Comprobación de servicios UDP
La presente guía de apoyo ofrece algunos métodos para verificar que las medidas correctivas aplicadas para deshabilitar, o restringir el acceso a los servicios UDP vulnerables son las adecuadas y cumplieron con el objetivo.
La guía se divide en secciones, cada una corresponde a uno de los siguientes servicios:
· SSDP
· NETBIOS
· SNMP
· NTP
· DNS
· CHARGEN
· QOTD
· MEMCACHED
En cada sección se ofrece el nombre del servicio, el puerto asociado al mismo, su factor de amplificación[1], un método para realizar una petición al servicio y un ejemplo de la respuesta esperada cuando se han aplicado medidas correctivas.
Requerimientos: Herramienta de exploración de redes nmap
NOTA: Cuando se hace uso de nmap, la respuesta debe incluir en la columna STATE los valores open|filtered o closed. Si únicamente se indica open, la medida correctiva no fue la adecuada.
Servicio: NTP (Network Time Protocol)
Puerto: 123
Factor de amplificación: 556.9
Prueba 1:
nmap -sU -p 123 -Pn -n --script=ntp-monlist
Ejemplo de respuesta esperada:
Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-23 14:16 CDT
Nmap scan report for 132.24x.xxx.xxx
Host is up.
PORT STATE SERVICE
123/udp open|filtered ntp
Prueba 2:
ntpq -c rv
Ejemplo de respuesta esperada:
***Request timed out
Servicio: CHARGEN (Character Generator Protocol)
Puerto: 19
Factor de amplificación: 358.8
Prueba:
nmap -sU -p 19
Ejemplo de respuesta esperada:
Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-23 14:16 CDT
Nmap scan report for 132.24x.xxx.xxx
Host is up.
PORT STATE SERVICE
19/udp closed chargen
Servicio: QOTD (Quote Of The Day)
Puerto: 17
Factor de amplificación: 140.3
Prueba:
nmap -sU -p 17
Ejemplo de respuesta esperada:
Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-23 14:16 CDT
Nmap scan report for 132.24x.xxx.xxx
Host is up.
PORT STATE SERVICE
17/udp closed qotd
Servicio: DNS (Domain Name System)
Puerto: 53
Factor de amplificación: de 28 a 54
Prueba:
Se puede utilizar el sitio web http://www.kloth.net/services/nslookup.php para realizar una petición de resolución de dominio.
Se tiene que proporcionar el dominio a resolver y la dirección IP del equipo reportado
Respuesta esperada:
DNS server handling your query: 132.24x.xxx.xxx DNS server's address: 132.24x.xxx.xxx#53 ** server can't find wikipedia.org.frog.qrq.de: REFUSED
Servicio: SSDP (Simple Service Discovery Protocol)
Puerto: 1900
Factor de amplificación: 30.8
Prueba:
nmap -sU -p 1900 --script=upnp-info --reason
Respuesta esperada:
Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-23 13:34 CDT
Nmap scan report for 132.24x.xxx.xxx
Host is up, received reset (0.0099s latency).
PORT STATE SERVICE REASON
1900/udp open|filtered upnp no-response
Servicio: SNMP (Simple Network Management Protocol)
Puerto: 161
Factor de amplificación: 6.3
Prueba:
nmap -sU -p 161 --script snmp-sysdescr
Respuesta esperada:
Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-23 14:39 CDT
Nmap scan report for 132.24x.xxx.xxx
Host is up (0.020s latency).
PORT STATE SERVICE
161/udp open|filtered snmp
Servicio: NetBIOS (Network Basic Input/Output System)
Puerto: 137
Factor de amplificación: 3.8
Prueba:
nmap -sU -p 137 --script=nbstat.nse
Respuesta esperada:
Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-23 14:35 CDT
Nmap scan report for 132.24x.xxx.xxx
Host is up (0.00042s latency).
PORT STATE SERVICE
137/udp open|filtered netbios-ns
Servicio: Memcached (Memory Caching System)
Puerto: 11211
Factor de amplificación: 10000
Prueba:
nmap <IP> -p 11211 -sU -sS --script memcached-info
Respuesta esperada:
Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2018-03-01 17:59 CST
Nmap scan report for 132.24x.xxx.xxx
Host is up (0.00031s latency).
PORT STATE SERVICE
11211/tcp filtered unknown
11211/udp open|filtered unknown
[1] El factor de amplificación es la diferencia entre el tamaño del paquete de una petición y el tamaño del paquete de la respuesta a esa petición.
Liberación original: Jueves, 06 Octubre 2016
Última revisión: Jueves, 1 Marzo 2018
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a:
Para mayor información acerca de este documento contactar a:
UNAM-CERT: Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
Dirección General de Cómputo y Tecnologías de Información y Comunicación
Universidad Nacional Autónoma de México
E-Mail: [email protected]
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69