DDP協議設備的探測與攻擊研究
一、DDP協議簡介
DDP協議是數據終端單元(DTU)與數據服務中心(DSC)之間的通訊協議,用于數據的傳輸和DTU管理。本文主要針對DDP協議基于tcp/ip的數據傳輸方式進行的分析研究。
二、環境搭建
這里環境搭建比較簡單,在網上找到了DTU與DSC的工具,直接運行,然后將DTU注冊到DSC上即可,如下圖所示:
其中DSC設置的端口為宏電默認端口5002,DTU配置的端口為5001,驗證手機號為22222222222,傳輸協議為UDP
三、DSC探測
對于DSC的探測,DDP協議本身對于一些關鍵字段如手機號,ip地址,端口號等沒有進行有效的效驗,所以我們可以通過構造注冊包的方式來進行探測DSC設備,注冊包構造如下:
起始標志:7b(1B)
數據包類型:01(1B)(終端請求注冊)
數據包長度:0016(2B)
DTU身份識別:
3133393131313131313132(11B)(對于身份識別ddp協議并未驗證有效性,因此設置任意11位數字即可)
ip地址:c0a80101(4B)(ip地址也未進行校驗,可以設置任意合法的ip地址,這里我們設置的是192.168.1.1)
端口號:1390(2B)(端口號同樣未校驗,可以設置任意合法端口,這里我們設置的為5008)
結束標志:7b(1B)
將上述注冊包發送給DSC后可以看到已經注冊成功:
wireshark抓包如下:
判斷方法為響應包的起始兩位為7b81,結束為7b,只要符合該數據格式,我們就可以認定我們探測的目標為DSC了。
為了不對DSC造成任何影響,當我們探測成功后最好發送一個注銷包,格式如下:
起始位:7b(1B)
數據包類型:02(1B)
數據包長度:0010(2B)
DTU身份識別:
3133393131313131313132(11B)(與注冊包的一致)
結束位:7b(1B)
發送注銷包之后,我們之前的注冊信息將不會在DSC上存留。
四、DSC攻擊
由于DDP協議缺少有效的驗證,所以導致DSC容易受到如下幾種方式的攻擊:
惡意注冊大量非法DTU,在同一時間內發送大量的注冊包到DSC上,消耗DSC的大量資源甚至導致系統崩潰
惡意注銷已經注冊的正常DTU,因為DSC在注銷DTU的時候僅將DTU身份識別號作為唯一特征,所以我們在構造注銷包的時候可以將身份識別號任意改變,這樣可以通過爆破的方式對DSC不斷發送注銷包,導致已經注冊的DTU非正常下線。以上述工具的DSC,DTU為例,身份識別號為22222222222的DTU已經注冊到DSC上,這時候我們發送一個攜帶該身份識別號的注銷包發送到DSC上,其結果如圖所示:
可以看到DSC上已經顯示22222222222的DTU已經下線了,但是該DTU端卻依然是登錄狀態
wireshark抓到我們惡意注銷包的響應包如下:
起始和結束為均為7b,第二位82代表注銷成功,5-15表示成功注冊掉的DTU的身份識別號。
五、DTU探測
由于DTU是客戶端,所以僅支持UDP傳輸方式的DTU探測,經過研究發現,針對已經注冊成功的DTU,我們構造如下數據包:
起始位:7b(1B)
數據包類型:81(1B)
數據包長度:0010(2B)
任意11位數字:
3131313131313131313131(11B)
結束位:7b(1B)
對于DTU設備,收到上述數據包后,會返回一個攜帶自己身份識別號的數據包,這樣我們不僅可以探測到該設備為DTU,甚至可以獲得DTU的身份識別號,整個過程wireshark抓包如下:
其中第一個包為真實DTU向DSC的注冊包,第二個為DSC響應的注冊成功包,圖中展示的第三個包就是我們構造想DTU發送的數據包,DTU的響應包如下:
可以看到響應包中攜帶了DTU的**識別號,因此我們探測DTU的方法為發送構造的數據包,判斷響應包的特征位,如果符合,則進一步提取DTU的身份識別號。
六、DTU攻擊
由于在探測過程中我們可以獲取DTU的**識別號,所以我們可以利用該身份識別號繞過DSC直接強制DTU下載,我們接著第五步介紹的繼續進行操作,此時我們已經獲取了DTU的身份識別號為222222222222,然后我們利用該識別號構造如下數據包:
起始位:7b(1B)
數據包類型:82(1B)
數據包長度:0010(2B)
DTU的身份識別號:3232323232323232323232(11B)
結束為:7b(1B)
正常狀態如圖所示:
然后我們發送上述構造的數據包后,狀態如圖所示:
可以看到DTU端已經下線,但是DSC依然顯示DTU在線。
七、總結
本文主要針對DDP協議的TCP/IP傳輸方式,提供了探測DSC以及DTU的一種方法,并提出了部分容易受到攻擊的方式,由于未在真實場景下驗證,所以可行性尚待驗證,還希望各位大佬多多指教。
