Phenquestions
РДДОС напад користи недостатак поузданости УДП протокола који претходно не успоставља везу са преносом пакета. Стога је фалсификовање изворне ИП адресе прилично лако, овај напад се састоји од фалсификовања ИП адресе жртве приликом слања пакета рањивим УДП услугама које искориштавају њихов пропусни опсег подстичући их да одговоре на ИП адресу жртве, то је РДДОС.
Неке од осетљивих услуга могу да укључују:
- ЦЛДАП (лагани протокол за приступ директоријуму без везе)
- НетБИОС
- Протокол генератора знакова (ЦхарГЕН)
- ССДП (Симпле Сервице Дисцовери Протоцол)
- ТФТП (тривијални протокол за пренос датотека)
- ДНС (систем имена домена)
- НТП (Нетворк Тиме Протоцол)
- СНМПв2 (Симпле Нетворк Манагемент Протоцол верзија 2)
- РПЦ (Портмап / Ремоте Процедуре Цалл)
- КОТД (цитат дана)
- мДНС (систем вишенаменских имена домена),
- Стеам Протоцол
- Усмеравање протокола информација верзије 1 (РИПв1),
- Лагани протокол за приступ директоријуму (ЛДАП)
- Мемцацхед,
- Динамичко откривање веб услуга (ВС-Дисцовери).
Ума порт специфичан за Нмап Сцан
Нмап подразумевано изоставља УДП скенирање, то се може омогућити додавањем заставице Нмап -сУ. Као што је горе наведено игнорисањем УДП портова, познате рањивости могу остати занемарене за корисника. Нмап излази за УДП скенирање могу бити отворен, отворен | филтриран, затворено и филтрирано.
отворен: УДП одговор.
отворено | филтрирано: без одговора.
затворено: Шифра грешке ИЦМП порта недостижна 3.
филтрирано: Остале ИЦМП недоступне грешке (тип 3, код 1, 2, 9, 10 или 13)
Следећи пример приказује једноставно УДП скенирање без додатне заставице која није УДП спецификација и опширност да би се видео поступак:
# нмап -сУ -в линукхинт.цом
УДП скенирање изнад резултирало је отвореним | филтрираним и отвореним резултатима. Значење отворен | филтриран је да Нмап не може разликовати отворене и филтриране портове, јер попут филтрираних портова, отворени портови вероватно неће слати одговоре. Супротно отворен | филтриран, тхе отворен резултат значи да је наведени порт послао одговор.
Да бисте користили Нмап за скенирање одређеног порта, користите -стр
Следећи пример је агресивно скенирање против хттпс: // гигопен.цом
# нмап -сУ -Т4 гигопен.цом
Белешка: за додатне информације о интензитету скенирања ознаком -Т4 хттпс: // књиге.гоогле.цом.ар / књиге?ид = иОАКБгААКБАЈ & пг = ПА106 & лпг = ПА106 & д.
УДП скенирање чини задатак скенирања изузетно спорим, постоје неке заставице које могу помоћи у побољшању брзине скенирања. Пример су заставице -Ф (брзо), -интензитет верзије.
Следећи пример показује повећање брзине скенирања додавањем ових заставица приликом скенирања ЛинукХинта.
Убрзавање УДП скенирања помоћу Нмап:
# нмап -сУВ -Т4 -Ф --интензија верзије 0 линукхинт.цом
Као што видите, скенирање је било једно од 96.19 секунди против 1091.37 у првом једноставном узорку.
Такође можете убрзати ограничавањем поновних покушаја и прескакањем откривања и резолуције хоста као у следећем примеру:
# нмап -сУ -пУ: 123 -Пн -н --мак-ретриес = 0 маил.мерцедес.гоб.ар
Тражење кандидата за РДДОС или рефлективно ускраћивање услуге:
Следећа команда укључује скрипте НСЕ (Нмап Сцриптинг Енгине) нтп-монлист, днс-рекурзија и снмп-сисдесцр како би проверили да ли има циљева рањивих на рефлективне нападе ускраћивања услуге да кандидати искористе свој пропусни опсег. У следећем примеру скенирање се покреће према једном одређеном циљу (линукхинт.цом):
# нмап -сУ -А -ПН -н -пУ: 19,53,123,161 -сцрипт = нтп-монлист,днс-рекурзија, снмп-сисдесцр линукхинт.цом
Следећи пример скенира 50 хостова у распону од 64.91.238.100 до 64.91.238.150, 50 домаћина из последњег октета, дефинишући опсег цртицом:
# нмап -сУ -А -ПН -н -пУ: 19,53,123,161 -сцрипт = нтп-монлист, днс-рекурзија,снмп-сисдесцр 64.91.238.100-150
А излаз система који можемо користити за рефлективни напад изгледа као:
Кратки увод у УДП протокол
УДП (Усер Датаграм Протоцол) протокол је део Интернет Протоцол Суите-а, бржи је, али непоуздан у поређењу са ТЦП (Трансмиссион Цонтрол Протоцол).
Зашто је УДП протокол бржи од ТЦП-а?
ТЦП протокол успоставља везу за слање пакета, процес успостављања везе назива се руковање. То је јасно објашњено на Нмап Стеалтх Сцан:
„Обично када се два уређаја повежу, везе се успостављају путем процеса који се назива тросмерно руковање и који се састоји од 3 почетне интеракције: прва од захтева за повезивање од стране клијента или уређаја који захтева везу, друга од потврде од уређаја на који је веза затражио и на трећем месту коначну потврду од уређаја који је тражио везу, отприлике:
-„Хеј, чујеш ли ме?, можемо ли се упознати?” (СИН пакет захтева синхронизацију)
-"Здраво!, видим те!, можемо се упознати ” (Тамо где је „видим те“ пакет АЦК, „можемо да се сретнемо“ СИН пакет)
-"Велики!” (АЦК пакет) ”
Извор: хттпс: // линукхинт.цом / нмап_стеалтх_сцан /
Супротно овоме, УДП протокол шаље пакете без претходне комуникације са одредиштем, што убрзава пренос пакета јер не треба да чекају слање. То је минималистички протокол без одлагања поновног слања за поновно слање података који недостају, протокол по избору када је потребна велика брзина, као што су ВоИП, стреаминг, игре, итд. Овом протоколу недостаје поузданост и користи се само када губитак пакета није фаталан.
УДП заглавље садржи информације о изворном порту, одредишном порту, контролној суми и величини.
Надам се да вам је ово упутство на Нмапу за скенирање УДП портова корисно. Пратите ЛинукХинт за више савета и ажурирања о Линуку и умрежавању.
