Обнаружить RIPv1 через NMAP

Question

Обнаружить RIPv1 через NMAP

В связи с недавним увеличением количества отраженных атак, отмеченных командами безопасности Akamais, использующими оригинальный RIP(классный, устаревший), мне интересно посмотреть, все ли часть CPE, работающая в сегменте сети, все еще открыта для такого злоупотребления. Theres довольно большой флот определенной модели, которую я сильно подозреваю.

Моя проблема заключается в том, что NMAP не может определить, закрыты ли порты или отфильтрованы с помощью UDP.

nmap -p 520 -v -sU -Pn ??.??.0.0/13

Это будет производить

520/udp open| отфильтрованный маршрут

На каждый адрес.

Могу ли я выполнить настройку для правильного исследования таким образом?

1

networking udp nmap

Источник

Linef4ult 09 июл '15 в 08:08

1 ответ

Решение

Другие вопросы по тегам networking udp nmap

bonsaiviking 09 июл '15 в 14:49 2015-07-09 14:49 · Accepted Answer · 2015-07-09 14:49

Начиная с версии 5.35DC1, Nmap включает полезную нагрузку UDP для RIPv1, которая отправляется при сканировании порта UDP 520:

# Routing Information Protocol version 1. Special-case request for the entire
# routing table (address family 0, address 0.0.0.0, metric 16). RFC 1058,
# section 3.4.1.
udp 520
  "\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
  "\x00\x00\x00\x00\x00\x00\x00\x10"

Этот 24-байтовый запрос предназначен для получения ответа от служб RIPv1 и должен быть тем же, который злоумышленники используют для отражения DDoS. Когда Nmap получает пакет в ответ на это исследование, он помечает порт как open,

Если вы видите недостаток в этой полезной нагрузке, пожалуйста, отправьте исправление на dev@nmap.org, чтобы другие пользователи могли получить выгоду. Если ваша версия Nmap не содержит файл nmap-payloads, обновите его до последней версии.