TFTP蜜罐捕获数据结果出炉
原标题:TFTP Honey Pot Results
速览
一份关于TFTP蜜罐的分析报告发布了。该报告详细记录了蜜罐捕获到的恶意流量和攻击行为。这有助于了解针对TFTP协议的安全威胁。
AI 深度解读
背景
TFTP(Trivial File Transfer Protocol)是一种简易的文件传输协议,通常用于网络设备(如路由器、交换机)的固件更新或配置备份。由于它缺乏认证和加密机制,常成为攻击者的目标。一位安全爱好者(原文作者)在个人VPS和家庭服务器上部署了TFTP蜜罐,持续运行超过一个月,旨在捕捉网络上的异常流量和潜在攻击行为。蜜罐运行在UDP 69端口,记录了来自全球的TFTP请求。本文将基于作者在Hacker News上发布的原始结果,解读其发现。
核心内容
作者在每月5美元的VPS(Always-on)以及Dell R530家庭服务器(间歇运行)上运行TFTP蜜罐。两台服务器每天接收20到50个TFTP数据包,流量高度重叠。作者起初对每天收到的UDP 69端口流量非常兴奋,但随后发现大部分流量来自七家信息安全公司的定期扫描。
信息安全公司扫描行为详解
-
Shadow Servers
- 发送5个ERROR数据包,间隔约11秒一个。
- 错误类型包括:Bad Filename、Access violation、Illegal TID、Illegal TFTP operation等。
- 另外还发送RRQ(读请求)获取
a.pdf(octet模式),节奏与ERROR包不同。
-
Censys
- 发送RRQ请求文件名
/a,netascii模式。 - 也发送RRQ请求文件名
-。
- 发送RRQ请求文件名
-
Driftnet
- 发送RRQ,文件名为8个随机字母(模式
[a-zA-Z]{8}),netascii模式。 - 有时通过IPv6发送。
- 发送RRQ,文件名为8个随机字母(模式
-
Shodan
- 发送16字节的非标准UDP负载(不符合TFTP格式)。
- 示例十六进制:
00000417271019800000000000034925。 - 约一半情况从UDP端口18020到达。
- 每次扫描在2分钟内爆发4-6个包,来自两个或更多IP地址。
- 有时使用自己的IP,有时使用Digital Ocean的IP。
-
Secretive Palo Alto Networks
- 先RRQ请求
/a(netascii),紧接着RRQ请求file(octet)。 - 每天约一次,每对请求间隔约45秒。35天内Always-on蜜罐收到35对来自Palo Alto IPv4地址的探针。
- 第一请求平均间隔24.09小时(最小14小时,最大33.65小时)。
- 先RRQ请求
-
Netscout
- RRQ请求文件名
ay9mfwq7xxmd4w6c7\xa0(octet)。
- RRQ请求文件名
-
Internet Census
- RRQ请求文件名
/a(netascii)。 - 还发送16字节非标准UDP负载,格式与Shodan类似但不同(
000004172710198000000000xxyyzzww)。 - 另有一个RRQ请求文件名
masscan-test,疑似服务器存在性探测。
- RRQ请求文件名
额外发现
- 三家不同公司(Censys、Palo Alto Networks、Internet Census)都会请求名为
a的文件。 - 作者通过whois和CIDR数据(使用grepcidr工具)将各个公司的扫描IP归类,确认它们大多使用自己注册的IP(Shodan有时用Digital Ocean)。
- 大部分IP没有A记录(即无反向DNS)。
- 扫描频率大致为“每天一次”,但间隔变化很大。
- 还观察到来自
199.115.115.137的突发扫描:请求多个配置文件(如y000000000028.cfg、000000000000.cfg、y000000000000.boot、ata192.cfg、spa504g.cfg、spa112.cfg等),全部为octet模式。这些文件名指向常见的嵌入式设备(如IP电话、ATA设备)的配置文件。 - 有一个RRQ请求
..\\..\\..\\..\\boot.ini,尝试利用目录穿越漏洞。 - 另一个RRQ请求
r7tftp.txt(nmap TFTP服务器识别模块使用的文件名)。 - 一个RRQ请求
pxelinux.0(PXE启动文件)。
扫描目的分析
作者认为,这些扫描的主要目的是:
- 发现开放UDP 69端口的IP地址(基础探测)。
- 识别运行中的TFTP服务器软件(例如通过特定请求字符串或响应错误包差异)。
- 寻找配置不当的服务器(如允许目录穿越、泄露敏感配置文件)。
- 对于Shodan的非标准UDP负载,作者不清楚其具体目的。
- 没有发现针对已知TFTP服务器漏洞(CVE)的利用尝试。讽刺的是,大多数TFTP流量来自信息安全公司,而非“坏人”。
关键要点
- 七家主流信息安全公司定期扫描UDP 69端口:Shadow Servers、Censys、Driftnet、Shodan、Palo Alto Networks、Netscout、Internet Census。它们的行为模式各异,但都旨在发现和识别TFTP服务器。
- 常见探测文件名:
/a、file、-、随机8字母、masscan-test、r7tftp.txt、各类设备配置文件(.cfg/.boot)等。 - Palo Alto Networks的成对请求(/a netascii + file octet) 疑似用于区分不同TFTP服务器软件。
- Shadow Servers持续发送ERROR包,可能通过错误响应类型来识别服务器。
- Shodan和Internet Census发送非标准UDP负载,格式相似但略有不同,目的不明。
- 存在针对配置不当服务器的探测:如目录穿越请求(
..\\..\\..\\..\\boot.ini)以及常见设备配置文件请求。 - 扫描频率大致规律:绝大多数公司每天一次,但具体间隔波动较大(从14小时到33小时不等)。
- IP归属:大部分扫描IP直接注册在对应公司名下,但Shodan有时使用Digital Ocean云IP。
- 无反向DNS(A记录):大多数扫描IP没有域名解析记录。
- TFTP蜜罐的流量几乎全来自安全研究,而非恶意攻击者,这反映了当前互联网扫描生态的现状。
意义与影响
- 揭示互联网扫描行为的普遍性:即使是相对小众的TFTP协议,也受到多家安全公司的日常扫描。这提醒运维人员,任何开放端口都可能被持续探测。
- 对网络管理员和安全团队的启示:应监控UDP 69端口的异常请求,特别是针对配置文件(如
.cfg、.boot)的RRQ,以及目录穿越尝试(..\\)。需要确保TFTP服务器仅对可信源开放,并严格限制文件访问范围。 - 安全公司的扫描方式各异:不同公司采用不同策略(标准请求、非标准负载、成对请求等),说明它们可能使用定制的指纹识别技术。了解这些模式有助于区分攻击流量与扫描流量,减少误报。
- 暴露了TFTP协议本身的风险:TFTP无认证、无加密,且常与嵌入式设备(IP电话、路由器、打印机)关联。即使没有已知广泛利用的漏洞,简单配置错误(如允许目录穿越)就可能导致敏感信息泄露。
- 蜜罐的实用价值:低成本VPS(5美元/月)即可运行蜜罐并收集有意义的数据。这种开源被动监测手段对理解互联网威胁态势有重要参考价值。
- 讽刺性结论:该蜜罐捕获的“威胁”几乎都来自安全研究公司,而非传统攻击者。这提示安全行业自身也在制造大量网络流量,甚至可能对目标系统造成无意的负担(如多次请求引发错误日志或性能下降)。
- 对未来研究的启发:可进一步分析这些扫描IP的地理分布、时间规律,以及公司之间的重叠关系。同时,非标准UDP负载(
查看原文 →bruceediger.com
