Guide pour éviter les problèmes d'amplification QOTD

Description

Le service QOTD (Quote of the Day) utilise le port 17. Il retourne la citation du jour, qui est en fait un message composé d’une ou de plusieurs lignes. Les pirates peuvent utiliser QOTD pour lancer des attaques par déni de service.
(Le facteur d’amplification de la bande passante est d’environ 140,3. Source : http://www.us-cert.gov/ncas/alerts/TA14-017A)

Comment vérifier si votre serveur est vulnérable

Voici comment vérifier si votre serveur est vulnérable (remplacez xx.xx.xx.xx par l’adresse IP de votre serveur):

Si la citation vous est retournée, votre serveur est vulnérable.

$ sudo nmap -sU -PN -p17 xx.xx.xx.xx
Starting Nmap 6.40 ( http://nmap.org ) at 2014-05-29 10:35 EDT
Nmap scan report for xx.xx.xx.xx
Host is up.
PORT STATE SERVICE
17/udp open|filtered qotd
Nmap done: 1 IP address (1 host up) scanned in 2.50 seconds

$ telnet xx.xx.xx.xx
Trying xx.xx.xx.xx...
Connected to xx.xx.xx.xx.
Escape character is '^]'.
"The secret of being miserable is to have leisure to bother about whether
you are happy or not. The cure for it is occupation."
Connection closed by foreign host.

Solution au problème

OPTION A

Désactivez le service ou les ports, sauf s’ils sont requis.

Unix
Pour désactiver QOTD si le démarrage s’effectue à partir du démon inetd :

1. Modifiez le fichier /etc/inetd.conf (ou le fichier équivalent).
2. Repérez la ligne qui contrôle le démon QOTD.
3. Inscrivez le symbole « # » au début de la ligne pour désactiver le démon.
4. Redémarrez inetd.

Windows
Réglez les clés de registre suivantes à 0 :

Then launch cmd.exe and type the following commands to restart the service:

net stop simptcp
net start simptcp

 

OPTION B

Configure the firewall to block port 17 (UDP and TCP).

Additional references:

RFC 865: http://tools.ietf.org/html/rfc865
http://xforce.iss.net/xforce/xfdb/8567
http://www.securityspace.com/smysecure/catid.html?id=10198
http://www.us-cert.gov/ncas/alerts/TA14-017A
http://en.wikipedia.org/wiki/QOTD