Guide pour éviter les problèmes d'amplification CHARGEN

Qu’est-ce que CHARGEN (Character Generator Protocol)?

Le protocole de génération de caractères CHARGEN est un service de la suite TCP/IP défini dans la RFC 864. Ce service sert aux fins de tests, de débogage et de mesures.

Un hôte peut se connecter à un serveur qui prend en charge le protocole CHARGEN en passant par le port TCP/UDP numéro 19. À l’ouverture de la connexion TCP, le serveur se met à envoyer des caractères arbitraires à l’hôte se connectant et continue jusqu’à ce que l’hôte ferme la connexion. Dans la version UDP du protocole, le serveur envoie un datagramme UDP contenant un nombre aléatoire de caractères (entre 0 et 512) chaque fois qu’il reçoit un datagramme à partir de l’hôte se connectant. Toutes les données reçues par le serveur sont supprimées.

Consultez le site Web suivant pour en savoir davantage au sujet de ce protocole : http://en.wikipedia.org/wiki/Character_Generator_Protocol

Description de l’attaque par amplification :

Le protocole CHARGEN UDP peut être utilisé à mauvais escient et servir à une attaque par déni de service dans le dessein d’amplifier le trafic. Les serveurs exécutant CHARGEN sont donc exposés aux attaques DRDoS (distributed reflected denial-of-service).

L’attaquant envoie sur le port 19 d’un tel serveur un grand nombre des paquets UDP en usurpant une adresse IP source qui fera paraître ces paquets légitimes.

 

Vérifier la vulnérabilité de votre serveur ou de votre périphérique

Ci-dessous, quelques exemples de résultats d’analyse du port UDP 19 :

1) Le port UDP CHARGEN est ouvert :

$ sudo nmap -sU -p19 xx.xx.37.38 -oG -
# Nmap 6.40 scan initiated Wed Apr  2 18:24:52 2014 as: nmap -sU -p19 -oG - xx.xx.37.38
Host: xx.xx.37.38 ()    Status: Up
Host: xx.xx.37.38 ()    Ports: 19/open/udp//chargen///
# Nmap done at Wed Apr  2 18:24:52 2014 -- 1 IP address (1 host up) scanned in 0.18 seconds

2) Le port UDP CHARGEN n’est pas ouvert :

$ sudo nmap -sU -p19 xx.xx.37.35 -oG -
# Nmap 6.40 scan initiated Wed Apr  2 18:25:30 2014 as: nmap -sU -p19 -oG - xx.xx.37.35
# Nmap done at Wed Apr  2 18:25:33 2014 -- 1 IP address (0 hosts up) scanned in 3.11 seconds

Solution :

Ce service n’est d’aucune utilité dans un serveur moderne. C’est pourquoi il doit être complètement désactivé ou du moins bloqué à l’aide d’un filtre de paquet ou d’un pare-feu.

*) Serveur Linux/Unix

Systèmes sur Linux/Unix :

  • Désactivez la ligne 'chargen' du fichier /etc/inetd.conf en transformant cette portion de code en commentaire
  • ou modifier "disable" pour qu’il soit égal à "yes" dans le fichier applicable de /etc/xinetd.d/, puis faites redémarrez le processus inetd ou xinetd.

Windows
Sur un système sous Windows, réglez les clés de registre suivantes à 0 :

HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters\EnableTcpChargen

HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters\EnableUdpChargen

Puis lancez cmd.exe et tapez :

net stop simptcp

net start simptcp 

 

Références :

  1. http://www.iss.net/security_center/reference/vuln/Chargen_Denial_of_Service.htm
  2. http://www.cert.org/historical/advisories/CA-1996-01.cfm
  3. http://www.prolexic.com/kcresources/white-paper/white-paper-snmp-ntp-chargen-reflection-attacks-drdos/An_Analysis_of_DrDoS_SNMP-NTP-CHARGEN_Reflection_Attacks_White_Paper_A4_042913.pdf
  4. http://www.ietf.org/rfc/rfc0864.txt
Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk