Qu’est-ce que Portmapper ?

La fonction de mappage de port (rpc.portmap, portmap ou rpcbind) est un service d’appel de procédures à distance d’informatique réseau ouverte (ONC RPC) qui s’exécute sur les nœuds de réseau qui offrent d’autres services ONC RPC.

Un hôte peut se connecter à un serveur qui prend en charge le protocole Portmapper en passant par le port TCP/UDP numéro 111.  

Consultez le site Web suivant pour en savoir davantage au sujet de ce protocole : https://fr.wikipedia.org/wiki/Portmap

Description de l’attaque par amplification

Le protocole Portmapper UDP peut être utilisé à mauvais escient et servir à une attaque par déni de service dans le dessein d’amplifier le trafic. Les serveurs utilisant le protocole Portmapper sont vulnérables aux attaques par déni de service distribué par réflexion (DRDoS).

L’attaquant envoie sur le port 111 d’un tel serveur un grand nombre des paquets UDP en usurpant une adresse IP source qui fera paraître ces paquets légitimes.

Vérification de la vulnérabilité de votre serveur ou périphérique

Ci-dessous, quelques exemples de résultats d’analyse :

1) Le port Portmapper UDP est vulnérable (xx.xx.xx.xx représente l’adresse IP du serveur).

rpcinfo -T udp -p xx.xx.xx.xx

   progr.   vers. proto. port  service

    100000    4   tcp    111  portmapper

    100000    3   tcp    111  portmapper

    100000    2   tcp    111  portmapper

    100000    4   udp    111  portmapper

    100000    3   udp    111  portmapper

    100000    2   udp    111  portmapper

    100024    1   udp  49500  status

    100024    1   tcp  47792  status

[...]

Solution

Différentes options vous sont offertes pour protéger votre serveur ou votre périphérique :

1) Désactivez le service Portmapper si vous ne l’utilisez pas. Il s’agit de la solution la plus facile et la plus efficace. Il se peut cependant qu’elle ait une incidence sur le service NFS.

2) Configurez votre pare-feu de façon à restreindre les requêtes entrantes destinées au service Portmapper à une liste spécifique d’hôtes et de réseaux ou à les bloquer complètement. Veuillez vous assurer que la règle de pare-feu sera enregistrée et rechargée après le redémarrage du serveur.

Références (en anglais seulement)

https://www.us-cert.gov/ncas/alerts/TA14-017Am

https://tools.ietf.org/html/rfc1833

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk