mai*_*ash 3 security tcp udp inetd
为了启用回声服务,我们需要添加回声行,如下例:
more /etc/inetd.conf
echo stream tcp nowait root internal
echo dgram udp wait root internal
问题是关于启用回声服务的安全问题
当我们打开 echo 服务时,我的 linux 机器上是否有任何安全问题?
如果是,请说明打开 echo 服务时会出现哪些安全问题?
您不想启用dgram(UDP) 一个。
这允许攻击者让您的机器发送包含任何内容的 UDP 数据包,如果攻击者能够将带有欺骗性源地址的数据包发送给您,这意味着任何 UDP 数据包到任何目的地。
例如,如果攻击者执行以下操作:
packit -t UDP -s 10.10.10.10 -S 7 -d 10.10.10.11 -D 7 -p have-fun-with-that
其中10.10.10.11是你的IP地址和10.10.10.10是另一台机器的网络也有DGRAM的IP地址/ UDPecho启用的服务,然后将启动这两个(注之间的UDP连续乒乓球chargen,time和daytime(在大多数inetd实现中内置的服务中)有同样的问题,也应该避免)。
因此,通过只发送一个数据包(他可以再注入几个数据包让事情变得更糟),攻击者可以轻松地用尽两个受害者之间的整个带宽。
当您开始使用广播消息时,它会变得更加有趣。
即使您的网络不允许欺骗性数据包到达您身边(并且对于来自 Internet 的数据包,他们无法真正做到这一点),其他人也可能不会。因此,您可能仍然会被骗到与他们的乒乓球游戏中(充当受害者和不情愿的攻击者)。
启用 UDPecho服务(尤其是当您通过 Internet 公开它时)有点像自愿加入僵尸网络(僵尸网络操作仅限于发送任意 UDP 数据包)。
事实上,它允许任何echo有权访问您的服务的人让您在任何地方发送任何 UDP 数据包,这也意味着他们可以以您的名义做一些应受谴责的事情(例如禁止滥用您的 IP 地址)或可能绕过某些防火墙机制。
例如,如果您的机器有多个接口(并且未启用反向路径过滤),例如,一个地址为 10.0.0.1/24,另一个地址为 192.168.1.123/24,则主机 10.0.0.2 上的攻击者可以伪造NAT -PMP 数据包,源 192.168.1.1:5351,目标 10.0.0.1:7。并且您echo将被发送到 192.168.1.1,如果那是接受 NAT-PMP 的路由器/防火墙,则攻击者可以使用您的机器作为代理有效地在该防火墙中打孔(而不是 NAT-PMP 数据包,这也可能是SNMP PUT 数据包或任何其他类似上面提到的 ping-pong starter 数据包)。
问题echo在于它使用与接收到的数据相同的数据进行回复。这UDP回声已被ICMP取代echo(如发送ping命令),您有不同的ECHO_REQUEST和ECHO_REPLY包,而这些都是从UDP数据包不同。因此,欺骗不会造成太大伤害ECHO_REQUEST(但请参阅Smurf 攻击)。
更多阅读: