通过 NMAP 检测 RIPv1

通过 NMAP 检测 RIPv1

由于 Akamais 安全团队最近注意到使用原始 RIP(有分类,已弃用)的反射攻击有所增加,我很想知道此处网络段内运行的某些 CPE 是否仍易受此类滥用。我强烈怀疑有相当多的某种型号的设备存在此类问题。

我的问题是 NMAP 无法确定端口是否已关闭或被 UDP 过滤。

nmap -p 520 -v -sU -Pn ??.??.0.0/13

这将产生

520/udp 打开|过滤路由

在每个地址上。

我可以进行什么调整才能以这种方式进行正确探测?

答案1

从 5.35DC1 版本开始,Nmap 已经包含一个UDP 负载对于 RIPv1,扫描 UDP 端口 520 时发送:

# Routing Information Protocol version 1. Special-case request for the entire
# routing table (address family 0, address 0.0.0.0, metric 16). RFC 1058,
# section 3.4.1.
udp 520
  "\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
  "\x00\x00\x00\x00\x00\x00\x00\x10"

这个 24 字节的请求旨在引出 RIPv1 服务的响应,应该与攻击者用于 DDoS 反射的请求相同。当 Nmap 收到响应此探测的数据包时,它会将端口标记为open

如果你发现此有效载荷存在缺陷,请发送更正至[电子邮件保护]以便其他用户可以受益。如果您的 Nmap 版本不包含 nmap-payloads 文件,请更新至最新版本

相关内容