Porta UDP specifica per scansione NMAP
L'attacco RDDOS sfrutta la mancanza di affidabilità del protocollo UDP che non stabilisce una connessione in precedenza al transfert di pacchetti. Pertanto la creazione di un indirizzo IP di origine è abbastanza semplice, questo attacco consiste nel forgiare l'indirizzo IP della vittima quando si inviano pacchetti a servizi UDP vulnerabili che sfruttano la loro larghezza di banda spingendoli a rispondere all'indirizzo IP della vittima, questo è RDDOS.
Alcuni dei servizi vulnerabili possono includere:
- CLDAP (protocollo di accesso alla directory leggero senza connessione)
- Netbios
- Protocollo del generatore di caratteri (Chargen)
- SSDP (Simple Service Discovery Protocol)
- TFTP (Trivial File Transfer Protocol)
- DNS (sistema di nomi di dominio)
- NTP (Network Time Protocol)
- SNMPV2 (Simple Network Management Protocol versione 2)
- RPC (chiamata PORTMAP/procedura remota)
- QOTD (citazione del giorno)
- MDNS (sistema di nomi di dominio multicast),
- Protocollo di vapore
- Routing Information Protocol versione 1 (RIPV1),
- Protocollo di accesso alla directory leggero (LDAP)
- Memcached,
- Servizi Web Dynamic Discovery (WS-Discovery).
Porta UDP specifica per scansione NMAP
Per impostazione predefinita NMAP omette la scansione UDP, può essere abilitato aggiungendo il flag NMAP -Su. Come elencato sopra ignorando le porte UDP le vulnerabilità note possono rimanere ignorate all'utente. Le uscite NMAP per la scansione UDP possono essere aprire, aperto | filtrato, Chiuso E filtrato.
aprire: Risposta UDP.
aperto | filtrato: nessuna risposta.
Chiuso: Porta ICMP Codice di errore non raggiungibile 3.
filtrato: Altri errori ICMP irraggiungibili (tipo 3, codice 1, 2, 9, 10 o 13)
L'esempio seguente mostra una semplice scansione UDP senza flag aggiuntiva oltre alla specifica UDP e alla verbosità per vedere il processo:
# nmap -su -v linuxhint.com
La scansione UDP sopra ha provocato risultati aperti | filtrati e aperti. Il significato di aperto | filtrato È improbabile che NMAP non può distinguere tra porte aperte e filtrate perché come porte filtrate, è improbabile che le porte aperte inviscano risposte. Contrariamente al aperto | filtrato, IL aprire risultato indica che la porta specificata ha inviato una risposta.
Per utilizzare NMAP per scansionare una porta specifica utilizza il -P flag per definire la porta seguita dal -Su Flag per abilitare la scansione UDP prima di specificare il target, per scansionare LinuxHint per la porta della porta NTP 123 UDP:
# nmap -p 123 -su linuxhint.com
L'esempio seguente è una scansione aggressiva contro https: // gigopen.com
# nmap -su -t4 gigopen.com
Nota: Per ulteriori informazioni sull'intensità di scansione con il flag -t4 controllare https: // libri.Google.com.ar/libri?id = ioaqbgaaqbaj & pg = pa106 e lpg = pa106 e d.
Le scansioni UDP rendono l'attività di scansione estremamente lenta, ci sono alcune bandiere che possono aiutare a migliorare la velocità di scansione. Le flag -f (veloci), -version -intensità sono un esempio.
L'esempio seguente mostra un aumento della velocità di scansione aggiungendo questi flag durante la scansione di LinuxHint.
Accelerando una scansione UDP con NMAP:
# nmap -suv -t4 -f -version -intensità 0 linuxhint.com
Come vedi, la scansione era una su 96.19 secondi contro 1091.37 nel primo semplice campione.
Puoi anche accelerare limitando i tentativi e saltando la scoperta dell'ospite e la risoluzione dell'ospite come nell'esempio successivo:
# nmap -su -pu: 123 -pn -n -max -retries = 0 posta.Mercedes.gob.ar
Scansione per RDDO o candidati a negazione riflessiva del servizio:
Il seguente comando include gli script NSE (NMAP Scripting Engine) NTP-Monlist, RECUSIONE DNS E snmp-sysdiscr Per verificare gli obiettivi vulnerabili alla negazione riflessiva degli attacchi di servizio candidati per sfruttare la loro larghezza di banda. Nell'esempio seguente la scansione viene lanciata rispetto a un singolo target specifico (LinuxHint.com):
# nmap -su -a -pn -n -pu: 19,53,123,161 -script = ntp -monlist,
Recursione DNS, SNMP-SYSDESCR Linuxhint.com
L'esempio seguente scansioni 50 ospiti che vanno da 64.91.238.Da 100 a 64.91.238.150, 50 host dell'ultimo ottetto, definendo la gamma con un trattino:
# nmap -su -a -pn -n -pu: 19,53,123,161 -script = ntp -monlist, dns -recursion,
SNMP-SYSDESCR 64.91.238.100-150
E l'uscita di un sistema che possiamo usare per un attacco riflessivo sembra:
Breve introduzione al protocollo UDP
Il protocollo UDP (User Datagram Protocol) fa parte della suite del protocollo Internet, è più veloce ma inaffidabile se confrontato con TCP (Protocollo di controllo della trasmissione).
Perché il protocollo UDP è più veloce di TCP?
Il protocollo TCP stabilisce una connessione per inviare pacchetti, il processo di stabilimento della connessione è chiamato Handshake. È stato chiaramente spiegato a NMAP Stealth Scan:
“Di solito quando due dispositivi si collegano, le connessioni vengono stabilite attraverso un processo chiamato handshake a tre vie che consiste in 3 interazioni iniziali: prima di una richiesta di connessione da parte del client o del dispositivo che richiede la connessione, seconda da una conferma da parte del dispositivo a cui è la connessione richiesto e al terzo posto una conferma finale dal dispositivo che richiedeva la connessione, qualcosa del tipo:
-“Ehi, puoi sentirmi?, possiamo incontrarci?" (Syn Packet che richiede sincronizzazione)
-"CIAO!, ti vedo!, possiamo incontrarci" (Dove "I See You" è un pacchetto ACK, "We Can Meet" un pacchetto syn)
-"Grande!" (Pacchetto ACK) "
Fonte: https: // linuxhint.com/nmap_stealth_scan/
Contrariamente a questo il protocollo UDP invia i pacchetti senza una comunicazione precedente con la destinazione, rendendo i pacchetti transfert più velocemente poiché non hanno bisogno di aspettare per essere inviati. È un protocollo minimalista senza ritardi di ritrasmissione per i dati mancanti in rialzo, il protocollo per scelta quando è necessaria un'alta velocità, come VOIP, streaming, gioco, ecc. Questo protocollo manca di affidabilità e viene utilizzato solo quando la perdita di pacchetti non è fatale.
L'intestazione UDP contiene informazioni sulla porta di origine, la porta di destinazione, il checksum e le dimensioni.
Spero che tu abbia trovato questo tutorial su NMAP per scansionare le porte UDP utili. Continua a seguire LinuxHint per ulteriori suggerimenti e aggiornamenti su Linux e Networking.