由于 Akamais 安全团队最近注意到使用原始 RIP(有分类,已弃用)的反射攻击有所增加,我很想知道此处网络段内运行的某些 CPE 是否仍易受此类滥用。我强烈怀疑有相当多的某种型号的设备存在此类问题。
我的问题是 NMAP 无法确定端口是否已关闭或被 UDP 过滤。
nmap -p 520 -v -sU -Pn ??.??.0.0/13
这将产生
520/udp 打开|过滤路由
在每个地址上。
我可以进行什么调整才能以这种方式进行正确探测?
答案1
从 5.35DC1 版本开始,Nmap 已经包含一个UDP 负载对于 RIPv1,扫描 UDP 端口 520 时发送:
# Routing Information Protocol version 1. Special-case request for the entire
# routing table (address family 0, address 0.0.0.0, metric 16). RFC 1058,
# section 3.4.1.
udp 520
"\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x10"
这个 24 字节的请求旨在引出 RIPv1 服务的响应,应该与攻击者用于 DDoS 反射的请求相同。当 Nmap 收到响应此探测的数据包时,它会将端口标记为open。
如果你发现此有效载荷存在缺陷,请发送更正至[电子邮件保护]以便其他用户可以受益。如果您的 Nmap 版本不包含 nmap-payloads 文件,请更新至最新版本。