Phenquestions
RDDOS-angrep utnytter den manglende påliteligheten til UDP-protokollen som ikke oppretter en forbindelse tidligere til pakkeoverføringen. Derfor er det ganske enkelt å smi en kilde-IP-adresse. Dette angrepet består i å smi offerets IP-adresse når du sender pakker til sårbare UDP-tjenester som utnytter båndbredden ved å be dem om å svare på offerets IP-adresse, det er RDDOS.
Noen av de sårbare tjenestene kan omfatte:
- CLDAP (Connection-less Lightweight Directory Access Protocol)
- NetBIOS
- Character Generator Protocol (CharGEN)
- SSDP (Simple Service Discovery Protocol)
- TFTP (Trivial File Transfer Protocol)
- DNS (Domain Name System)
- NTP (Network Time Protocol)
- SNMPv2 (Simple Network Management Protocol versjon 2)
- RPC (Portmap / Remote Procedure Call)
- QOTD (sitat av dagen)
- mDNS (Multicast Domain Name System),
- Steam-protokoll
- Routing Information Protocol versjon 1 (RIPv1),
- LDAP (Lightweight Directory Access Protocol)
- Memcached,
- Web Services Dynamic Discovery (WS-Discovery).
Nmap Scan-spesifikk UDP-port
Som standard utelater Nmap UDP-skanning, den kan aktiveres ved å legge til Nmap-flagget -sU. Som nevnt ovenfor ved å ignorere UDP-porter, kan kjente sårbarheter forbli ignorert for brukeren. Nmap-utganger for UDP-skanning kan være åpen, åpen | filtrert, lukket og filtrert.
åpen: UDP-respons.
åpen | filtrert: ingen respons.
lukket: ICMP-port kan ikke nås feilkode 3.
filtrert: Andre ICMP-feil som ikke kan nås (type 3, kode 1, 2, 9, 10 eller 13)
Følgende eksempel viser en enkel UDP-skanning uten tilleggsflagg annet enn UDP-spesifikasjonen og ordlighetsgraden for å se prosessen:
# nmap -sU -v linuxhint.com
UDP-skanningen ovenfor resulterte i åpne | filtrerte og åpne resultater. Meningen med åpen | filtrert er Nmap ikke kan skille mellom åpne og filtrerte porter fordi i likhet med filtrerte porter, er det lite sannsynlig at åpne porter sender svar. I motsetning til åpen | filtrert, de åpen resultat betyr at den angitte porten sendte et svar.
For å bruke Nmap til å skanne en bestemt port, bruk -s
Følgende eksempel er en aggressiv skanning mot https: // gigopen.com
# nmap -sU -T4 gigopen.com
Merk: for ytterligere informasjon om skanneintensiteten med flagget -T4 https: // bøker.Google.com.ar / bøker?id = iOAQBgAAQBAJ & pg = PA106 & lpg = PA106 & d.
UDP-skanninger gjør skanneoppgaven ekstremt treg, det er noen flagg som kan bidra til å forbedre skannehastigheten. Flaggene -F (Fast), -versjonsintensitet er et eksempel.
Følgende eksempel viser en økning i skannehastigheten ved å legge til disse flaggene når du skanner LinuxHint.
Fremskynde en UDP-skanning med Nmap:
# nmap -sUV -T4 -F - versjonsintensitet 0 linuxhint.com
Som du ser var skanningen en av 96.19 sekunder mot 1091.37 i det første enkle utvalget.
Du kan også øke hastigheten ved å begrense forsøk på nytt og hoppe over vertfunn og vertsoppløsning som i neste eksempel:
# nmap -sU -pU: 123 -Pn -n --max-retries = 0 e-post.mercedes.gob.ar
Skanner etter RDDOS eller Reflective Denial of Service-kandidater:
Følgende kommando inkluderer NSE-skriptene (Nmap Scripting Engine) ntp-monlist, dns-rekursjon og snmp-sysdescr for å se etter mål som er sårbare for Reflective Denial of Service Angriper kandidater for å utnytte båndbredden. I det følgende eksemplet startes skanningen mot et enkelt spesifikt mål (linuxhint.com):
# nmap -sU -A -PN -n -pU: 19,53,123,161 -script = ntp-monlist,dns-rekursjon, snmp-sysdescr linuxhint.com
Følgende eksempel skanner 50 verter fra 64.91.238.100 til 64.91.238.150, 50 verter fra siste oktett, og definerer rekkevidden med bindestrek:
# nmap -sU -A -PN -n -pU: 19,53,123,161 -script = ntp-monlist, dns-rekursjon,snmp-sysdescr 64.91.238.100-150
Og utgangen fra et system vi kan bruke til et reflekterende angrep virker som:
Kort introduksjon til UDP-protokollen
UDP-protokollen (User Datagram Protocol) er en del av Internet Protocol Suite, den er raskere, men upålitelig sammenlignet med TCP (Transmission Control Protocol).
Hvorfor er UDP-protokollen raskere enn TCP?
TCP-protokollen oppretter en forbindelse for å sende pakker, tilkoblingsprosessen kalles håndtrykk. Det ble tydelig forklart kl Nmap Stealth Scan:
"Vanligvis når to enheter kobles til, opprettes forbindelser gjennom en prosess som kalles treveis håndtrykk, som består av tre innledende interaksjoner: først av en tilkoblingsforespørsel fra klienten eller enhet som ber om tilkobling, for det andre av en bekreftelse fra enheten som forbindelsen er til bedt om og på tredje plass en endelig bekreftelse fra enheten som ba om tilkobling, noe som:
-“Hei, kan du høre meg?, kan vi møtes?” (SYN-pakke som ber om synkronisering)
-Hei!, jeg ser deg!, vi kan møte" (Der "Jeg ser deg" er en ACK-pakke, "vi kan møte" en SYN-pakke)
-"Flott!” (ACK-pakke) ”
Kilde: https: // linuxhint.com / nmap_stealth_scan /
I motsetning til dette sender UDP-protokollen pakkene uten tidligere kommunikasjon med destinasjonen, noe som gjør at pakkene overføres raskere siden de ikke trenger å vente på å bli sendt. Det er en minimalistisk protokoll uten forsinkelser på nytt for å sende manglende data på nytt, protokollen etter valg når høy hastighet er nødvendig, for eksempel VoIP, streaming, spill osv. Denne protokollen mangler pålitelighet, og den brukes bare når pakketap ikke er dødelig.
UDP-overskriften inneholder informasjon om kildeport, destinasjonsport, sjekksum og størrelse.
Jeg håper du fant denne veiledningen på Nmap for å skanne UDP-porter som nyttige. Fortsett å følge LinuxHint for flere tips og oppdateringer om Linux og nettverk.
