mai*_*ash 3 security tcp udp inetd
为了启用回声服务,我们需要添加回声行,如下例:
more /etc/inetd.conf
echo stream tcp nowait root internal
echo dgram udp wait root internal
Run Code Online (Sandbox Code Playgroud)
问题是关于启用回声服务的安全问题
当我们打开 echo 服务时,我的 linux 机器上是否有任何安全问题?
如果是,请说明打开 echo 服务时会出现哪些安全问题?
您不想启用dgram
(UDP) 一个。
这允许攻击者让您的机器发送包含任何内容的 UDP 数据包,如果攻击者能够将带有欺骗性源地址的数据包发送给您,这意味着任何 UDP 数据包到任何目的地。
例如,如果攻击者执行以下操作:
packit -t UDP -s 10.10.10.10 -S 7 -d 10.10.10.11 -D 7 -p have-fun-with-that
Run Code Online (Sandbox Code Playgroud)
其中10.10.10.11是你的IP地址和10.10.10.10是另一台机器的网络也有DGRAM的IP地址/ UDPecho
启用的服务,然后将启动这两个(注之间的UDP连续乒乓球chargen
,time
和daytime
(在大多数inetd
实现中内置的服务中)有同样的问题,也应该避免)。
因此,通过只发送一个数据包(他可以再注入几个数据包让事情变得更糟),攻击者可以轻松地用尽两个受害者之间的整个带宽。
当您开始使用广播消息时,它会变得更加有趣。
即使您的网络不允许欺骗性数据包到达您身边(并且对于来自 Internet 的数据包,他们无法真正做到这一点),其他人也可能不会。因此,您可能仍然会被骗到与他们的乒乓球游戏中(充当受害者和不情愿的攻击者)。
启用 UDPecho
服务(尤其是当您通过 Internet 公开它时)有点像自愿加入僵尸网络(僵尸网络操作仅限于发送任意 UDP 数据包)。
事实上,它允许任何echo
有权访问您的服务的人让您在任何地方发送任何 UDP 数据包,这也意味着他们可以以您的名义做一些应受谴责的事情(例如禁止滥用您的 IP 地址)或可能绕过某些防火墙机制。
例如,如果您的机器有多个接口(并且未启用反向路径过滤),例如,一个地址为 10.0.0.1/24,另一个地址为 192.168.1.123/24,则主机 10.0.0.2 上的攻击者可以伪造NAT -PMP 数据包,源 192.168.1.1:5351,目标 10.0.0.1:7。并且您echo
将被发送到 192.168.1.1,如果那是接受 NAT-PMP 的路由器/防火墙,则攻击者可以使用您的机器作为代理有效地在该防火墙中打孔(而不是 NAT-PMP 数据包,这也可能是SNMP PUT 数据包或任何其他类似上面提到的 ping-pong starter 数据包)。
问题echo
在于它使用与接收到的数据相同的数据进行回复。这UDP回声已被ICMP取代echo
(如发送ping
命令),您有不同的ECHO_REQUEST
和ECHO_REPLY
包,而这些都是从UDP数据包不同。因此,欺骗不会造成太大伤害ECHO_REQUEST
(但请参阅Smurf 攻击)。
更多阅读:
归档时间: |
|
查看次数: |
3550 次 |
最近记录: |