Обнаружить RIPv1 через NMAP

Question

В связи с недавним увеличением количества отраженных атак, отмеченных командами безопасности Akamais, использующими оригинальный RIP(классный, устаревший), мне интересно посмотреть, все ли часть CPE, работающая в сегменте сети, все еще открыта для такого злоупотребления. Theres довольно большой флот определенной модели, которую я сильно подозреваю.

Моя проблема в том, что NMAP не может определить, закрыты ли порты или отфильтрованы с помощью UDP.

nmap -p 520 -v -sU -Pn ??.??.0.0/13

Это будет производить

520/udp open | отфильтрованный маршрут

На каждый адрес.

Могу ли я выполнить настройку для правильного исследования таким образом?

Answer 1

Начиная с версии 5.35DC1, Nmap включает полезную нагрузку UDP для RIPv1, которая отправляется при сканировании порта UDP 520:

# Routing Information Protocol version 1. Special-case request for the entire
# routing table (address family 0, address 0.0.0.0, metric 16). RFC 1058,
# section 3.4.1.
udp 520
  "\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
  "\x00\x00\x00\x00\x00\x00\x00\x10"

Этот 24-байтовый запрос предназначен для получения ответа от служб RIPv1 и должен быть тем же, который злоумышленники используют для отражения DDoS. Когда Nmap получает пакет в ответ на это исследование, он помечает порт как open .

Если вы видите недостаток в этой полезной нагрузке, пожалуйста, отправьте исправление на dev@nmap.org, чтобы другие пользователи могли получить выгоду. Если ваша версия Nmap не содержит файл nmap-payloads, обновите его до последней версии.