Protocolos de Rede Vulneráveis

 

 

Oque são Protocolos de Rede?

 

Protocolos de rede são os conjuntos de normas que permitem duas ou mais máquinas conectadas à internet se comuniquem. Essas normas operam como uma linguagem universal, que pode ser interpretada por dispositivos (computadores, notebooks, celulares, ...) de qualquer fabricante, por meio de qualquer sistema operacional.

Eles são responsáveis por pegar os dados transmitidos pela rede e dividi-los em pequenos pedaços, que são chamados de pacotes. Cada pacote carrega em si informações de endereçamento de origem e destino. Os protocolos também são responsáveis pela sistematização das fases de estabelecimento, controle, tráfego e encerramento.

Porém algumas normas apresentam falhas que podem ser exploradas para fornecer ao atacante algum tipo de benefício.

 Abaixo você encontrará uma lista com alguns protocolos monitorados pela FURG, porque são vulneráveis e alguns links de estudo.

Chargen

Serviço:

Character Generator Protocol (CharGen)

Descrição do serviço:

O Character Generator Protocol (CHARGEN) é um serviço do Internet Protocol Suite definido no RFC 864. Ele é destinado para fins de teste, depuração e medição.

Um host pode se conectar a um servidor que suporta o protocolo gerador de caracteres tanto em Transmission Control Protocol (TCP) quanto em User Datagram Protocol (UDP) na porta número 19. Ao abrir uma conexão TCP, o servidor começa a enviar caracteres arbitrários para o host conectado e continua até que o host feche a conexão. Na implementação UDP do protocolo, o servidor envia um datagrama UDP contendo um número aleatório (entre 0 e 512) de caracteres toda vez que recebe um datagrama do host de conexão. Todos os dados recebidos pelo servidor são descartados.

Vulnerabilidade:

Pode ser utilizado para ataques de negação de serviço, distribuído e com reflexão e amplificação.

Descrição do ataque:

O protocolo CHARGEN, baseado em UDP, pode ser abusado para amplificar o tráfego de ataque de negação de serviço.

Um usuário malicioso pode realizar consultas em um host vulnerável e através da técnica de spoofing direcionar o resultado dessa consulta para o ip spoofado gerando assim um ataque de negação de serviço usando seu host como atacante. O invasor gera um grande número de pacotes UDP com endereço IP de origem falsificado para fazer parecer que os pacotes estão vindo do destino pretendido. Esses pacotes UDP são enviados para servidores Chargen (porta 19) e enviam de 200 a 1.000 vezes mais dados do que recebem, dependendo da implementação.

https://www.security.unicamp.br/blog/24-amplificacao-udp/

https://bcp.nic.br/ddos

Verificação:

Web

    https://vtest.cais.rnp.br/cgi-bin/check_vul.pl

Windows

netstat -an | findstr [Porta]

Linux

netstat -an | grep [Porta]

Externo

nmap -sU -p[Porta] [IP]

O campo [Porta] deverá ser substituído pela porta notificada

Solução:

O serviço deve ser desabilitado ou bloqueado usando filtro de pacotes / firewall. Este serviço não tem uso válido em um servidor moderno e não deve ser usado.

Referências:

http://en.wikipedia.org/wiki/Character_Generator_Protocol

https://kb.iweb.com/hc/en-us/articles/230268088

https://bcp.nic.br/ddos