エコサービスの有効化とLinuxセキュリティの脆弱性の問題

エコサービスの有効化とLinuxセキュリティの脆弱性の問題

エコサービスを有効にするには、次の例のようにエコラインを追加する必要があります。

more /etc/inetd.conf


echo   stream  tcp     nowait  root    internal
echo   dgram   udp     wait    root    internal

問題は、エコサービスの有効化のセキュリティ問題に関するものです。

エコサービスをオンにするとLinuxシステムにセキュリティ上の問題がありますか?

その場合、エコサービスが開かれるとどのようなセキュリティ問題が発生するかを説明してください。

答え1

(UDP)を有効にしたくありませんdgram

これにより、攻撃者はあなたのコンピュータから何でも埋め込まれたUDPパケットを送信する可能性があります。これは、攻撃者がなりすましソースアドレスを含むパケットを送信できる場合、すべてのUDPパケットがすべての宛先に送信される可能性があることを意味します。

たとえば、攻撃者が次のことを行うとします。

packit -t UDP -s 10.10.10.10 -S 7 -d 10.10.10.11 -D 7 -p have-fun-with-that

10.10.10.11があなたのIPアドレスであり、10.10.10.10がネットワークでdgram / UDPサービスが有効になっている他のコンピュータのIPアドレスである場合、2つのコンピュータ間でecho継続的なピンポンが開始されます(UDPchargenおよびほとんどの実装に組み込まれているサービスと同じ問題があるので避けるべきです)。timedaytimeinetd

だから送ってください。一つより多くのパケットを注入すると(状況を悪化させるためにより多くのパケットを注入する可能性があります)、攻撃者は最小限の労力で2つの被害者間の全帯域幅を使用しています。

ブロードキャストメッセージを使い始めるともっと面白くなります。

あなたのネットワークがなりすましパケットがあなたに到達することを許可しなくても(そして実際にインターネットからの着信パケットではこれを行うことはできません)、他のネットワークではおそらくそうではありません。したがって、あなたはまだ彼らと一緒に卓球ゲームをプレイすることを欺くことができます(被害者の役割と望ましくない攻撃者の役割)。

UDPechoサービスの有効化(特にインターネットへの公開)は、自発的にボットネットに参加するのと似ています(ボットネットの操作は任意のUDPパケット転送に制限されています)。

あなたのサービスにアクセスできる人は誰でもUDPパケットをどこにでも送ることができるという事実は、echo彼らがあなたに代わって責任を負う可能性がある(IPアドレスの乱用など)、または特定のファイアウォールメカニズムを迂回する可能性があることを意味します。

たとえば、コンピュータに複数のインターフェイスがある場合(そしてリバースパスフィルタリング有効ではない)、たとえば、あるアドレスが10.0.0.1/24で、もう一方のアドレスが192.168.1.123/24の場合、ホスト10.0.0.2の攻撃者は偽造する可能性があります。NAT-PMPパケット送信元アドレスは 192.168.1.1:5351、宛先アドレスは 10.0.0.1:7 です。 192.168.1.1に送信されecho、これがNAT-PMPを許可するルーター/ファイアウォールの場合、攻撃者はコンピュータをプロキシとして使用する可能性があります(NAT-PMPパケットではなくSNMP PUTパケットまたは他の同様のパケットである可能性があります)。上記でトリガーされたピンポン開始パケット)。

問題は、echo受信したのと同じデータで応答することです。 UDPエコーはICMP echo(コマンドで送信されます)に置き換えられておりping、ここでは異なるパケットがあり、ECHO_REQUESTこれらのECHO_REPLYパケットはUDPパケットとは異なります。したがって、詐欺には大きな害を及ぼすことはできませんECHO_REQUEST(参照スマーフ攻撃しかし)。

追加資料:

関連情報