Rozdíly
Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
cs:services:eventclass:vulnerable-config-ssdp [24.03.2020 00:23] – vachek_cesnet.cz | cs:services:eventclass:vulnerable-config-ssdp [25.01.2025 21:25] (aktuální) – [Pozor - důležité upozornění 20250125 [P.V.]] vachek_cesnet.cz | ||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
====== Otevřená služba SSDP ====== | ====== Otevřená služba SSDP ====== | ||
- | Protokol **SSDP (Simple Service Discovery Protocol)** informuje o službách, které nabízí daný počítač, a umožňuje vyhledávání síťových služeb na dalších počítačích. Komunikuje na UDP portu 1900. Chybou je otevřená dostupnost příkazu | + | Protokol **SSDP (Simple Service Discovery Protocol)** informuje o službách, které nabízí daný počítač, a umožňuje vyhledávání síťových služeb na dalších počítačích. Komunikuje na UDP portu 1900. Příkaz //SEARCH// se dá zneužít k útokům DDoS typu UDP amplification. |
Podrobné informace o problému služby SSDP i návody k jeho odstranění lze najít např. na těchto stránkách: | Podrobné informace o problému služby SSDP i návody k jeho odstranění lze najít např. na těchto stránkách: | ||
Řádek 8: | Řádek 8: | ||
* [[https:// | * [[https:// | ||
* [[https:// | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | |||
+ | Zde lze otestovat, zda je vaše veřejná IP adresa zranitelná: | ||
+ | * '' | ||
+ | |||
+ | Kontrola funkčnosti služby UPnP, která využívá protokol SSDP: | ||
+ | * ''# | ||
+ | |||
+ | ===== Pozor - důležité upozornění 20250125 [P.V.]===== | ||
+ | |||
+ | Pokud na stroji A.B.C.D, na kterém běží //NMAP//, je spuštěn stavový firewall pro protokol UDP, pak tento firewall nejspíše odfiltruje případnou odezvu od testovaného stroje T.U.V.W; //NMAP// tedy ohlásí chybu **False Negative**: | ||
+ | < | ||
+ | PORT | ||
+ | 1900/udp open|filtered upnp no-response</ | ||
+ | |||
+ | Pro ilustraci uvádíme záznam skutečné komunikace mezi A.B.C.D a T.U.V.W, na kterém běží UPnP, jak ji zaznamenal //TCPDUMP// při použití příkazu | ||
+ | < | ||
+ | |||
+ | Postup testování: | ||
+ | |||
+ | Musíme otestovat, zda je testovaný stroj on-line: < | ||
+ | |||
+ | # nmap --reason -sn T.U.V.W </ | ||
+ | |||
+ | Pokud je on-line, pošleme testovací dotaz: < | ||
+ | |||
+ | # nmap -n -Pn -sU -p1900 --script=upnp-info T.U.V.W | ||
+ | IP A.B.C.D.39570 > T.U.V.W.1900: | ||
+ | E..}.l@.@.o.N......=...l.i..M-SEARCH * HTTP/1.1 | ||
+ | Host: | ||
+ | ST: | ||
+ | Man:" | ||
+ | MX: | ||
+ | |||
+ | Odpověď UPnP z testovaného stroje (pokud je UPnP funkční):< | ||
+ | IP T.U.V.W.4925 > A.B.C.D.39570: | ||
+ | E.....@.9.o....=N....=....dPHTTP/ | ||
+ | CACHE-CONTROL: | ||
+ | EXT: | ||
+ | LOCATION: http:// | ||
+ | SERVER: Cellvision UPnP/1.0 | ||
+ | ST: upnp: | ||
+ | USN: uuid: | ||
+ | |||
+ | Odpověď UPnP z testovaného stroje tedy přišla z jiného zdrojového portu (UDP 4925), než kam ji testuijící stroj odeslal (UDP 1900). Tuto odpověď by stavový firewall odfiltroval a NMAP by ohlásil chybu **False Negative**. | ||
+ | |||
+ | **Doporučujeme // |