включите сервис эха и проблемы лазейки безопасности Linux
Можно ли попробовать это. Добавьте следующие строки к ~/.ssh/config:
Host remotehost
IdentityFile ~/.ssh/your_private_key
Вы не хотите включить DGRAM (UDP).
, который позволяет злоумышленнику сделать вашу машину отправлять пакеты UDP с любым контентом, и если атакующие могут иметь пакеты с подделываемым исходным адресом, это означает любой пакет UDP для любого пункта назначения.
Например, если злоумышленник делает:
packit -t UDP -s 10.10.10.10 -S 7 -d 10.10.10.11 -D 7 -p have-fun-with-that
, где 10.10.10.11 - ваш IP-адрес и 10.10.10.10 - IP-адрес другой машины в вашей сети, который также имеет DGRAM / UDP Echo сервис Включено, то это начнет непрерывный пинг-понг между этими двумя (обратите внимание, что UDP Chargen , время и дневное время (среди услуг, построенных в большинстве INETD Реализации) имеют одинаковую проблему и следует также избегать).
Итак, отправив всего один пакет (и он может ввести еще несколько для того, чтобы сделать все хуже), злоумышленник управляет иметь всю пропускную способность между двумя жертвами, используемыми, с минимальными усилиями.
Это становится еще интереснее, когда ваше начало использовать широковещательные сообщения.
Даже если ваша сеть не позволит вам подделывать пакет, чтобы добраться до вас (и они не могут сделать это для пакетов, поступающих из Интернета), другие не могут. Таким образом, вы все еще можете быть обмануты в этой игре Ping-Pong с ними (действуя как жертва и нежелательный злоумышленник).
Включение службы UDP ECHO [и, особенно если вы выставляете его через Интернет), немного похоже, что охотно присоединяется к ботнету (с помощью ботнет-действий, ограничиваемые, имеющие произвольные пакеты UDP).
Тот факт, что он позволяет всем, что он может получить доступ к услуге Echo , чтобы вы отправляли какой-либо пакет UDP в любом месте, и означает, что они могут сделать что-то, что можно сделать в вашем имени (и, например, иметь ваш IP-адрес, запрещенный для злоупотребления ) или, возможно, за счет некоторого механизма брандмауэта.
Например, если ваша машина имеет несколько интерфейсов (и фильтрация обратного пути не включено), например, один с адресом 10.0.0.1/24, а другой с 192.168.1.123/24, атакующий На хосте 10.0.0.2 может отправиться в пакет NAT-PMP с источником 192.168.1.1:5351 и место назначения 10.0.0.1:7. И ваша эхо будет отправлено в 192.168.1.1, а если это маршрутизатор / брандмауэр, принимающий NAT-PMP, злоумышленник может эффективно пробивать отверстия в этом брандмауэре, используя вашу машину в качестве прокси (и вместо NAT Пакет PMP, который также может быть поставлен PUT SNMP или что-то еще, как пакет стартера Ping-Pong, вызванный выше.
Проблема с этим ECHO заключается в том, что она отвечает с теми же данными, что и оно получает. Это удп эхо было заменено ECHO ICMP (как отправлено командой Ping ), где у вас есть разные echo_Request и echo_reply пакеты и Это отличаются от пакетов UDP. Таким образом, никто не может сделать много вреда с подделым Echo_Request (см. Атаку , хотя).
Больше чтения по адресу: