включить эхо-сервис и проблемы безопасности в Linux

чтобы включить эхо-сервис, нам нужно добавить эхо-строки в следующем примере:

more /etc/inetd.conf echo stream tcp nowait root internal echo dgram udp wait root internal 

вопрос касается проблем безопасности, которые могут быть связаны с тем, что эхо-сервис позволяет

есть ли проблемы с безопасностью на моей Linux-машине, когда мы открываем службу эха?

Если да, пожалуйста, объясните, какие проблемы с безопасностью могут появиться, когда служба эха открыта?

Вы не хотите включать dgram (UDP).

Это позволяет злоумышленнику заставить ваш компьютер отправлять UDP-пакеты с любым контентом, и если злоумышленники могут иметь пакеты с поддельным адресом источника, доставленные вам, это означает, что любой пакет UDP для любого адресата.

Например, если атакующий делает:

 packit -t UDP -s 10.10.10.10 -S 7 -d 10.10.10.11 -D 7 -p have-fun-with-that 

Где 10.10.10.11 – ваш IP-адрес, а 10.10.10.10 – это IP-адрес другого компьютера в вашей сети, в котором также включена echo служба dgram / UDP, после чего начнется непрерывный пинг-понг между этими двумя (обратите внимание, что UDP chargen , time и daytime (среди служб, построенных в большинстве реализаций inetd ) имеют одинаковую проблему, и их также следует избегать).

Таким образом, отправляя только один пакет (и он может добавить еще несколько, чтобы усугубить ситуацию), управляющий атакующий имеет всю пропускную способность между двумя жертвами, израсходованными с минимальными усилиями.

Это становится еще более интересным, когда вы начинаете использовать широковещательные сообщения.

Даже если ваша сеть не позволит поддельным пакетам добраться до вас (и они не могут сделать это для пакетов, поступающих из Интернета), другие могут этого не делать. Таким образом, вы все равно можете быть обмануты игрой для пинг-понга вместе с ними (действуя как жертва и не желая атаковать).

Включение echo сервиса UDP (и особенно, если вы открываете его через Интернет) немного похоже на добровольное присоединение к бот-сети (с действиями ботнета, ограниченным для отправки произвольных UDP-пакетов).

Тот факт, что он позволяет любому, у кого есть доступ к вашему echo сервису, отправлять вам любой пакет UDP в любом месте, также означает, что они могут сделать что-то предосудительное в вашем имени (и, например, заблокировать ваш IP-адрес для злоупотреблений) или, возможно, обходить какой-либо механизм межсетевого экрана ,

Например, если ваш компьютер имеет несколько интерфейсов (и фильтрация обратного пути не включена), например, с адресом 10.0.0.1/24 и еще одним с 192.168.1.123/24, злоумышленник на хосте 10.0.0.2 может сгенерировать NAT -PMP с источником 192.168.1.1:5351 и пунктом назначения 10.0.0.1:7. И ваше echo будет отправлено на 192.168.1.1, и если это маршрутизатор / брандмауэр, принимающий NAT-PMP, злоумышленник может эффективно пробивать дыры в этом брандмауэре, используя ваш компьютер в качестве прокси-сервера (а вместо пакета NAT-PMP, который также может быть пакетом SNMP PUT или чем-то еще, подобным этому стартовому пакету пинг-понга, вызванному выше).

Проблема с этим echo заключается в том, что он отвечает теми же данными, что и он. Это эхо UDP было заменено echo ECHO_REPLY ICMP (как отправлено командой ping ), где у вас есть разные пакеты ECHO_REQUEST и ECHO_REPLY , и они отличаются от UDP-пакетов. Таким образом, нельзя нанести большой вред поддельным ECHO_REQUEST (хотя атака Smurf ).

Дополнительная информация:

  • Исторический совет CERT: Атака на отказ от UDP-порта
  • GIAC: запрет на отказ от UDP