Útok RDDOS využíva nedostatok spoľahlivosti protokolu UDP, ktorý predtým nenadväzuje spojenie s paketovým prenosom. Preto je vytvorenie zdrojovej adresy IP celkom ľahké, tento útok spočíva vo falšovaní adresy IP obete pri odosielaní paketov zraniteľným službám UDP s využitím ich šírky pásma a výzvou na odpoveď na adresu IP obete, to je RDDOS.
Niektoré zo zraniteľných služieb môžu zahŕňať:
- CLDAP (Lightweight Directory Access Protocol bez pripojenia)
- NetBIOS
- Protokol generátora znakov (CharGEN)
- SSDP (Simple Service Discovery Protocol)
- TFTP (Trivial File Transfer Protocol)
- DNS (systém názvov domén)
- NTP (sieťový časový protokol)
- SNMPv2 (Simple Network Management Protocol verzia 2)
- RPC (Portmap / Remote Procedure Call)
- QOTD (citát dňa)
- mDNS (Multicast Domain Name System),
- Parný protokol
- Routing Information Protocol verzia 1 (RIPv1),
- Ľahký adresárový prístupový protokol (LDAP)
- Memcached,
- Dynamické zisťovanie webových služieb (WS-Discovery).
Nmap Scan Špecifický port UDP
Predvolene Nmap vynecháva UDP skenovanie, dá sa povoliť pridaním príznaku Nmap -sU. Ako je uvedené vyššie, pri ignorovaní portov UDP môžu ostať známe chyby zabezpečenia pre používateľa. Výstupy Nmap pre skenovanie UDP môžu byť otvorené, otvorené | filtrované, zatvorené a filtrovaný.
otvorené: UDP odpoveď.
otvorené | filtrované: žiadna odpoveď.
zatvorené: Kód chyby nedostupného portu ICMP 3.
filtrované: Ďalšie nedosiahnuteľné chyby ICMP (typ 3, kód 1, 2, 9, 10 alebo 13)
Nasledujúci príklad ukazuje jednoduché UDP skenovanie bez ďalšieho príznaku okrem špecifikácie UDP a výrečnosti, aby sa proces zobrazil:
# nmap -sU -v linuxhint.com
Vyššie uvedené UDP skenovanie prinieslo otvorené | filtrované a otvorené výsledky. Význam otvorené | filtrované je Nmap nedokáže rozlíšiť medzi otvoreným a filtrovaným portom, pretože rovnako ako filtrované porty, otvorené porty pravdepodobne nebudú posielať odpovede. Na rozdiel od otvorené | filtrované, the otvorené výsledok znamená, že zadaný port poslal odpoveď.
Ak chcete použiť Nmap na skenovanie konkrétneho portu, použite -p
Nasledujúci príklad je agresívnym skenovaním proti https: // gigopen.com
# nmap -sU -T4 gigopen.com
Poznámka: pre ďalšie informácie o intenzite skenovania s príznakom -T4 check https: // knihy.google.com.ar / knihy?id = iOAQBgAAQBAJ & pg = PA106 & lpg = PA106 & d.
Vďaka skenovaniu UDP je skenovanie extrémne pomalé. Existuje niekoľko príznakov, ktoré môžu pomôcť zvýšiť rýchlosť skenovania. Príkladom sú príznaky -F (rýchle) a -verzia-intenzita.
Nasledujúci príklad ukazuje zvýšenie rýchlosti skenovania pridaním týchto príznakov pri skenovaní LinuxHint.
Urýchlenie skenovania UDP pomocou Nmap:
# nmap -sUV -T4 -F --verzia-intenzita 0 linuxhint.com
Ako vidíte, skenovanie bolo jedno z 96.19 sekúnd proti 1091.37 v prvej jednoduchej vzorke.
Môžete tiež zrýchliť obmedzením pokusov a preskočením zisťovania a rozlíšenia hostiteľa, ako v nasledujúcom príklade:
# nmap -sU -pU: 123 -Pn -n --max-retries = 0 pošty.mercedes.gob.ar
Skenovanie kandidátov na RDDOS alebo Reflective Denial Of Service:
Nasledujúci príkaz obsahuje skripty NSE (Nmap Scripting Engine) ntp-monlist, dns-rekurzia a snmp-sysdescr na kontrolu cieľov citlivých na kandidátov Reflective Denial of Service Attacks, aby využili svoju šírku pásma. V nasledujúcom príklade sa kontrola spustí proti jedinému konkrétnemu cieľu (linuxhint.com):
# nmap -sU -A -PN -n -pU: 19,53,123,161 -script = ntp-monlist,dns-rekurzia, snmp-sysdescr linuxhint.com
Nasledujúci príklad prehľadá 50 hostiteľov od 64.91.238.100 až 64.91.238.150, 50 hostiteľov z posledného okteta, definujúci rozsah so spojovníkom:
# nmap -sU -A -PN -n -pU: 19,53,123,161 -script = ntp-monlist, dns-recursion,snmp-sysdescr 64.91.238.100 - 150
A výstup systému, ktorý môžeme použiť na reflexívny útok, sa javí ako:
Stručné úvod k protokolu UDP
Protokol UDP (User Datagram Protocol) je súčasťou balíka Internet Protocol Suite, je rýchlejší, ale nespoľahlivý v porovnaní s TCP (Transmission Control Protocol).
Prečo je protokol UDP rýchlejší ako protokol TCP?
Protokol TCP nadviaže spojenie na odosielanie paketov, proces nadviazania spojenia sa nazýva handshake. Bolo to jasne vysvetlené na Nmap Stealth Scan:
„Zvyčajne sa pri pripojení dvoch zariadení nadväzujú spojenia prostredníctvom procesu nazývaného trojcestné nadviazanie spojenia, ktorý pozostáva z 3 počiatočných interakcií: prvá požiadavka na pripojenie klienta alebo zariadenie požadujúce pripojenie, druhá potvrdenie zariadením, ku ktorému je pripojenie pripojené požadované a na treťom mieste konečné potvrdenie zo zariadenia, ktoré požadovalo pripojenie, napríklad:
-"Hej, počuješ ma?"?, môžeme sa stretnúť?“ (Paket SYN vyžadujúci synchronizáciu)
-"Ahoj!, vidím ťa!, môžeme sa stretnúť" (Kde „vidím ťa“ je paket ACK, „môžeme sa stretnúť“ paket SYN)
-„Skvelé!“ (Paket ACK) ”
Zdroj: https: // linuxhint.com / nmap_stealth_scan /
Protokol UDP naopak odosiela pakety bez predchádzajúcej komunikácie s cieľom, vďaka čomu je prenos paketov rýchlejší, pretože na ich odoslanie nemusí čakať. Jedná sa o minimalistický protokol bez oneskorenia opätovného prenosu pre opätovné odoslanie chýbajúcich údajov, protokol podľa výberu, keď je potrebná vysoká rýchlosť, napríklad VoIP, streamovanie, hranie hier atď. Tento protokol nemá spoľahlivosť a používa sa iba v prípade, že strata paketu nie je fatálna.
Hlavička UDP obsahuje informácie o zdrojovom porte, cieľovom porte, kontrolnom súčte a veľkosti.
Dúfam, že vám tento návod na skenovanie portov UDP bol užitočný. Postupujte podľa pokynov pre systém LinuxHint, kde nájdete ďalšie tipy a aktualizácie pre systém Linux a prácu v sieti.