Phenquestions
RDDOS-Angriff nutzt die mangelnde Zuverlässigkeit des UDP-Protokolls, das keine Verbindung vor der Paketübertragung herstellt. Daher ist das Fälschen einer Quell-IP-Adresse ziemlich einfach. Dieser Angriff besteht darin, die IP-Adresse des Opfers zu fälschen, wenn Pakete an anfällige UDP-Dienste gesendet werden, die deren Bandbreite ausnutzen, indem sie aufgefordert werden, auf die IP-Adresse des Opfers zu antworten, das ist RDDOS.
Einige der anfälligen Dienste können sein:
- CLDAP (Verbindungsloses Lightweight Directory Access Protocol)
- NetBIOS
- Zeichengeneratorprotokoll (CharGEN)
- SSDP (Simple Service Discovery Protocol)
- TFTP (Trivial File Transfer Protocol)
- DNS (Domain Name System)
- NTP (Network Time Protocol)
- SNMPv2 (Simple Network Management Protocol Version 2)
- RPC (Portmap/Remote-Prozeduraufruf)
- QOTD (Zitat des Tages)
- mDNS (Multicast-Domain-Name-System),
- Steam-Protokoll
- Routing-Informationsprotokoll Version 1 (RIPv1),
- Lightweight Directory Access Protocol (LDAP)
- Memcached,
- Dynamische Erkennung von Webdiensten (WS-Discovery).
Nmap Scan Spezifischer UDP-Port
Standardmäßig lässt Nmap den UDP-Scan aus, er kann durch Hinzufügen des Nmap-Flags aktiviert werden -sU. Wie oben aufgeführt, können durch das Ignorieren von UDP-Ports bekannte Schwachstellen für den Benutzer ignoriert werden. Nmap-Ausgaben für UDP-Scan können sein öffnen, öffnen|gefiltert, geschlossen und gefiltert.
öffnen: UDP-Antwort.
öffnen|gefiltert: keine Antwort.
geschlossen: ICMP-Port nicht erreichbarer Fehlercode 3.
gefiltert: Andere nicht erreichbare ICMP-Fehler (Typ 3, Code 1, 2, 9, 10 oder 13)
Das folgende Beispiel zeigt einen einfachen UDP-Scan ohne zusätzliches Flag außer der UDP-Spezifikation und Ausführlichkeit, um den Prozess anzuzeigen:
# nmap -sU -v linuxhint.com
Der obige UDP-Scan führte zu offenen|gefilterten und offenen Ergebnissen. Die Bedeutung von öffnen|gefiltert Nmap kann nicht zwischen offenen und gefilterten Ports unterscheiden, da offene Ports wie gefilterte Ports wahrscheinlich keine Antworten senden send. Im Gegensatz zu den öffnen|gefiltert, das öffnen result bedeutet, dass der angegebene Port eine Antwort gesendet hat.
Um Nmap zum Scannen eines bestimmten Ports zu verwenden, verwenden Sie die -p
Das folgende Beispiel ist ein aggressiver Scan gegen https://gigopen.com
# nmap -sU -T4 gigopen.com
Hinweis: für zusätzliche Informationen zur Scanintensität mit dem Flag -T4 check https://bücher.Google.com.ar/Bücher?id=iOAQBgAAQBAJ&pg=PA106&lpg=PA106&d.
UDP-Scans machen die Scan-Aufgabe extrem langsam, es gibt einige Flags, die helfen können, die Scan-Geschwindigkeit zu verbessern. Die Flags -F (Fast), -version-intensity sind ein Beispiel.
Das folgende Beispiel zeigt eine Erhöhung der Scangeschwindigkeit durch Hinzufügen dieser Flags beim Scannen von LinuxHint.
Einen UDP-Scan mit Nmap beschleunigen:
# nmap -sUV -T4 -F --version-intensity 0 linuxhint.com
Wie Sie sehen, war der Scan eins in 96.19 Sekunden gegen 1091.37 in der ersten einfachen Probe.
Sie können die Geschwindigkeit auch beschleunigen, indem Sie die Wiederholungsversuche einschränken und die Hosterkennung und Hostauflösung überspringen, wie im nächsten Beispiel:
# nmap -sU -pU:123 -Pn -n --max-retries=0 mail.Mercedes.gob.ar
Scannen nach RDDOS- oder reflektiven Denial-of-Service-Kandidaten:
Der folgende Befehl enthält die NSE-Skripte (Nmap Scripting Engine) ntp-monlist, DNS-Rekursion und snmp-sysdescr um nach Zielen zu suchen, die für Reflective Denial-of-Service-Angriffe anfällig sind, um ihre Bandbreite auszunutzen. Im folgenden Beispiel wird der Scan für ein einzelnes spezifisches Ziel gestartet (linuxhint.com):
# nmap -sU -A -PN -n -pU:19,53,123,161 -script=ntp-monlist,dns-rekursion, snmp-sysdescr linuxhint.com
Das folgende Beispiel scannt 50 Hosts im Bereich von 64.91.238.100 bis 64.91.238.150, 50 Hosts aus dem letzten Oktett, wobei der Bereich mit einem Bindestrich definiert wird:
# nmap -sU -A -PN -n -pU:19,53,123,161 -script=ntp-monlist,dns-recursion,snmp-sysdescr 64.91.238.100-150
Und die Ausgabe eines Systems, das wir für einen reflektierenden Angriff verwenden können, sieht so aus:
Kurze Einführung in das UDP-Protokoll
Das UDP (User Datagram Protocol) Protokoll ist Teil der Internet Protocol Suite, es ist schneller aber unzuverlässig im Vergleich zu TCP (Transmission Control Protocol).
Warum ist das UDP-Protokoll schneller als TCP??
Das TCP-Protokoll baut eine Verbindung zum Senden von Paketen auf, der Verbindungsaufbau wird als Handshake bezeichnet. Es wurde klar erklärt bei Nmap Stealth-Scan:
"Wenn sich zwei Geräte verbinden, werden die Verbindungen normalerweise durch einen Prozess namens Drei-Wege-Handshake hergestellt, der aus drei anfänglichen Interaktionen besteht: erstens aus einer Verbindungsanfrage durch den Client oder das Gerät, das die Verbindung anfordert, zweitens durch eine Bestätigung durch das Gerät, mit dem die Verbindung hergestellt wird angefordert und an dritter Stelle eine abschließende Bestätigung des Geräts, das die Verbindung angefordert hat, etwa:
-„Hey, kannst du mich hören??, können wir uns treffen?” (SYN-Paket fordert Synchronisation an)
-"Hallo!, ich sehe Sie!, wir können uns treffen" (Wo „I see you“ ein ACK-Paket ist, „we can meet“ ein SYN-Paket)
-"Groß!” (ACK-Paket)“
Quelle: https://linuxhint.com/nmap_stealth_scan/
Im Gegensatz dazu sendet das UDP-Protokoll die Pakete ohne vorherige Kommunikation mit dem Ziel, was die Übertragung der Pakete beschleunigt, da sie nicht warten müssen, bis sie gesendet werden. Es ist ein minimalistisches Protokoll ohne Verzögerungen bei der erneuten Übertragung zum erneuten Senden fehlender Daten, das Protokoll nach Wahl, wenn hohe Geschwindigkeit erforderlich ist, wie VoIP, Streaming, Gaming usw. Diesem Protokoll mangelt es an Zuverlässigkeit und es wird nur verwendet, wenn Paketverluste nicht tödlich sind.
Der UDP-Header enthält Informationen zu Quellport, Zielport, Prüfsumme und Größe.
Ich hoffe, Sie fanden dieses Tutorial auf Nmap zum Scannen von UDP-Ports nützlich. Folgen Sie LinuxHint für weitere Tipps und Updates zu Linux und Netzwerken.
