启用echo服务和linux安全漏洞问题

mai*_*ash 3 security tcp udp inetd

为了启用回声服务,我们需要添加回声行,如下例:

more /etc/inetd.conf


echo   stream  tcp     nowait  root    internal
echo   dgram   udp     wait    root    internal
Run Code Online (Sandbox Code Playgroud)

问题是关于启用回声服务的安全问题

当我们打开 echo 服务时,我的 linux 机器上是否有任何安全问题?

如果是,请说明打开 echo 服务时会出现哪些安全问题?

Sté*_*las 6

您不想启用dgram(UDP) 一个。

这允许攻击者让您的机器发送包含任何内容的 UDP 数据包,如果攻击者能够将带有欺骗性源地址的数据包发送给您,这意味着任何 UDP 数据包到任何目的地。

例如,如果攻击者执行以下操作:

packit -t UDP -s 10.10.10.10 -S 7 -d 10.10.10.11 -D 7 -p have-fun-with-that
Run Code Online (Sandbox Code Playgroud)

其中10.10.10.11是你的IP地址和10.10.10.10是另一台机器的网络也有DGRAM的IP地址/ UDPecho启用的服务,然后将启动这两个(注之间的UDP连续乒乓球chargentimedaytime(在大多数inetd实现中内置的服务中)有同样的问题,也应该避免)。

因此,通过只发送一个数据包(他可以再注入几个数据包让事情变得更糟),攻击者可以轻松地用尽两个受害者之间的整个带宽。

当您开始使用广播消息时,它会变得更加有趣。

即使您的网络不允许欺骗性数据包到达您身边(并且对于来自 Internet 的数据包,他们无法真正做到这一点),其他人也可能不会。因此,您可能仍然会被骗到与他们的乒乓球游戏中(充当受害者和不情愿的攻击者)。

启用 UDPecho服务(尤其是当您通过 Internet 公开它时)有点像自愿加入僵尸网络(僵尸网络操作仅限于发送任意 UDP 数据包)。

事实上,它允许任何echo有权访问您的服务的人让您在任何地方发送任何 UDP 数据包,这也意味着他们可以以您的名义做一些应受谴责的事情(例如禁止滥用您的 IP 地址)或可能绕过某些防火墙机制。

例如,如果您的机器有多个接口(并且未启用反向路径过滤),例如,一个地址为 10.0.0.1/24,另一个地址为 192.168.1.123/24,则主机 10.0.0.2 上的攻击者可以伪造NAT -PMP 数据包,源 192.168.1.1:5351,目标 10.0.0.1:7。并且您echo将被发送到 192.168.1.1,如果那是接受 NAT-PMP 的路由器/防火墙,则攻击者可以使用您的机器作为代理有效地在该防火墙中打孔(而不是 NAT-PMP 数据包,这也可能是SNMP PUT 数据包或任何其他类似上面提到的 ping-pong starter 数据包)。

问题echo在于它使用与接收到的数据相同的数据进行回复。这UDP回声已被ICMP取代echo(如发送ping命令),您有不同的ECHO_REQUESTECHO_REPLY包,而这些都是从UDP数据包不同。因此,欺骗不会造成太大伤害ECHO_REQUEST(但请参阅Smurf 攻击)。

更多阅读: