Seitenhistorie

{html}<style>
.wiki-content p {text-align:justify;}
.wiki-content {position:relative; left:60px; width:600px;}
</style>{html}

...

Maschinen, die offene Portmapper (open portmapper) Dienste () sind und für Amplification Attacken missbraucht werden um ein fremdes Ziel zu attackieren.

...

Sehr gut, da offene Services relativ einfach via nmap & rpcinfo zu finden sind. Etwaige Rate-Limits werden vom Test nicht erkannt.

Beschreibung:

Durch (weltweit)offene Portmapper-Services können die betroffenen Maschinen leicht für Amplification Attacken ausgenutzt werden. Da dieses Service per UDP erreichbar ist, sind hier vor allem gespoofte IP Adressen mit im Spiel.

Durch das vermindern solcher weltweit offener Dienste (DNS, NTP monlist, Portmapper, SSDP,...) trägt man als Betreiber wesentlich zur Hygiene im Internet bei und schützt damit implizit andere vor DDoS Attacken bzw. seine eigene Infrastruktur vor (Ressourcen) Missbrauch und dem enummerieren von Services auf der Maschine, was vielleicht für weitere Attacken auf die Maschine selbst dienen kann.

Amplification Faktor:

lt. US-CERT ca. 7-28-fachfache Verstärkung (request/result)

Gegenmaßnahmen:

• Service abdrehen sofern es nicht benötigt wird (zB für NFS Shares)
• Firewallregeln gezielt setzen und nur benötigte (zB. alle die NFS Shares nutzen müssen) und damit berechtigte IP Adressen via Firewall freischalten
  • jedenfalls einschränken auf zB.
    • Instituts-/fakultätsinterne, DLE-interne, zentrumsinterne IP Adressen
    • zusätzlich wenn benötigt VPN IP Adressen
    • ACOnet-Teilnehmer-interne IP Adressen
• In regelmäßigen Abständen Firewallregeln sichten und zB. nach any-any-Rules oder dergleichen suchen
• In regelmäßigen Abständen die aufgedrehten Services auf den Maschinen sichten und nicht (mehr) benötigte abdrehen

...