为了启用回显服务,我们需要添加回显行,如下例所示:
more /etc/inetd.conf
echo stream tcp nowait root internal
echo dgram udp wait root internal
问题是关于启用回显服务的安全问题
当我们打开echo服务时,我的linux机器上是否存在安全问题?
如果是,请解释一下当echo服务开放时会出现哪些安全问题?
答案1
您不想启用dgram
(UDP)。
这使得攻击者可以让您的机器发送包含任何内容的 UDP 数据包,如果攻击者能够将带有欺骗性源地址的数据包发送给您,则意味着可以将任何 UDP 数据包发送到任何目的地。
例如,如果攻击者这样做:
packit -t UDP -s 10.10.10.10 -S 7 -d 10.10.10.11 -D 7 -p have-fun-with-that
其中 10.10.10.11 是您的 IP 地址,10.10.10.10 是网络中也启用了 dgram/UDP 服务的另一台计算机的 IP 地址,echo
那么这将在这两者之间启动连续的乒乓球(请注意 UDPchargen
和(在大多数实现中内置的服务中)有同样的问题,也应该避免)。time
daytime
inetd
所以只需发送一数据包(他可以注入更多数据包以使事情变得更糟),攻击者正在以最小的努力耗尽两个受害者之间的整个带宽。
当您开始使用广播消息时,它会变得更加有趣。
即使您的网络不允许欺骗数据包到达您(并且他们无法真正对来自互联网的数据包执行此操作),其他网络也可能不会。因此,您可能仍然会被欺骗与他们一起进行乒乓球游戏(充当受害者和不情愿的攻击者)。
启用 UDPecho
服务(尤其是在互联网上公开它)有点像自愿加入僵尸网络(僵尸网络的操作仅限于发送任意 UDP 数据包)。
事实上,它允许任何有权访问您的echo
服务的人让您向任何地方发送任何 UDP 数据包,这也意味着他们可以以您的名义做一些应受谴责的事情(例如禁止滥用您的 IP 地址)或可能绕过某些防火墙机制。
例如,如果您的机器有多个接口(并且反向路径过滤未启用),例如,一个地址为 10.0.0.1/24,另一个地址为 192.168.1.123/24,主机 10.0.0.2 上的攻击者可以伪造一个NAT-PMP数据包源地址为 192.168.1.1:5351,目标地址为 10.0.0.1:7。您echo
将被发送到 192.168.1.1,如果这是接受 NAT-PMP 的路由器/防火墙,攻击者可以使用您的计算机作为代理(而不是 NAT-PMP 数据包,也可以是SNMP PUT 数据包或任何其他类似于上面引发的乒乓启动数据包)。
问题echo
是它回复的数据与收到的数据相同。该 UDP 回显已被 ICMP echo
(由ping
命令发送)取代,其中您有不同的ECHO_REQUEST
和ECHO_REPLY
数据包,并且这些数据包与 UDP 数据包不同。因此,一个人不会用欺骗造成太大伤害ECHO_REQUEST
(请参阅蓝精灵攻击尽管)。
更多阅读: