denne tutorial starter med at vise, hvordan man udfører UDP-scanninger og identificerer sårbare kandidater til at udføre rddos-angreb (Reflective Denial of Service). Denne tutorial er optimeret til læsere på udkig efter en hurtig implementering. For lidt teoretisk information om UDP-protokollen, tjek slutningen af artiklen, kan du også læse Nmap-flag og hvad de gør, før du fortsætter.
RDDOS-angreb drager fordel af den manglende pålidelighed af UDP-protokollen, som ikke opretter en forbindelse tidligere til pakkeoverførslen. Derfor er smedning af en kilde-IP-adresse ret let, dette angreb består i at smede offerets IP-adresse, når du sender pakker til sårbare UDP-tjenester, der udnytter deres båndbredde ved at bede dem om at svare på offerets IP-adresse, Det er RDDOS.
nogle af de sårbare tjenester kan omfatte:
- CLDAP (forbindelse-mindre letvægts Biblioteksadgangsprotokol)
- NetBIOS
- Tegngeneratorprotokol (CharGEN)
- SSDP(Simple Service Discovery Protocol)
- TFTP (Trivial File Transfer Protocol)
- DNS (Domain Name System)
- NTP (Netværkstidsprotokol)
- SNMPv2 (Simple Netværksstyringsprotokol version 2)
- RPC (portmap/Remote Procedure Call)
- citat (Dagens citat)
- mDNS (multicast Domain Name System),
- Steam Protocol
- Routing Information Protocol version 1 (RIPV1),
- letvægts Directory Access Protocol (LDAP)
- Memcached,
- internettjenester dynamisk opdagelse.
Nmap Scan specifik UDP port
som standard Nmap udelader UDP scanning, kan det aktiveres ved at tilføje Nmap flag-sU. Som anført ovenfor ved at ignorere UDP porte kendte sårbarheder kan forblive ignoreret til brugeren. Nmap-udgange til UDP-scanning kan være åbne, åbne|filtrerede, lukkede og filtrerede.
åben: UDP-svar.
åben / filtreret: intet svar.
lukket: ICMP port uopnåelig fejlkode 3.
filtreret: Andre ICMP-uopnåelige fejl (type 3, Kode 1, 2, 9, 10 eller 13)
følgende eksempel viser en simpel UDP-scanning uden yderligere flag bortset fra UDP-specifikationen og verbositet for at se processen:
UDP-scanningen ovenfor resulterede i åbne|filtrerede og åbne resultater. Betydningen af åben / filtreret er Nmap kan ikke skelne mellem åbne og filtrerede porte, fordi ligesom filtrerede porte er åbne porte usandsynligt at sende svar. I modsætning til det åbne|filtrerede betyder det åbne resultat, at den angivne port sendte et svar.
for at bruge Nmap til at scanne en bestemt port skal du bruge-p<port> flag for at definere porten efterfulgt af-sU-flag for at aktivere UDP-scanning, før du angiver målet, for at scanne Linukshint for 123 UDP NTP-portkørslen:
følgende eksempel er en aggressiv scanning mod https://gigopen.com
Bemærk: for yderligere oplysninger om scanningsintensiteten med flag-T4 checkhttps://books.google.com.ar/books?id=iOAQBgAAQBAJ&pg=PA106&lpg=PA106&d.
UDP-scanninger gør scanningsopgaven ekstremt langsom, der er nogle flag, der kan hjælpe med at forbedre scanningshastigheden. –F (Fast),-version-intensitet flag er et eksempel.
følgende eksempel viser en stigning i scanningshastigheden ved at tilføje disse flag, når du scanner.
fremskynde en UDP-scanning med Nmap:
som du ser, var scanningen en i 96.19 sekunder mod 1091.37 i den første enkle prøve.
Du kan også fremskynde ved at begrænse forsøg igen og springe over værtsopdagelse og værtsopløsning som i det næste eksempel:
Scanning for rddos eller Reflective Denial of Service kandidater:
følgende kommando inkluderer nse (Nmap Scripting Engine) scripts ntp-monlist, dns-rekursion og snmp-sysdescr for at kontrollere for mål, der er sårbare over for reflekterende Denial of Service-angreb kandidater til at udnytte deres båndbredde. I det følgende eksempel startes scanningen mod et enkelt specifikt mål (linuxhint.com):
dns-rekursion,snmp-sysdescr-linje.com
følgende eksempel scanner 50 værter fra 64.91.238.100 til 64.91.238.150, 50 værter fra den sidste oktet, der definerer området med en bindestreg:
SNMP-sysdescr 64.91.238.100-150
og output fra et system, vi kan bruge til en reflekterende angreb virker som:
kort introduktion til UDP-protokollen
UDP-protokollen (User Datagram Protocol) er en del af Internet Protocol Suite, den er hurtigere, men upålidelig sammenlignet med TCP (Transmission Control Protocol).
hvorfor er UDP-protokollen hurtigere end TCP?
TCP-protokollen opretter en forbindelse til at sende pakker, forbindelsesoprettelsesprocessen kaldes håndtryk. Det blev tydeligt forklaret ved Nmap Stealth Scan:
” normalt når to enheder opretter forbindelse, oprettes forbindelser gennem en proces kaldet trevejs håndtryk, der består af 3 indledende interaktioner: først af en forbindelsesanmodning fra klienten eller enheden, der anmoder om forbindelsen, for det andet ved en bekræftelse fra den enhed, som forbindelsen anmodes om, og på tredjepladsen en endelig bekræftelse fra enheden, der anmodede om forbindelsen, noget som:
-“Hej, kan du høre mig?, kan vi mødes?”(SYN-pakke, der anmoder om synkronisering)
– ” Hej!, Jeg ser dig!, vi kan mødes” (hvor “jeg ser dig” er en ACK-pakke, “vi kan møde” en SYN-pakke)
– “fantastisk!”(ACK packet)”
kilde: https://linuxhint.com/nmap_stealth_scan/
i modsætning til dette sender UDP-protokollen pakkerne uden tidligere kommunikation med destinationen, hvilket gør pakkerne overførsel hurtigere, da de ikke behøver at vente på at blive sendt. Det er en minimalistisk protokol uden forsinkelser i videresendelse af manglende data, protokollen efter eget valg, når der er behov for høj hastighed, såsom VoIP, streaming, spil osv. Denne protokol mangler pålidelighed, og den bruges kun, når pakketab ikke er dødeligt.