← 返回信息流
AI 资讯Hacker News·3 小时前

TFTP蜜罐捕获数据结果出炉

原标题:TFTP Honey Pot Results

速览

一份关于TFTP蜜罐的分析报告发布了。该报告详细记录了蜜罐捕获到的恶意流量和攻击行为。这有助于了解针对TFTP协议的安全威胁。

AI 深度解读

背景

TFTP(Trivial File Transfer Protocol)是一种简易的文件传输协议,通常用于网络设备(如路由器、交换机)的固件更新或配置备份。由于它缺乏认证和加密机制,常成为攻击者的目标。一位安全爱好者(原文作者)在个人VPS和家庭服务器上部署了TFTP蜜罐,持续运行超过一个月,旨在捕捉网络上的异常流量和潜在攻击行为。蜜罐运行在UDP 69端口,记录了来自全球的TFTP请求。本文将基于作者在Hacker News上发布的原始结果,解读其发现。

核心内容

作者在每月5美元的VPS(Always-on)以及Dell R530家庭服务器(间歇运行)上运行TFTP蜜罐。两台服务器每天接收20到50个TFTP数据包,流量高度重叠。作者起初对每天收到的UDP 69端口流量非常兴奋,但随后发现大部分流量来自七家信息安全公司的定期扫描。

信息安全公司扫描行为详解

  1. Shadow Servers

    • 发送5个ERROR数据包,间隔约11秒一个。
    • 错误类型包括:Bad Filename、Access violation、Illegal TID、Illegal TFTP operation等。
    • 另外还发送RRQ(读请求)获取a.pdf(octet模式),节奏与ERROR包不同。
  2. Censys

    • 发送RRQ请求文件名/a,netascii模式。
    • 也发送RRQ请求文件名-
  3. Driftnet

    • 发送RRQ,文件名为8个随机字母(模式[a-zA-Z]{8}),netascii模式。
    • 有时通过IPv6发送。
  4. Shodan

    • 发送16字节的非标准UDP负载(不符合TFTP格式)。
    • 示例十六进制:00000417271019800000000000034925
    • 约一半情况从UDP端口18020到达。
    • 每次扫描在2分钟内爆发4-6个包,来自两个或更多IP地址。
    • 有时使用自己的IP,有时使用Digital Ocean的IP。
  5. Secretive Palo Alto Networks

    • 先RRQ请求/a(netascii),紧接着RRQ请求file(octet)。
    • 每天约一次,每对请求间隔约45秒。35天内Always-on蜜罐收到35对来自Palo Alto IPv4地址的探针。
    • 第一请求平均间隔24.09小时(最小14小时,最大33.65小时)。
  6. Netscout

    • RRQ请求文件名ay9mfwq7xxmd4w6c7\xa0(octet)。
  7. Internet Census

    • RRQ请求文件名/a(netascii)。
    • 还发送16字节非标准UDP负载,格式与Shodan类似但不同(000004172710198000000000xxyyzzww)。
    • 另有一个RRQ请求文件名masscan-test,疑似服务器存在性探测。

额外发现

  • 三家不同公司(Censys、Palo Alto Networks、Internet Census)都会请求名为a的文件。
  • 作者通过whois和CIDR数据(使用grepcidr工具)将各个公司的扫描IP归类,确认它们大多使用自己注册的IP(Shodan有时用Digital Ocean)。
  • 大部分IP没有A记录(即无反向DNS)。
  • 扫描频率大致为“每天一次”,但间隔变化很大。
  • 还观察到来自199.115.115.137的突发扫描:请求多个配置文件(如y000000000028.cfg000000000000.cfgy000000000000.bootata192.cfgspa504g.cfgspa112.cfg等),全部为octet模式。这些文件名指向常见的嵌入式设备(如IP电话、ATA设备)的配置文件。
  • 有一个RRQ请求..\\..\\..\\..\\boot.ini,尝试利用目录穿越漏洞。
  • 另一个RRQ请求r7tftp.txt(nmap TFTP服务器识别模块使用的文件名)。
  • 一个RRQ请求pxelinux.0(PXE启动文件)。

扫描目的分析

作者认为,这些扫描的主要目的是:

  1. 发现开放UDP 69端口的IP地址(基础探测)。
  2. 识别运行中的TFTP服务器软件(例如通过特定请求字符串或响应错误包差异)。
  3. 寻找配置不当的服务器(如允许目录穿越、泄露敏感配置文件)。
  4. 对于Shodan的非标准UDP负载,作者不清楚其具体目的。
  5. 没有发现针对已知TFTP服务器漏洞(CVE)的利用尝试。讽刺的是,大多数TFTP流量来自信息安全公司,而非“坏人”。

关键要点

  • 七家主流信息安全公司定期扫描UDP 69端口:Shadow Servers、Censys、Driftnet、Shodan、Palo Alto Networks、Netscout、Internet Census。它们的行为模式各异,但都旨在发现和识别TFTP服务器。
  • 常见探测文件名/afile-、随机8字母、masscan-testr7tftp.txt、各类设备配置文件(.cfg/.boot)等。
  • Palo Alto Networks的成对请求(/a netascii + file octet) 疑似用于区分不同TFTP服务器软件。
  • Shadow Servers持续发送ERROR包,可能通过错误响应类型来识别服务器。
  • Shodan和Internet Census发送非标准UDP负载,格式相似但略有不同,目的不明。
  • 存在针对配置不当服务器的探测:如目录穿越请求(..\\..\\..\\..\\boot.ini)以及常见设备配置文件请求。
  • 扫描频率大致规律:绝大多数公司每天一次,但具体间隔波动较大(从14小时到33小时不等)。
  • IP归属:大部分扫描IP直接注册在对应公司名下,但Shodan有时使用Digital Ocean云IP。
  • 无反向DNS(A记录):大多数扫描IP没有域名解析记录。
  • TFTP蜜罐的流量几乎全来自安全研究,而非恶意攻击者,这反映了当前互联网扫描生态的现状。

意义与影响

  1. 揭示互联网扫描行为的普遍性:即使是相对小众的TFTP协议,也受到多家安全公司的日常扫描。这提醒运维人员,任何开放端口都可能被持续探测。
  2. 对网络管理员和安全团队的启示:应监控UDP 69端口的异常请求,特别是针对配置文件(如.cfg.boot)的RRQ,以及目录穿越尝试(..\\)。需要确保TFTP服务器仅对可信源开放,并严格限制文件访问范围。
  3. 安全公司的扫描方式各异:不同公司采用不同策略(标准请求、非标准负载、成对请求等),说明它们可能使用定制的指纹识别技术。了解这些模式有助于区分攻击流量与扫描流量,减少误报。
  4. 暴露了TFTP协议本身的风险:TFTP无认证、无加密,且常与嵌入式设备(IP电话、路由器、打印机)关联。即使没有已知广泛利用的漏洞,简单配置错误(如允许目录穿越)就可能导致敏感信息泄露。
  5. 蜜罐的实用价值:低成本VPS(5美元/月)即可运行蜜罐并收集有意义的数据。这种开源被动监测手段对理解互联网威胁态势有重要参考价值。
  6. 讽刺性结论:该蜜罐捕获的“威胁”几乎都来自安全研究公司,而非传统攻击者。这提示安全行业自身也在制造大量网络流量,甚至可能对目标系统造成无意的负担(如多次请求引发错误日志或性能下降)。
  7. 对未来研究的启发:可进一步分析这些扫描IP的地理分布、时间规律,以及公司之间的重叠关系。同时,非标准UDP负载(
查看原文 →bruceediger.com