Detectar RIPv1 via NMAP

1

Devido ao recente aumento dos ataques de reflexão observados pelas equipes de segurança da Akamais usando o RIP original (classful, depreciado), estou interessado em ver se algum CPE executado dentro de um segmento de rede ainda está aberto a esse tipo de abuso. Há uma frota bastante grande de um certo modelo que eu suspeito strongmente que seja.

Meu problema é que o NMAP não pode determinar se as portas estão fechadas ou filtradas com o UDP.

nmap -p 520 -v -sU -Pn ??.??.0.0/13

Isso produzirá

520/udp open|filtered route

Em todos os endereços.

Existe algum ajuste que eu possa fazer para investigar adequadamente dessa maneira?

    
por Linef4ult 09.07.2015 / 10:08

1 resposta

1

Desde pelo menos a versão 5.35DC1, o Nmap incluiu uma carga útil do UDP para o RIPv1, que é enviado ao digitalizar Porta UDP 520:

# Routing Information Protocol version 1. Special-case request for the entire
# routing table (address family 0, address 0.0.0.0, metric 16). RFC 1058,
# section 3.4.1.
udp 520
  "\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
  "\x00\x00\x00\x00\x00\x00\x00\x10"

Esta solicitação de 24 bytes destina-se a obter uma resposta dos serviços RIPv1 e deve ser a mesma que os invasores estão usando para reflexão de DDoS. Quando o Nmap recebe um pacote em resposta a este teste, ele marca a porta como open .

Se você encontrar uma falha nesta carga útil, envie uma correção para [email protected] para que outros usuários possam se beneficiar. Se a sua versão do Nmap não incluir o arquivo nmap-payloads, atualize para a versão mais recente .

    
por 09.07.2015 / 16:49