網站內容來源http://server.it168.com/

新浪安全中心：Redis 威脅流量監聽實踐

2018-06-26 15:49    來源：新郎安全中心 　作者: 糖果LUA　編輯:
0購買

　　概要

　　我們在平時的安全運維中，Redis服務對我們來說是一種比較常見的服務，相應的Redis漏洞也比較棘手，網上有很多關於Reids漏洞利用和再現的方法，如果想延伸一下這個課題，我們可以考慮如何主動的防護redis的漏洞，那怕只是監聽redis服務中，可能存在的威脅行為，先解決一部分問題?這個就是本文要給出的一個思路和解決方案。關鍵是，現在有些系統是不提供這種服務的，所以我們嘗試定製開發。

　　背景

　　我們在再現redis的漏洞時，用tcpdump等工具，抓取了滲透的流量，把威脅流量保存寫到pcap包中，經過分析我們發現redis的協議數據是明文的，經過截取包，我們可以看到其中的內容，所有的這些set、get、dir、config命令一般的流量中我們都可以看到，在redis密碼沒有設置的情況下。我們發現一般的防火牆也並不抓取redis的流量並解析，甚至是報警。基於我們之前的實踐，既然tcpdump能抓到，我們用pcap基礎開發包也可以抓到。

　　防護策略

　　既然我們可以抓取流量，就可以監聽redis的流量中的內容，先期的預想是，只要我們分析出redis攻擊行為幾個動作序列，採用行為模式匹配的方式，只要有人觸發了比較危險的幾個動作指令，我們就把這次Redis操作列為一個可疑的行為，並對這種形為的IP進行監聽日誌留存，並把威脅攻擊IP相關的屬性信息，和其它設備中的威脅數據做碰撞，這一切基礎前提就是：我們可以抓取訪問者的流量(靠工具)，並識別他的行為動作(靠策略)。下面我們就用工具監聽redis的set、get、config命令為例子，通過這個來展示整個流程的監聽過程。

　　監聽部署

　　為了測試，我們是把某個機房的某個網段的流量，鏡像集中到另一台服務器上， 我們集中監聽打到這台服務上，其它的Redis的服務的流量匯總，我們通過分析這些Redis服務的操作內容，進行流量監控和行為識別，然後將監聽的威脅行為數據保存到威脅行為庫里。

　　工具實施

　　這個監聽系統工作模式就這樣，接下來就是我們要用工具實施我們方案，我們選用的工具還是傳統的C語言和Lua的腳本方式，用C讀取監聽6379端口是的流量數據，然後將解析出來的數據推給Lua進行模式匹配。

　　一般的攻擊行為都有一個大概的請求序列，Redis服務本身就是系統內存的一個服務器監聽程序，一般會Bind本機的IP，監聽默認的6379端口，如果Redis的對外提供服務，需要改變redis.conf的配置，打開配置文件對應把bind xxx.xxx.xxx.xxx的IP改成你本地的網卡IP，這樣在外部使用Redis訪問，才不會出現端口訪問被拒絕的情況。

　　改變IP后，我們要解決的是密碼設置問題，如果有一天某台Redis的密碼"消失了"。 這時這台機器可能會被威脅利用，這時就滿足了我們要設定場景，重現這種情況就要把redis.conf中的密碼去掉。

　　這種啟動方式，是不能滲透成功的，我們要用下面的方式進行redis的服務啟動，進入root然後輸入:

　　如果我們想簡單的用Tcpdump截取Redis數據包，我們可以用下面的命令：

　　我們可以一邊滲透Redis，一邊記錄這次滲透過程中，攻擊指令的序列數據。 下面就是用我們要用的工具，用於監聽和解析Redis的流量數據的數據：https://github.com/shengnoah/riff

　　我們下載這個pcap監聽的工具包,我們默認的工作平台是： make linux

　　因為，這個工具在linux上使用，用C實現，嵌入了Lua腳本插件化的處理，來獲取監聽接口的數據，本文中提的是對6379接口的監聽。我們在完成編譯動作后，需要改一個config.lua的配置。

　　打開config.lua， 修改return的返回值，告訴C主進程，我們讓Pcap監聽本機的6389端口，以下。

　　需要注意的是watch.c的代碼，以下

　　getPacket()這個函數，主體功還是把數據推給lua，基本的邏輯就是這麼簡單，關鍵就是這個有個入口buffer.lua，我們記着這個時序的入口就行，便於以後面的邏輯的理解清楚。 從buffer.lua這個執行序開始后，邏輯都交給lua來處理了，具體lua怎麼處理，要自己根據自己定製的規則情況寫處理邏輯。

　　Lua代碼一直運行在pcap的循環內，採用的是插件機制，我們加一個處理，就相當於要加一個插件。插件模板的代碼都是類似的，我們看一個其它的就看懂了，其它相關腳手架的代碼不介紹了：

　　用lua寫代碼，是為了降低策略實現部分的代碼複雜度，最關鍵的函數filter_plugin.action()，這裏的stream.data就是吐到6369上的所有數據，包括Redis相關的執行的get、set、config等請求都會在這個變量里中的所體現。我們先打開redis-cli的客戶端，發送一個set指令看看，看我們的程序是否可能監聽到。

　　我們啟動這個基於pcap庫的監聽程序，畫紅色圓的地方就是，pcap主循環推給lua腳本的數據。

　　"set a www.candylab.net"的整個指令的數據內容都在。

　　總結

　　到此我們完成了整個監控程序的執行周期，通過這個工具，所有經過6379端口的數據我們都可以取得到，至於客官們想針對什麼樣的的reids攻擊，寫出對應的策略，編寫lua插件邏輯就可以了。本身lua的代碼實現就不複雜，提供的數據結構操作類似字符串序列這種數據也很方便，代碼可以到github上直接下載，如何變動，具體就看各自的需求和各自的策略設計了。簡單說，剩下的工作就是用lua寫攻擊模式的甄別。

網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨，RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置、套版網頁設計、台北網站改版設計、台北RWD響應式網頁設計，各種案例分享

廣告預算用在刀口上，網站設計公司幫您達到更多曝光效益

https://www.3chy3.com/?p=2113

---

Orignal From: 新浪安全中心：Redis 威脅流量監聽實踐