L'attaque RDDOS tire parti du manque de fiabilité du protocole UDP qui n'établit pas de connexion auparavant au transfert de paquets. Par conséquent, forger une adresse IP source est assez facile, cette attaque consiste à forger l'adresse IP de la victime lors de l'envoi de paquets à des services UDP vulnérables exploitant leur bande passante en les incitant à répondre à l'adresse IP de la victime, c'est RDDOS.
Certains des services vulnérables peuvent inclure:
Port UDP spécifique à la numérisation NMAP
Par défaut, NMAP omet un scan UDP, il peut être activé en ajoutant l'indicateur NMAP -su. Comme indiqué ci-dessus en ignorant les ports UDP, les vulnérabilités connues peuvent rester ignorées à l'utilisateur. Les sorties NMAP pour le scan UDP peuvent être ouvrir, ouvert | filtré, fermé et filtré.
ouvrir: Réponse UDP.
Ouver | filtré: pas de réponse.
fermé: Port ICMP Code d'erreur inaccessible 3.
filtré: Autres erreurs inaccessibles ICMP (type 3, code 1, 2, 9, 10 ou 13)
L'exemple suivant montre une analyse UDP simple sans indicateur supplémentaire autre que la spécification UDP et la verbosité pour voir le processus:
# nmap -su -v Linuxhint.com
La numérisation UDP ci-dessus a abouti à des résultats ouverts et filtrés et ouverts. Le sens de ouvert | filtré NMAP ne peut pas faire la distinction entre les ports ouverts et filtrés car comme les ports filtrés, les ports ouverts sont peu susceptibles d'envoyer des réponses. Contrairement au ouvert | filtré, le ouvrir Résultat signifie que le port spécifié a envoyé une réponse.
Pour utiliser NMAP pour scanner un port spécifique Utilisez le -p drapeau pour définir le port suivi du -su Indicateur pour activer la numérisation UDP avant de spécifier la cible, pour scanner LinuxHint pour le port NTP 123 UDP:
# nmap -p 123 -su Linuxhint.com
L'exemple suivant est une analyse agressive contre https: // gigopen.com
# nmap -su -t4 gigopen.com
Note: Pour plus d'informations sur l'intensité de scan avec l'indicateur -t4, vérifiez https: // livres.Google.com.ar / livres?id = ioaqbgaaqbaj & pg = pa106 & lpg = pa106 & d.
Les analyses UDP rendent la tâche de numérisation extrêmement lente, il existe des indicateurs qui peuvent aider à améliorer la vitesse de balayage. Les drapeaux -f (rapide), -Version-Intensité sont un exemple.
L'exemple suivant montre une augmentation de la vitesse de balayage en ajoutant ces indicateurs lors de la numérisation de Linuxhint.
Accélérer un scan UDP avec NMAP:
# nmap -SUV -T4 -F --version-Intensity 0 Linuxhint.com
Comme vous le voyez, le scan était un sur 96.19 secondes contre 1091.37 dans le premier échantillon simple.
Vous pouvez également accélérer en limitant les tentatives et en sautant la découverte de l'hôte et la résolution de l'hôte comme dans l'exemple suivant:
# nmap -su -pu: 123 -pn -n --max-retrys = 0 mail.Mercedes.gueule.ardente
Analyse des RDDO ou des candidats à la réflexion sur le déni de service:
La commande suivante comprend les scripts NSE (NMAP Scripting Engine) NTP-MONLIST, DNS-Recursion et snmp-sysdescr Pour vérifier les cibles vulnérables au refus de service de réflexion attaque les candidats pour exploiter leur bande passante. Dans l'exemple suivant, le scan est lancé sur une seule cible spécifique (Linuxhint.com):
# nmap -su -a -pn -n -pu: 19,53,123,161 -script = ntp-monlist,
DNS-Recursion, SNMP-Sysdescr Linuxhint.com
L'exemple suivant scanne 50 hôtes allant de 64.91.238.100 à 64.91.238.150, 50 hôtes du dernier octet, définissant la gamme avec un trait d'union:
# nmap -su -a -pn -n -pu: 19,53,123,161 -script = ntp-monlist, DNS-Recursion,
SNMP-Sysdescr 64.91.238.100-150
Et la sortie d'un système que nous pouvons utiliser pour une attaque réfléchissante semble:
Brève introduction au protocole UDP
Le protocole UDP (User Datagram Protocol) fait partie de la suite de protocoles Internet, il est plus rapide mais peu fiable par rapport à TCP (protocole de contrôle de transmission).
Pourquoi le protocole UDP est-il plus rapide que TCP?
Le protocole TCP établit une connexion pour envoyer des paquets, le processus d'établissement de connexion est appelé poignée de main. Il a été clairement expliqué à NMAP Stealth Scan:
«Habituellement, lorsque deux appareils se connectent, les connexions sont établies par un processus appelé poignée de main à trois voies qui se compose de 3 interactions initiales: premièrement d'une demande de connexion par le client ou l'appareil demandant la connexion, deuxième par une confirmation par l'appareil vers lequel la connexion est demandé et en troisième place une confirmation finale de l'appareil qui a demandé la connexion, quelque chose comme:
-«Hé, tu m'entends?, pouvons-nous nous rencontrer?" (Syn Packet demandant la synchronisation)
-"Salut!, je te vois!, nous pouvons nous rencontrer" (Où «I See You» est un paquet ACK, «Nous pouvons rencontrer» un paquet SYN)
-"Super!" (Paquet ACK) »
Source: https: // linuxhint.com / nmap_stealth_scan /
Contrairement à cela, le protocole UDP envoie les paquets sans communication antérieure avec la destination, ce qui rend le transfert des paquets plus rapidement car ils n'ont pas besoin d'attendre pour être envoyés. Il s'agit d'un protocole minimaliste sans retard de retransmission pour la retenue des données manquantes, le protocole par choix lorsque une vitesse élevée est nécessaire, comme la VoIP, le streaming, les jeux, etc. Ce protocole manque de fiabilité et il n'est utilisé que lorsque la perte de paquets n'est pas mortelle.
L'en-tête UDP contient des informations sur le port source, le port de destination, la somme de contrôle et la taille.
J'espère que vous avez trouvé ce tutoriel sur NMAP pour scanner les ports UDP utiles. Continuez à suivre Linuxhint pour plus de conseils et de mises à jour sur Linux et le réseautage.