Comprobación de servicios UDP

06/10/2016

La presente guía de apoyo ofrece algunos métodos para verificar que las medidas correctivas aplicadas para deshabilitar, o restringir el acceso a los servicios UDP vulnerables son las adecuadas y cumplieron con el objetivo.

La guía se divide en secciones, cada una corresponde a uno de los siguientes servicios:

·         SSDP

·         NETBIOS

·         SNMP

·         NTP

·         DNS

·         CHARGEN

·         QOTD

·         MEMCACHED

En cada sección se ofrece el nombre del servicio, el puerto asociado al mismo, su factor de amplificación[1], un método para realizar una petición al servicio y un ejemplo de la respuesta esperada cuando se han aplicado medidas correctivas.

Requerimientos: Herramienta de exploración de redes  nmap

NOTA: Cuando se hace uso de nmap, la respuesta debe incluir en la columna STATE los valores open|filtered o closed. Si únicamente se indica open, la medida correctiva no fue la adecuada.


Servicio: NTP (Network Time Protocol)

Puerto: 123

Factor de amplificación: 556.9

Prueba 1:

nmap -sU -p 123 -Pn -n --script=ntp-monlist 

Ejemplo de respuesta esperada:

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-23 14:16 CDT
Nmap scan report for 132.24x.xxx.xxx
Host is up.
PORT    STATE         SERVICE
123/udp open|filtered ntp

Prueba 2:

ntpq -c rv 

Ejemplo de respuesta esperada:

: timed out, nothing received
***Request timed out


Servicio: CHARGEN (Character Generator Protocol)

Puerto: 19

Factor de amplificación: 358.8

Prueba:

nmap -sU -p 19 

Ejemplo de respuesta esperada:

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-23 14:16 CDT
Nmap scan report for 132.24x.xxx.xxx
Host is up.
PORT    STATE         SERVICE
19/udp  closed      chargen


Servicio: QOTD (Quote Of The Day)

Puerto: 17

Factor de amplificación: 140.3

Prueba:

nmap -sU -p 17 

Ejemplo de respuesta esperada:

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-23 14:16 CDT
Nmap scan report for 132.24x.xxx.xxx
Host is up.
PORT    STATE         SERVICE
17/udp closed      qotd


Servicio: DNS (Domain Name System)

Puerto: 53

Factor de amplificación: de 28 a 54

Prueba:

Se puede utilizar el sitio web http://www.kloth.net/services/nslookup.php para realizar una petición de resolución de dominio.

Se tiene que proporcionar el dominio a resolver y la dirección IP del equipo reportado

Respuesta esperada:

DNS server handling your query: 132.24x.xxx.xxx
DNS server's address:        132.24x.xxx.xxx#53
 ** server can't find wikipedia.org.frog.qrq.de: REFUSED

Servicio: SSDP (Simple Service Discovery Protocol)

Puerto: 1900

Factor de amplificación: 30.8

Prueba:

nmap -sU -p 1900 --script=upnp-info --reason 

Respuesta esperada:

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-23 13:34 CDT
Nmap scan report for 132.24x.xxx.xxx
Host is up, received reset (0.0099s latency).
PORT STATE SERVICE REASON
1900/udp open|filtered upnp no-response


Servicio: SNMP (Simple Network Management Protocol)

Puerto: 161

Factor de amplificación: 6.3

Prueba:

nmap -sU -p 161 --script snmp-sysdescr 

Respuesta esperada:

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-23 14:39 CDT
Nmap scan report for 132.24x.xxx.xxx
Host is up (0.020s latency).
PORT STATE SERVICE
161/udp open|filtered snmp


Servicio: NetBIOS (Network Basic Input/Output System)

Puerto: 137

Factor de amplificación: 3.8

Prueba:

nmap -sU -p 137 --script=nbstat.nse 

Respuesta esperada:

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-23 14:35 CDT
Nmap scan report for 132.24x.xxx.xxx
Host is up (0.00042s latency).
PORT STATE SERVICE
137/udp open|filtered netbios-ns


Servicio: Memcached (Memory Caching System)

Puerto: 11211

Factor de amplificación: 10000

Prueba:

nmap <IP> -p 11211 -sU -sS --script memcached-info

Respuesta esperada:

Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2018-03-01 17:59 CST
Nmap scan report for 132.24x.xxx.xxx
Host is up (0.00031s latency).
PORT      STATE         SERVICE
11211/tcp filtered      unknown
11211/udp open|filtered unknown


[1] El factor de amplificación es la diferencia entre el tamaño del paquete de una petición y el tamaño del paquete de la respuesta a esa petición.

Liberación original: Jueves, 06 Octubre 2016
Última revisión: Jueves, 1 Marzo 2018

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a:

Fausto Pérez Mosco
Demian García Velázquez
Víctor Enrique Arteaga Lona

 

Para mayor información acerca de este documento contactar a:

 

UNAM-CERT: Equipo de Respuesta a Incidentes UNAM 
Coordinación de Seguridad de la Información 
Dirección General de Cómputo y Tecnologías de Información y Comunicación 
Universidad Nacional Autónoma de México 
E-Mail: incidentes@cert.unam.mx 
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69