NMAP -skanningsspesifikk UDP -port
RDDOS -angrep utnytter mangelen på pålitelighet av UDP -protokollen som ikke oppretter en forbindelse tidligere til pakkeoverføringen. Derfor er det ganske enkelt å smi en kilde -IP -adresse, dette angrepet består av å smi offerets IP -adresse når du sender pakker til utsatte UDP -tjenester som utnytter båndbredden deres ved å be dem svare på offerets IP -adresse, det er RDDOS.
Noen av de sårbare tjenestene kan omfatte:
- CLDAP (Connection-Less Lightweight Directory Access Protocol)
- Netbios
- Karaktergeneratorprotokoll (Chargen)
- SSDP (Simple Service Discovery Protocol)
- TFTP (Trivial File Transfer Protocol)
- DNS (domenenavnssystem)
- NTP (Network Time Protocol)
- SNMPV2 (Simple Network Management Protocol versjon 2)
- RPC (portmap/ekstern prosedyreanrop)
- Qotd (sitat av dagen)
- MDNS (Multicast Domain Name System),
- Dampprotokoll
- Ruting Informasjonsprotokoll versjon 1 (RIPV1),
- Lightweight Directory Access Protocol (LDAP)
- Memcached,
- Web Services Dynamic Discovery (WS-Discovery).
NMAP -skanningsspesifikk UDP -port
Som standard utelater Nmap UDP -skanning, det kan aktiveres ved å legge til NMAP -flagget -su. Som oppført ovenfor ved å ignorere UDP -porter kan kjente sårbarheter forbli ignorert for brukeren. NMAP -utganger for UDP -skanning kan være åpen, Åpne | Filtrert, lukket og filtrert.
åpen: UDP -svar.
Åpne | Filtrert: ingen respons.
lukket: ICMP Port Utilgjengelig feilkode 3.
filtrert: Andre ICMP -uoppnåelige feil (type 3, kode 1, 2, 9, 10 eller 13)
Følgende eksempel viser en enkel UDP -skanning uten ekstra flagg annet enn UDP -spesifikasjonen og verbositeten for å se prosessen:
# nmap -su -v linuxhint.com
UDP -skanningen over resulterte i åpne | filtrerte og åpne resultater. Meningen med Åpne | Filtrert IS NMAP kan ikke skille mellom åpne og filtrerte porter, fordi det som filtrerte porter, er det lite sannsynlig at åpne porter vil sende svar. I motsetning til Åpne | Filtrert, de åpen Resultat betyr at den spesifiserte porten sendte et svar.
For å bruke NMAP for å skanne en spesifikk port, bruk -p flagg for å definere porten etterfulgt av -su Flagg for å aktivere UDP -skanning før du spesifiserer målet, for å skanne Linuxhint for 123 UDP NTP -portkjøringen:
# nmap -p 123 -su linuxhint.com
Følgende eksempel er en aggressiv skanning mot https: // gigopen.com
# nmap -su -t4 gigopen.com
Merk: For ytterligere informasjon om skanneintensiteten med Flag -T4 sjekk https: // bøker.Google.com.ar/bøker?id = ioaqbgaaqbaj & pg = pa106 & lpg = pa106 & d.
UDP -skanninger gjør skanneoppgaven ekstremt treg, det er noen flagg som kan bidra til å forbedre skannehastigheten. Flaggene -f (raske), -vers -intensitetsflaggene er et eksempel.
Følgende eksempel viser en økning i skannehastigheten ved å legge til disse flaggene når du skanner Linuxhint.
Fartsser en UDP -skanning med NMAP:
# nmap -suv -t4 -f --version -intensitet 0 linuxhint.com
Som du ser at skanningen var en i 96.19 sekunder mot 1091.37 i den første enkle prøven.
Du kan også fremskynde ved å begrense forsøk på nytt og hoppe over vertsoppdagelse og vertsoppløsning som i neste eksempel:
# nmap -su -pu: 123 -pn -n - -max -retries = 0 Mail.Mercedes.gob.ar
Skanning etter Rddos eller reflekterende benektelse av tjenestekandidater:
Følgende kommando inkluderer NSE (NMAP Scripting Engine) -skript NTP-monlist, DNS-RECURSION og SNMP-SysDescr For å se etter mål som er sårbare for reflekterende benektelse av tjenesteangrep, kan kandidater utnytte båndbredden. I det følgende eksemplet lanseres skanningen mot et enkelt spesifikt mål (Linuxhint.com):
# nmap -su -a -pn -n -pu: 19,53,123,161 -Script = NTP -monlist,
DNS-RECURSION, SNMP-SYSDESCR LINUXHINT.com
Følgende eksempel skanner 50 verter fra 64.91.238.100 til 64.91.238.150, 50 verter fra den siste oktetten, som definerer rekkevidden med bindestrek:
# nmap -su -a -pn -n -pu: 19,53,123,161 -Script = NTP -monlist, DNS -RECURSION,
SNMP-SYSDESCR 64.91.238.100-150
Og utgangen fra et system vi kan bruke til et reflekterende angrep virker som:
Kort introduksjon til UDP -protokollen
UDP (brukerdatagram -protokoll) -protokollen er en del av Internet Protocol Suite, den er raskere, men upålitelig sammenlignet med TCP (Transmission Control Protocol).
Hvorfor er UDP -protokollen raskere enn TCP?
TCP -protokollen etablerer en forbindelse for å sende pakker, tilkoblingsetableringsprosessen kalles håndtrykk. Det ble tydelig forklart ved NMAP stealth -skanning:
"Vanligvis når to enheter kobles til, etableres tilkoblinger gjennom en prosess som kalles treveis håndtrykk som består av 3 innledende interaksjoner: først av en tilkoblingsforespørsel fra klienten eller enheten som ber om tilkoblingen, andre ved en bekreftelse av enheten som tilkoblingen er forespurt og på tredjeplass en endelig bekreftelse fra enheten som ba om tilkoblingen, noe som:
-“Hei, kan du høre meg?, kan vi møtes?” (Synpakke som ber om synkronisering)
-”Hei!, jeg ser deg!, vi kan møte" (Hvor "jeg ser deg" er en ack -pakke, "vi kan møte" en synpakke)
-"Flott!” (ACK -pakke) ”
Kilde: https: // linuxhint.com/nmap_stealth_scan/
I motsetning til dette sender UDP -protokollen pakkene uten tidligere kommunikasjon med destinasjonen, noe som gjør pakkeroverføringen raskere siden de ikke trenger å vente på å bli sendt. Det er en minimalistisk protokoll uten forsinkelser i overføringen for å sende ut manglende data, protokollen etter valg når høy hastighet er nødvendig, for eksempel VoIP, streaming, spill osv. Denne protokollen mangler pålitelighet, og den brukes bare når pakketap ikke er dødelig.
UDP -overskriften inneholder informasjon om kildeport, destinasjonsport, kontrollsum og størrelse.
Jeg håper du fant denne opplæringen på NMAP for å skanne UDP -porter nyttig. Fortsett å følge Linuxhint for flere tips og oppdateringer om Linux og nettverksbygging.