включить эхо-сервис и проблемы безопасности в Linux

чтобы включить эхо-сервис, нам нужно добавить эхо-строки в следующем примере:

more /etc/inetd.conf echo stream tcp nowait root internal echo dgram udp wait root internal 

вопрос касается проблем безопасности, которые могут быть связаны с тем, что эхо-сервис позволяет

есть ли проблемы с безопасностью на моей Linux-машине, когда мы открываем службу эха?

Если да, пожалуйста, объясните, какие проблемы с безопасностью могут появиться, когда служба эха открыта?

One Solution collect form web for “включить эхо-сервис и проблемы безопасности в Linux”

Вы не хотите включать dgram (UDP).

Это позволяет злоумышленнику заставить ваш компьютер отправлять UDP-пакеты с любым контентом, и если злоумышленники могут иметь пакеты с поддельным адресом источника, доставленные вам, это означает, что любой пакет UDP для любого адресата.

Например, если атакующий делает:

 packit -t UDP -s 10.10.10.10 -S 7 -d 10.10.10.11 -D 7 -p have-fun-with-that 

Где 10.10.10.11 – ваш IP-адрес, а 10.10.10.10 – это IP-адрес другого компьютера в вашей сети, в котором также включена echo служба dgram / UDP, после чего начнется непрерывный пинг-понг между этими двумя (обратите внимание, что UDP chargen , time и daytime (среди служб, построенных в большинстве реализаций inetd ) имеют одинаковую проблему, и их также следует избегать).

Таким образом, отправляя только один пакет (и он может добавить еще несколько, чтобы усугубить ситуацию), управляющий атакующий имеет всю пропускную способность между двумя жертвами, израсходованными с минимальными усилиями.

Это становится еще более интересным, когда вы начинаете использовать широковещательные сообщения.

Даже если ваша сеть не позволит поддельным пакетам добраться до вас (и они не могут сделать это для пакетов, поступающих из Интернета), другие могут этого не делать. Таким образом, вы все равно можете быть обмануты игрой для пинг-понга вместе с ними (действуя как жертва и не желая атаковать).

Включение echo сервиса UDP (и особенно, если вы открываете его через Интернет) немного похоже на добровольное присоединение к бот-сети (с действиями ботнета, ограниченным для отправки произвольных UDP-пакетов).

Тот факт, что он позволяет любому, у кого есть доступ к вашему echo сервису, отправлять вам любой пакет UDP в любом месте, также означает, что они могут сделать что-то предосудительное в вашем имени (и, например, заблокировать ваш IP-адрес для злоупотреблений) или, возможно, обходить какой-либо механизм межсетевого экрана ,

Например, если ваш компьютер имеет несколько интерфейсов (и фильтрация обратного пути не включена), например, с адресом 10.0.0.1/24 и еще одним с 192.168.1.123/24, злоумышленник на хосте 10.0.0.2 может сгенерировать NAT -PMP с источником 192.168.1.1:5351 и пунктом назначения 10.0.0.1:7. И ваше echo будет отправлено на 192.168.1.1, и если это маршрутизатор / брандмауэр, принимающий NAT-PMP, злоумышленник может эффективно пробивать дыры в этом брандмауэре, используя ваш компьютер в качестве прокси-сервера (а вместо пакета NAT-PMP, который также может быть пакетом SNMP PUT или чем-то еще, подобным этому стартовому пакету пинг-понга, вызванному выше).

Проблема с этим echo заключается в том, что он отвечает теми же данными, что и он. Это эхо UDP было заменено echo ECHO_REPLY ICMP (как отправлено командой ping ), где у вас есть разные пакеты ECHO_REQUEST и ECHO_REPLY , и они отличаются от UDP-пакетов. Таким образом, нельзя нанести большой вред поддельным ECHO_REQUEST (хотя атака Smurf ).

Дополнительная информация:

  • Исторический совет CERT: Атака на отказ от UDP-порта
  • GIAC: запрет на отказ от UDP
  • Когда ядро ​​сокращает дейтаграмму UDP в куски MTU?
  • Перенаправить stdin и stdout в порты
  • почему ss (8) понимает прослушивание портов UDP по-другому, чем netstat (8)?
  • Почему пропускная способность TCP намного больше, чем пропускная способность UDP?
  • Закройте необходимые порты
  • Альтернатива DNS для внутренних серверов
  • Правило iptables для передачи UDP через туннель SSH
  • Обнаружение места привязки для получения широковещательной передачи UDP
  • tcpdump захватывает сетевой UDP-трафик, но не TCP
  • iptraf показывает трафик на UDP / 443, почему?
  • TCP-потоки, сосуществующие с UDP при использовании SFQ (стохастическая честная очередь)
  • Interesting Posts

    Идиоматический способ убить -9, только если «изящный» способ не работает?

    Значения TTL для внешних записей DNS

    Что это означает, когда символы появляются в подсказке после операции?

    Проблема с sed-подстановкой в ​​многословном регулярном выражении

    Правильный способ реализации adblocking с помощью uzbl?

    linux периодический скрипт проверки системы или утилита

    Удалить указанный диапазон номера строки из текстового файла с помощью sed из PHP

    Как получить RPM, который был опубликован после установки DVD?

    Каков самый простой способ увеличить числа в этой строке 01:02:99 в unix?

    Как я могу проверить, определен ли конкретный псевдоним?

    Импортировать файлы конфигурации VPN в NetworkManager из командной строки

    Загрузите старый XAMPP на Linux без браузера

    Разрешающий бит 730 для каталога? что это значит?

    Сценарий Bash работает только в режиме отладки

    iptables – как отказаться от протоколов

    Linux и Unix - лучшая ОС в мире.