Guía para Chargen Problemas de Amplificación

¿Qué es Protocolo generador de caracteres?

El Protocolo generador de caracteres (CHARGEN) es un servicio de la Familia de Protocolos de Internet definido en el RFC 864. Fue diseñado para fines de prueba, depuración y medición.

Un host puede conectarse a un servidor que soporta el Protocolo generador de caracteres en el puerto número 19 con el Protocolo de Control de transmisión (TCP) o el Protocolo de datagramas de usuario (UDP). Al abrir una conexión TCP, el servidor comienza a enviar caracteres arbitrarios al host de conexión y continúa hasta que el host cierra la conexión. En la implementación UDP del protocolo, el servidor envía un datagrama UDP que contiene un número aleatorio (entre 0 y 512) de caracteres cada vez  que recibe un datagrama desde el host de conexión. Todos los datos recibidos por el servidor son descartados.

Puede leer más detalles sobre este protocolo aquí: http://en.wikipedia.org/wiki/Character_Generator_Protocol

Descripción de ataques de amplificación:

El protocolo CHARGEN basado en UDP puede ser explotado para ampliar el tráfico de ataques de denegación de servicio. Los servidores que ejecutan el Chargen son susceptibles a un ataque de denegación de servicio distribuido reflejado (DRDoS).

El atacante genera un gran número de paquetes UDP con direcciones IP de fuentes falsificadas para que parezca que los paquetes provienen del objetivo elegido. Estos paquetes UDP se envían a servidores Chargen (puerto 19).

Cómo verificar si su servidor/dispositivo es vulnerable

Estos son algunos ejemplos de salida (Escanear Puerto 19 UDP):

1) El puerto UDP Chargen está abierto

$ sudo nmap -sU -p19 xx.xx.37.38 -oG -
# Nmap 6.40 scan initiated Wed Apr  2 18:24:52 2014 as: nmap -sU -p19 -oG - xx.xx.37.38
Host: xx.xx.37.38 ()    Status: Up
Host: xx.xx.37.38 ()    Ports: 19/open/udp//chargen///
# Nmap done at Wed Apr  2 18:24:52 2014 -- 1 IP address (1 host up) scanned in 0.18 seconds

2) El puerto UDP Chargen NO está abierto

$ sudo nmap -sU -p19 xx.xx.37.35 -oG -
# Nmap 6.40 scan initiated Wed Apr  2 18:25:30 2014 as: nmap -sU -p19 -oG - xx.xx.37.35
# Nmap done at Wed Apr  2 18:25:33 2014 -- 1 IP address (0 hosts up) scanned in 3.11 seconds

Solución:

Este servicio debe desactivarse por completo o al menos bloquearse cuando se usa un filtro/firewall de paquetes.   Este servicio no tiene ningún uso válido en servidores modernos y no debe utilizarse.

*) Para servidores Linux/Unix:

Con sistemas Linux/Unix:

  • Comente la línea "Chargen" en el archivo /etc/inetd.conf
  • o cambie "disable" para que iguale "yes" en el archivo apropiado dentro de /etc/xinetd.d/ y luego reinicie el proceso inetd o xinetd.

*) Windows:
Para Windows, establezca las siguientes claves del registro a 0:

HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters\EnableTcpChargen

HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters\EnableUdpChargen

Luego ejecute cmd.exe y escriba:

net stop simptcp

net start simptcp

Referencias:

  1. http://www.iss.net/security_center/reference/vuln/Chargen_Denial_of_Service.htm
  2. http://www.cert.org/historical/advisories/CA-1996-01.cfm
  3. http://www.prolexic.com/kcresources/white-paper/white-paper-snmp-ntp-chargen-reflection-attacks-drdos/An_Analysis_of_DrDoS_SNMP-NTP-CHARGEN_Reflection_Attacks_White_Paper_A4_042913.pdf
  4. http://www.ietf.org/rfc/rfc0864.txt
¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk