启用echo服务和linux安全漏洞问题

启用echo服务和linux安全漏洞问题

为了启用回显服务,我们需要添加回显行,如下例所示:

more /etc/inetd.conf


echo   stream  tcp     nowait  root    internal
echo   dgram   udp     wait    root    internal

问题是关于启用回显服务的安全问题

当我们打开echo服务时,我的linux机器上是否存在安全问题?

如果是,请解释一下当echo服务开放时会出现哪些安全问题?

答案1

您不想启用dgram(UDP)。

这使得攻击者可以让您的机器发送包含任何内容的 UDP 数据包,如果攻击者能够将带有欺骗性源地址的数据包发送给您,则意味着可以将任何 UDP 数据包发送到任何目的地。

例如,如果攻击者这样做:

packit -t UDP -s 10.10.10.10 -S 7 -d 10.10.10.11 -D 7 -p have-fun-with-that

其中 10.10.10.11 是您的 IP 地址,10.10.10.10 是网络中也启用了 dgram/UDP 服务的另一台计算机的 IP 地址,echo那么这将在这两者之间启动连续的乒乓球(请注意 UDPchargen和(在大多数实现中内置的服务中)有同样的问题,也应该避免)。timedaytimeinetd

所以只需发送数据包(他可以注入更多数据包以使事情变得更糟),攻击者正在以最小的努力耗尽两个受害者之间的整个带宽。

当您开始使用广播消息时,它会变得更加有趣。

即使您的网络不允许欺骗数据包到达您(并且他们无法真正对来自互联网的数据包执行此操作),其他网络也可能不会。因此,您可能仍然会被欺骗与他们一起进行乒乓球游戏(充当受害者和不情愿的攻击者)。

启用 UDPecho服务(尤其是在互联网上公开它)有点像自愿加入僵尸网络(僵尸网络的操作仅限于发送任意 UDP 数据包)。

事实上,它允许任何有权访问您的echo服务的人让您向任何地方发送任何 UDP 数据包,这也意味着他们可以以您的名义做一些应受谴责的事情(例如禁止滥用您的 IP 地址)或可能绕过某些防火墙机制。

例如,如果您的机器有多个接口(并且反向路径过滤未启用),例如,一个地址为 10.0.0.1/24,另一个地址为 192.168.1.123/24,主机 10.0.0.2 上的攻击者可以伪造一个NAT-PMP数据包源地址为 192.168.1.1:5351,目标地址为 10.0.0.1:7。您echo将被发送到 192.168.1.1,如果这是接受 NAT-PMP 的路由器/防火墙,攻击者可以使用您的计算机作为代理(而不是 NAT-PMP 数据包,也可以是SNMP PUT 数据包或任何其他类似于上面引发的乒乓启动数据包)。

问题echo是它回复的数据与收到的数据相同。该 UDP 回显已被 ICMP echo(由ping命令发送)取代,其中您有不同的ECHO_REQUESTECHO_REPLY数据包,并且这些数据包与 UDP 数据包不同。因此,一个人不会用欺骗造成太大伤害ECHO_REQUEST(请参阅蓝精灵攻击尽管)。

更多阅读:

相关内容