security - 如何防止基于UDP的 channel 变成 “backdoor”？

Question

最近发现一些路由器设备包含后门，some of which可以通过单个UDP数据包加以利用。我意识到其中一些后门不一定是恶意的，因为我在自己的产品中也做了同样的事情以进行故障排除:打开套接字将心跳数据包发送到服务器，并监听来自命令的命令(例如“ping”)服务器。有些命令实际上可以在设备上执行任意代码，使我的心脏像鼓一样跳动...

我的问题是，作为身份验证的原始形式，如果我将接收到的UDP数据包的远程地址和端口与套接字向其发送数据包的服务器的实际地址和端口进行比较，这样是否足够安全(即无法利用任何攻击)？示例代码如下:

if ((bytes = recvfrom(sock, buf, sizeof(buf) - 1, 0, 
                      (sockaddr *)addr, addrlen)) == -1)
{
    perror("recvfrom");
    return -1;
}

buf[bytes] = '\0';
printf("%s: received: %s\n", __func__, buf);

if (addrcmp(addr, (sockaddr_in *)ai_server->ai_addr) == 0)
{
    // do things
}

addrcmp()的代码:

int addrcmp(sockaddr_in *a1, sockaddr_in *a2)
{
    if (a1->sin_addr.s_addr == a2->sin_addr.s_addr &&
        a1->sin_port == a2->sin_port)
    {
        return 0;
    }
    return 1;
}

Answer 1

即使您确保从您正在与之交谈的地址接收到数据包，也不必是您与之交谈的机器。欺骗地址和端口很容易。验证发送者的地址/端口是您可以采取的许多步骤中的第一步
-如果您正在与某个知名端口通信，并且如果有人可以猜出该地址，则他们仍然可以发送带有正确地址和端口的数据包。因此，您可以在一侧探索使用临时端口
-如果您选择使用临时端口，则攻击者仍然可以猜测该端口，因为只有64K端口。因此，您可以转到TCP。这会使攻击者也猜测序列号。这在某些情况下也被打破

IMO，您应该在假定攻击者知道连接详细信息的情况下设计系统。中间人还是知道您的连接详细信息。您可以尝试以下一些方法
-确认数据包中的字段，然后再接受它。确保数据包中各个字段的输入都在可接受的范围内
-验证内容。用一些东西来签名数据
-加密并验证连接

如果出于管理目的像心跳一样，并且不需要通过Internet进行访问，则应考虑将管理网络与数据端口完全隔离。在这种情况下，您可能可以避免上面列出的某些检查。

此列表并不详尽。大多数商业产品将完成所有这些工作，并且仍然很脆弱。