำเทคนิคการโจมตีแบบใหม่ที่เรียกว่า "NAT slipstreaming"
การโจมตี อนุญาตเมื่อเปิดเพจในเบราว์เซอร์เพื่อสร้างการเชื่อมต่อจากเซิร์ฟเวอร์ของผู้โจมตี ไปยังพอร์ต UDP หรือ TCP บนระบบของผู้ใช้ที่อยู่ด้านหลังตัวแปลที่อยู่ Attack Toolkit เผยแพร่บน GitHub
วิธีการ อาศัยการหลอกกลไกการติดตามการเชื่อมต่อ ALG (Application Level Gateways) ในตัวแปลที่อยู่หรือไฟร์วอลล์ซึ่งใช้ในการจัดระเบียบการส่งต่อ NAT ของโปรโตคอลที่ใช้พอร์ตเครือข่ายหลายพอร์ต (พอร์ตหนึ่งสำหรับข้อมูลและอีกพอร์ตหนึ่งสำหรับการควบคุม) เช่น SIP H323, IRC DCC และ FTP
การโจมตีใช้ได้กับผู้ใช้ที่เชื่อมต่อกับเครือข่าย โดยใช้ที่อยู่ภายในจากช่วงอินทราเน็ต (192.168.xx, 10.xxx) และอนุญาตให้ส่งข้อมูลไปยังพอร์ตใดก็ได้ (ไม่มีส่วนหัว HTTP)
เพื่อทำการโจมตี มันเพียงพอสำหรับเหยื่อที่จะรันโค้ด JavaScript ที่ผู้โจมตีเตรียมไว้ตัวอย่างเช่นโดยการเปิดหน้าบนเว็บไซต์ของผู้โจมตีหรือดูโฆษณาที่เป็นอันตรายบนเว็บไซต์ที่ถูกต้องตามกฎหมาย
ในขั้นแรก ผู้โจมตีได้รับข้อมูลเกี่ยวกับที่อยู่ภายในของผู้ใช้ สิ่งนี้สามารถกำหนดได้โดย WebRTC หรือถ้า WebRTC ถูกปิดใช้งานโดยการโจมตีแบบเดรัจฉานด้วยการวัดเวลาตอบสนองเมื่อขอภาพที่ซ่อนอยู่ (สำหรับโฮสต์ที่มีอยู่การพยายามขอรูปภาพจะเร็วกว่าสำหรับสิ่งที่ไม่มีอยู่จริงเนื่องจาก หมดเวลาก่อนส่งคืนการตอบกลับ TCP RST)
ในขั้นตอนที่สองโค้ด JavaScript ดำเนินการในเบราว์เซอร์ของเหยื่อ สร้างคำขอ HTTP POST ขนาดใหญ่ (ซึ่งไม่พอดีกับแพ็กเก็ต) ไปยังเซิร์ฟเวอร์ของผู้โจมตีโดยใช้หมายเลขพอร์ตเครือข่ายที่ไม่ได้มาตรฐานเพื่อเริ่มการปรับแต่งพารามิเตอร์การกระจายตัวของ TCP และขนาด MTU บนสแต็ก TCP ของเหยื่อ
ในการตอบสนอง เซิร์ฟเวอร์ของผู้โจมตีส่งคืนแพ็กเก็ต TCP พร้อมตัวเลือก MSS (ขนาดเซ็กเมนต์สูงสุด) ซึ่งกำหนดขนาดสูงสุดของแพ็กเก็ตที่ได้รับ ในกรณีของ UDP การจัดการจะคล้ายกัน แต่อาศัยการส่งคำขอ WebRTC TURN ขนาดใหญ่เพื่อทริกเกอร์การแยกส่วนระดับ IP
« NAT Slipstreaming ใช้ประโยชน์จากเบราว์เซอร์ของผู้ใช้ร่วมกับกลไกการติดตามการเชื่อมต่อ Application Level Gateway (ALG) ที่สร้างไว้ใน NAT เราเตอร์และไฟร์วอลล์โดยการเชื่อมโยงการสกัด IP ภายในผ่านการโจมตีตามเวลาหรือ WebRTC การค้นพบการแยกส่วน ของ IP และ MTU ระยะไกลอัตโนมัติ, การนวดขนาดแพ็กเก็ต TCP, การตรวจสอบความถูกต้องของ TURN ในทางที่ผิด, การควบคุมขีด จำกัด ของแพ็กเก็ตและความสับสนของโปรโตคอลจากการใช้เบราว์เซอร์อย่างแม่นยำ "Kamkar กล่าวในการวิเคราะห์
แนวคิดหลักคือ ที่รู้พารามิเตอร์การกระจายตัวสามารถ ส่งคำขอ HTTP ขนาดใหญ่ซึ่งคิวจะอยู่ในแพ็กเก็ตที่สอง. ในเวลาเดียวกันคิวที่เข้าสู่แพ็กเก็ตที่สองจะถูกเลือกเพื่อให้ไม่มีส่วนหัว HTTP และถูกตัดข้อมูลที่สอดคล้องกับโปรโตคอลอื่นที่รองรับการส่งผ่าน NAT อย่างสมบูรณ์
ในขั้นตอนที่สามโดยใช้การจัดการข้างต้นโค้ด JavaScript จะสร้างและส่งคำขอ HTTP ที่เลือกเป็นพิเศษ (หรือ TURN สำหรับ UDP) ไปยังพอร์ต TCP 5060 ของเซิร์ฟเวอร์ของผู้โจมตีซึ่งหลังจากการแยกส่วนแล้วจะถูกแบ่งออกเป็นสองแพ็กเก็ต: a แพ็กเก็ตที่มีส่วนหัว HTTP และเป็นส่วนหนึ่งของข้อมูลและแพ็กเก็ต SIP ที่ถูกต้องพร้อม IP ภายในของเหยื่อ
ระบบติดตามการเชื่อมต่อ บนสแต็กเครือข่าย จะถือว่าแพ็กเก็ตนี้เป็นจุดเริ่มต้นของเซสชัน SIP และจะอนุญาตให้ส่งต่อแพ็กเก็ตสำหรับพอร์ตใด ๆ ที่ผู้โจมตีเลือกโดยสมมติว่าพอร์ตนี้ใช้สำหรับการส่งข้อมูล
การโจมตีสามารถทำได้โดยไม่คำนึงถึงเบราว์เซอร์ที่ใช้. เพื่อแก้ปัญหานักพัฒนา Mozilla แนะนำให้บล็อกความสามารถในการส่งคำขอ HTTP ไปยังพอร์ตเครือข่าย 5060 และ 5061 ที่เชื่อมโยงกับโปรโตคอล SIP
นักพัฒนาของเครื่องมือ Chromium, Blink และ WebKit ยังตั้งใจที่จะใช้มาตรการป้องกันที่คล้ายกัน
Fuente: https://samy.pl