Útok RDDOS využívá nedostatečné spolehlivosti protokolu UDP, který dříve nenaváže připojení k přenosu paketů. Proto je vytvoření zdrojové adresy IP docela snadné, tento útok spočívá ve zfalšování adresy IP oběti při odesílání paketů zranitelným službám UDP s využitím jejich šířky pásma a výzvou k odpovědi na adresu IP oběti, to je RDDOS.
Některé ze zranitelných služeb mohou zahrnovat:
- CLDAP (Lightweight Directory Access Protocol bez připojení)
- NetBIOS
- Protokol generátoru znaků (CharGEN)
- SSDP (Simple Service Discovery Protocol)
- TFTP (Trivial File Transfer Protocol)
- DNS (systém doménových jmen)
- NTP (Network Time Protocol)
- SNMPv2 (Simple Network Management Protocol verze 2)
- RPC (Portmap / Remote Procedure Call)
- QOTD (citát dne)
- mDNS (Multicast Domain Name System),
- Parní protokol
- Routing Information Protocol verze 1 (RIPv1),
- Lightweight Directory Access Protocol (LDAP)
- Memcached,
- Dynamické zjišťování webových služeb (WS-Discovery).
Specifický port UDP pro skenování Nmap
Ve výchozím nastavení Nmap vynechá UDP skenování, lze jej povolit přidáním příznaku Nmap -sU. Jak je uvedeno výše, ignorováním portů UDP mohou známé chyby zabezpečení zůstat pro uživatele ignorovány. Výstupy Nmap pro skenování UDP mohou být otevřeno, otevřeno | filtrováno, Zavřeno a filtrovaný.
otevřeno: UDP odpověď.
otevřeno | filtrováno: žádná odpověď.
Zavřeno: Kód chyby nedosažitelného portu ICMP 3.
filtrovaný: Další nedostupné chyby ICMP (typ 3, kód 1, 2, 9, 10 nebo 13)
Následující příklad ukazuje jednoduché skenování UDP bez dalšího příznaku kromě specifikace UDP a výřečnosti pro zobrazení procesu:
# nmap -sU -v linuxhint.com
Výše uvedené UDP skenování vedlo k otevřeným | filtrovaným a otevřeným výsledkům. Význam otevřeno | filtrováno is Nmap nedokáže rozlišit mezi otevřenými a filtrovanými porty, protože stejně jako filtrované porty, otevřené porty pravděpodobně nebudou posílat odpovědi. Na rozdíl od otevřeno | filtrováno, the otevřeno result znamená, že zadaný port poslal odpověď.
Chcete-li ke skenování konkrétního portu použít Nmap, použijte -p
Následující příklad je agresivní skenování proti https: // gigopen.com
# nmap -sU -T4 gigopen.com
Poznámka: pro další informace o intenzitě skenování s příznakem -T4 https: // knihy.Google.com.ar / knihy?id = iOAQBgAAQBAJ & pg = PA106 & lpg = PA106 & d.
Díky skenování UDP je úloha skenování extrémně pomalá, existují některé příznaky, které mohou pomoci zlepšit rychlost skenování. Příkladem jsou příznaky -F (Fast), -version-intensity.
Následující příklad ukazuje zvýšení rychlosti skenování přidáním těchto příznaků při skenování LinuxHint.
Urychlení skenování UDP pomocí Nmap:
# nmap -sUV -T4 -F --verze-intenzita 0 linuxhint.com
Jak vidíte, skenování bylo jedno z 96.19 sekund proti 1091.37 v prvním jednoduchém vzorku.
Můžete také zrychlit omezením opakování a přeskočením zjišťování hostitele a rozlišení hostitele, jako v následujícím příkladu:
# nmap -sU -pU: 123 -Pn -n --max-retries = 0 pošty.mercedes.blázen.ar
Vyhledání kandidátů RDDOS nebo Reflective Denial Of Service:
Následující příkaz obsahuje skripty NSE (Nmap Scripting Engine) ntp-monlist, dns-rekurze a snmp-sysdescr ke kontrole cílů zranitelných kandidáty Reflective Denial of Service Attacks k využití jejich šířky pásma. V následujícím příkladu je skenování spuštěno proti jednomu konkrétnímu cíli (linuxhint.com):
# nmap -sU -A -PN -n -pU: 19,53,123,161 -script = ntp-monlist,dns-rekurze, snmp-sysdescr linuxhint.com
Následující příklad prohledá 50 hostitelů v rozmezí od 64.91.238.100 až 64.91.238.150, 50 hostitelů z posledního oktetu, definování rozsahu pomocí pomlčky:
# nmap -sU -A -PN -n -pU: 19,53,123,161 -script = ntp-monlist, dns-recursion,snmp-sysdescr 64.91.238.100-150
A výstup systému, který můžeme použít pro reflexní útok, vypadá jako:
Stručný úvod do protokolu UDP
Protokol UDP (User Datagram Protocol) je součástí sady Internet Protocol Suite, je rychlejší, ale nespolehlivý ve srovnání s TCP (Transmission Control Protocol).
Proč je protokol UDP rychlejší než TCP?
Protokol TCP naváže připojení k odesílání paketů, proces navázání připojení se nazývá handshake. Bylo to jasně vysvětleno na Nmap Stealth Scan:
„Obvykle, když se připojí dvě zařízení, připojení se naváže prostřednictvím procesu zvaného třícestné handshake, který se skládá ze 3 počátečních interakcí: první z požadavku na připojení klientem nebo zařízením požadujícím připojení, druhý z potvrzení zařízením, ke kterému je připojení požadováno a na třetím místě konečné potvrzení ze zařízení, které požadovalo připojení, něco jako:
-"Hej, slyšíš mě?"?, můžeme se setkat?“ (SYN paket vyžadující synchronizaci)
-"Ahoj!, vidím tě!, se můžeme setkat" (Kde „vidím vás“ je paket ACK, „můžeme se setkat“ paket SYN)
-"Skvělý!“ (Balíček ACK) “
Zdroj: https: // linuxhint.com / nmap_stealth_scan /
Na rozdíl od toho protokol UDP odesílá pakety bez předchozí komunikace s cílem, čímž je přenos paketů rychlejší, protože nemusí čekat na odeslání. Jedná se o minimalistický protokol bez zpoždění opakovaného přenosu pro opětovné odeslání chybějících dat, protokol podle volby, když je potřeba vysoká rychlost, jako je VoIP, streamování, hraní her atd. Tento protokol postrádá spolehlivost a používá se pouze v případě, že ztráta paketů není fatální.
Záhlaví UDP obsahuje informace o zdrojovém portu, cílovém portu, kontrolním součtu a velikosti.
Doufám, že vám tento návod pro Nmap pro skenování UDP portů připadal užitečný. Pokračujte v LinuxHintu, kde najdete další tipy a aktualizace pro Linux a sítě.