Serangan RDDOS memanfaatkan kekurangan kebolehpercayaan protokol UDP yang tidak membuat sambungan sebelumnya ke pemindahan paket. Oleh itu memalsukan alamat IP sumber cukup mudah, serangan ini terdiri dari memalsukan alamat IP korban ketika mengirim paket ke perkhidmatan UDP yang rentan mengeksploitasi lebar jalur mereka dengan mendorong mereka membalas alamat IP mangsa, itu RDDOS.
Beberapa perkhidmatan yang rentan mungkin termasuk:
- CLDAP (Protokol Akses Direktori Ringan tanpa Sambungan)
- NetBIOS
- Protokol Penjana Karakter (CharGEN)
- SSDP (Protokol Penemuan Perkhidmatan Mudah)
- TFTP (Protokol Pemindahan Fail Trivial)
- DNS (Sistem Nama Domain)
- NTP (Protokol Masa Rangkaian)
- SNMPv2 (Protokol Pengurusan Rangkaian Ringkas versi 2)
- RPC (Portmap / Panggilan Prosedur Jauh)
- QOTD (Petikan Hari)
- mDNS (Sistem Nama Domain Multicast),
- Protokol Stim
- Routing Information Protocol versi 1 (RIPv1),
- Protokol Akses Direktori Ringan (LDAP)
- Memcached,
- Penemuan Dinamik Perkhidmatan Web (WS-Discovery).
Port UDP Khusus Nmap Scan
Secara lalai Nmap menghilangkan imbasan UDP, ia dapat diaktifkan dengan menambahkan bendera Nmap -sU. Seperti yang disenaraikan di atas dengan mengabaikan port UDP diketahui kelemahan mungkin tetap tidak dihiraukan oleh pengguna. Keluaran Nmap untuk imbasan UDP mungkin buka, buka | ditapis, ditutup dan ditapis.
buka: Sambutan UDP.
buka | ditapis: tiada jawapan.
ditutup: Pelabuhan ICMP tidak dapat dicapai kod ralat 3.
ditapis: Kesalahan ICMP lain yang tidak dapat dicapai (jenis 3, kod 1, 2, 9, 10 atau 13)
Contoh berikut menunjukkan imbasan UDP sederhana tanpa bendera tambahan selain spesifikasi dan verbositas UDP untuk melihat prosesnya:
# nmap -sU -v linuxhint.com
Imbasan UDP di atas menghasilkan hasil terbuka | disaring dan terbuka. Maksud buka | ditapis adakah Nmap tidak dapat membezakan antara port terbuka dan port yang disaring kerana seperti port yang disaring, port terbuka tidak mungkin menghantar respons. Berbeza dengan buka | ditapis, yang buka hasil bermaksud port yang ditentukan menghantar respons.
Untuk menggunakan Nmap untuk mengimbas port tertentu, gunakan -hlm
Contoh berikut adalah imbasan agresif terhadap https: // gigopen.com
# nmap -sU -T4 gigopen.com
Nota: untuk maklumat tambahan mengenai intensiti imbasan dengan tanda bendera -T4 https: // buku.google.com.ar / buku?id = iOAQBgAAQBAJ & pg = PA106 & lpg = PA106 & d.
Imbasan UDP menjadikan tugas pengimbasan menjadi sangat perlahan, terdapat beberapa bendera yang dapat membantu meningkatkan kelajuan imbasan. Bendera -F (Cepat), -rintangan-intensiti adalah contohnya.
Contoh berikut menunjukkan peningkatan kelajuan imbasan dengan menambahkan bendera ini semasa mengimbas LinuxHint.
Mempercepat imbasan UDP dengan Nmap:
# nmap -sUV -T4 -F --versi-intensiti 0 linuxhint.com
Seperti yang anda lihat imbasan adalah satu dari 96.19 saat berbanding 1091.37 dalam sampel mudah pertama.
Anda juga dapat mempercepat dengan membatasi percubaan semula dan melewatkan penemuan host dan resolusi host seperti dalam contoh seterusnya:
# nmap -sU -pU: 123 -Pn -n --max-retries = 0 mel.mercedes.gob.ar
Mengimbas calon RDDOS atau Reflective Denial Of Service:
Perintah berikut merangkumi skrip NSE (Nmap Scripting Engine) senarai nama ntp, dns-rekursi dan snmp-sysdescr untuk memeriksa sasaran yang rentan terhadap Reflective Denial of Service Attack calon untuk memanfaatkan lebar jalur mereka. Dalam contoh berikut, imbasan dilancarkan terhadap satu sasaran tertentu (linuxhint.com):
# nmap -sU -A -PN -n -pU: 19,53,123,161 -script = ntp-monlist,dns-recursion, snmp-sysdescr linuxhint.com
Contoh berikut mengimbas 50 hos antara 64.91.238.100 hingga 64.91.238.150, 50 hos dari oktet terakhir, menentukan julat dengan tanda hubung:
# nmap -sU -A -PN -n -pU: 19,53,123,161 -script = ntp-monlist, dns-recursion,snmp-sysdescr 64.91.238.100-150
Dan output sistem yang dapat kita gunakan untuk serangan reflektif sepertinya:
Pengenalan Ringkas kepada Protokol UDP
Protokol UDP (User Datagram Protocol) adalah sebahagian daripada Internet Protocol Suite, lebih pantas tetapi tidak boleh dipercayai jika dibandingkan dengan TCP (Transmission Control Protocol).
Mengapa Protokol UDP lebih cepat daripada TCP?
Protokol TCP mewujudkan sambungan untuk mengirim paket, proses pembentukan sambungan disebut jabat tangan. Ia dijelaskan dengan jelas di Imbasan Steam Nmap:
"Biasanya apabila dua peranti menyambung, sambungan dibuat melalui proses yang disebut tiga arah jabat tangan yang terdiri dari 3 interaksi awal: pertama permintaan sambungan oleh klien atau peranti yang meminta sambungan, kedua dengan pengesahan oleh peranti yang menghubungkannya diminta dan di tempat ketiga pengesahan akhir dari peranti yang meminta sambungan, seperti:
-"Hei, boleh awak dengar saya?, boleh kita berjumpa?" (Paket SYN meminta penyegerakan)
-"Hai!, saya nampak awak!, kita boleh bertemu " (Di mana "Saya melihat anda" adalah paket ACK, "kita dapat bertemu" paket SYN)
-"Hebat!" (Paket ACK) "
Sumber: https: // linuxhint.com / nmap_stealth_scan /
Berbeza dengan ini, protokol UDP mengirim paket tanpa komunikasi sebelumnya dengan tujuan, menjadikan pertukaran paket lebih cepat kerana mereka tidak perlu menunggu untuk dikirim. Ini adalah protokol minimalis tanpa penundaan penghantaran ulang untuk menghantar ulang data yang hilang, protokol dengan pilihan ketika kelajuan tinggi diperlukan, seperti VoIP, streaming, permainan, dll. Protokol ini kurang dipercayai dan hanya digunakan apabila kehilangan paket tidak membawa maut.
Header UDP mengandungi maklumat mengenai port sumber, port tujuan, checksum dan ukuran.
Saya harap anda dapati tutorial ini di Nmap untuk mengimbas port UDP berguna. Terus ikuti LinuxHint untuk mendapatkan lebih banyak petua dan kemas kini mengenai Linux dan rangkaian.