Phenquestions
Атака RDDOS использует недостаточную надежность протокола UDP, который не устанавливает соединение до передачи пакета. Следовательно, подделка IP-адреса источника довольно проста, эта атака состоит из подделки IP-адреса жертвы при отправке пакетов уязвимым UDP-службам, использующим их пропускную способность, предлагая им ответить на IP-адрес жертвы, это RDDOS.
Некоторые из уязвимых сервисов могут включать:
- CLDAP (облегченный протокол доступа к каталогам без подключения)
- NetBIOS
- Протокол генератора символов (CharGEN)
- SSDP (простой протокол обнаружения служб)
- TFTP (простой протокол передачи файлов)
- DNS (система доменных имен)
- NTP (сетевой протокол времени)
- SNMPv2 (простой протокол сетевого управления версии 2)
- RPC (карта портов / удаленный вызов процедур)
- QOTD (Цитата дня)
- mDNS (многоадресная система доменных имен),
- Steam Протокол
- Протокол информации о маршрутизации версии 1 (RIPv1),
- Облегченный протокол доступа к каталогам (LDAP)
- Memcached,
- Динамическое обнаружение веб-служб (WS-Discovery).
Nmap Scan Определенный порт UDP
По умолчанию Nmap не использует сканирование UDP, его можно включить, добавив флаг Nmap -ю. Как указано выше, при игнорировании портов UDP известные уязвимости могут игнорироваться пользователем. Выходы Nmap для сканирования UDP могут быть открыто, открыть | отфильтровано, закрыто а также фильтрованный.
открыто: UDP ответ.
открыть | отфильтровано: нет ответа.
закрыто: Код ошибки недоступности порта ICMP 3.
отфильтровано: Другие ошибки недоступности ICMP (тип 3, код 1, 2, 9, 10 или 13)
В следующем примере показано простое сканирование UDP без дополнительных флагов, кроме спецификации и подробности UDP, чтобы увидеть процесс:
# nmap -sU -v linuxhint.ком
Приведенное выше сканирование UDP привело к открытому | отфильтрованному и открытому результатам. Значение открыть | отфильтровано Nmap не может различать открытые и отфильтрованные порты, потому что, как и отфильтрованные порты, открытые порты вряд ли будут отправлять ответы. В отличие от открыть | отфильтровано, в открыто результат означает, что указанный порт отправил ответ.
Чтобы использовать Nmap для сканирования определенного порта, используйте -п
Следующий пример - агрессивное сканирование https: // гигопен.ком
# nmap -sU -T4 гигопен.ком
Примечание: для получения дополнительной информации об интенсивности сканирования с помощью флажка -T4 check https: // книги.Google.ком.ar / books?id = iOAQBgAAQBAJ & pg = PA106 & lpg = PA106 & d.
Сканирование UDP делает задачу сканирования чрезвычайно медленной, есть некоторые флаги, которые могут помочь улучшить скорость сканирования. Флаги -F (Быстро), -версия-интенсивность являются примером.
В следующем примере показано увеличение скорости сканирования за счет добавления этих флагов при сканировании LinuxHint.
Ускорение сканирования UDP с помощью Nmap:
# nmap -sUV -T4 -F --version-density 0 linuxhint.ком
Как видите, сканирование было одно из 96.19 секунд против 1091.37 в первом простом примере.
Вы также можете ускорить, ограничив повторные попытки и пропустив обнаружение хоста и разрешение хоста, как в следующем примере:
# nmap -sU -pU: 123 -Pn -n --max-retries = 0 почты.мерседес.капля.ар
Поиск кандидатов на RDDOS или Reflective Denial Of Service:
Следующая команда включает скрипты NSE (Nmap Scripting Engine) ntp-monlist, dns-рекурсия а также snmp-sysdescr для проверки целей, уязвимых для кандидатов Reflective Denial of Service Attacks, для использования их пропускной способности. В следующем примере сканирование запускается против одной конкретной цели (linuxhint.com):
# nmap -sU -A -PN -n -pU: 19,53,123,161 -script = ntp-monlist,DNS-рекурсия, snmp-sysdescr linuxhint.ком
В следующем примере сканируется 50 хостов в диапазоне от 64.91.238.От 100 до 64.91.238.150, 50 хостов из последнего октета, определяя диапазон дефисом:
# nmap -sU -A -PN -n -pU: 19,53,123,161 -script = ntp-monlist, dns-recursion,snmp-sysdescr 64.91.238.100–150
И вывод системы, который мы можем использовать для отражающей атаки, выглядит так:
Краткое введение в протокол UDP
Протокол UDP (User Datagram Protocol) является частью Internet Protocol Suite, он быстрее, но ненадежен по сравнению с TCP (протокол управления передачей).
Почему протокол UDP быстрее TCP?
Протокол TCP устанавливает соединение для отправки пакетов, процесс установления соединения называется рукопожатием. Это было ясно объяснено на Nmap Stealth Scan:
«Обычно, когда два устройства подключаются, соединения устанавливаются посредством процесса, называемого трехсторонним рукопожатием, который состоит из трех начальных взаимодействий: первое - запрос соединения со стороны клиента или устройства, запрашивающего соединение, второе - посредством подтверждения устройством, с которым установлено соединение. запросил и, в-третьих, окончательное подтверждение от устройства, которое запросило соединение, что-то вроде:
-«Эй, ты меня слышишь??, мы можем встретиться?” (SYN-пакет, запрашивающий синхронизацию)
-"Привет!, Я тебя вижу!, мы можем встретиться" (Где «Я вижу тебя» - это пакет ACK, «мы можем встретить» - пакет SYN)
-"Большой!” (Пакет ACK) »
Источник: https: // linuxhint.ru / nmap_stealth_scan /
В отличие от этого протокол UDP отправляет пакеты без предварительной связи с местом назначения, что ускоряет передачу пакетов, поскольку им не нужно ждать отправки. Это минималистичный протокол без задержек повторной передачи для повторной отправки недостающих данных, протокол по выбору, когда требуется высокая скорость, например, VoIP, потоковая передача, игры и т. Д. Этому протоколу не хватает надежности, и он используется только тогда, когда потеря пакетов не является фатальной.
Заголовок UDP содержит информацию об исходном порте, порте назначения, контрольной сумме и размере.
Надеюсь, вы нашли это руководство по Nmap для сканирования UDP-портов полезным. Следите за LinuxHint для получения дополнительных советов и обновлений по Linux и сети.
