Guía para Qotd Problemas de Amplificación

Descripción

La Frase del día ( QOTD )  es un servicio que se ejecuta en el puerto 17. devuelve la Frase del día , que es un mensaje compuesto por una de varias líneas.

 Los atacantes pueden utilizar QOTD para lanzar ataques de denegación de servicio. (El factor de amplificación de banda ancha es de alrededor de 140,3. Ref.: http://www.us-cert.gov/ncas/alerts/TA14-017A)

¿Cómo puede probar si su servidor es vulnerable?

Si se devuelve la Frase, esto significa que el servidor es vulnerable.

( Reemplazar xx.xx.xx.xx por si dirección IP de su servidor) :

Ejemplo de salida para un servidor vulnerable :
    Trying xx.xx.xx.xx...
    Connected to xx.xx.xx.xx.
    Escape character is '^]'.
    "The secret of being miserable is to have leisure to bother about whether
    you are happy or not. The cure for it is occupation."
    Connection closed by foreign host.

Otro método usando nmap:

# Sudo nmap -sU -PN -p17 xx.xx.xx.xx

 

Ejemplo de salida para un servidor no vulnerable:
    Starting Nmap 6.40 ( http://nmap.org ) at 2015-00-00 00:00 EDT
    Nmap scan report for xx.xx.xx.xx
    Host is up.
    PORT STATE SERVICE
    17/udp open|filtered qotd
    Nmap done: 1 IP address (1 host up) scanned in 2.50 seconds


Cómo solucionarlo

OPCIÓN A

Deshabilite el servicio o los puertos, a menos que sean necesarios.

Unix
Para desactivar QOTD cuando inicia desde inetd:

  1. Edite el archivo /etc/inetd.conf (o el equivalente).
  2. Busque la línea que controla el demonio de qotd.
  3. Escriba un # al principio de la línea para comentar el demonio.
  4. Reinicie inetd.

Windows
Establezca las siguientes claves de registro a 0:

HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters\EnableTcpQotd
HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters\EnableUdpQotd

Luego ejecute cmd.exe y escriba los siguientes comandos para reiniciar el servicio:

net stop simptcp
net start simptcp

OPCIÓN B

Configure el firewall para bloquear el puerto 17 (UDP y TCP).

Otras referencias:

RFC 865: http://tools.ietf.org/html/rfc865
http://xforce.iss.net/xforce/xfdb/8567
http://www.securityspace.com/smysecure/catid.html?id=10198
http://www.us-cert.gov/ncas/alerts/TA14-017A
http://en.wikipedia.org/wiki/QOTD

¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk