Este informe identifica hosts que tienen el servicio Portmapper ejecutándose y accesible en la Internet pública.
Este servicio tiene el potencial de ser utilizado en ataques de amplificación por parte de delincuentes que deseen realizar ataques de denegación de servicio. Para obtener información general sobre este servicio, consulte Wikipedia . Consulte la alerta US-CERT TA14-017A) y el blog de Level3 para obtener más información.
Además de usarse en ataques de denegación de servicio, portmapper se puede usar para obtener una gran cantidad de información sobre el objetivo, incluidas las exportaciones NFS que están alojadas en ese dispositivo, si también se puede acceder al programa mountd.
El comando de shell análogo para imitar el escaneo del mapeador de puertos es:
rpcinfo -Tudp -p [IP]
Y el comando de shell análogo que imita nuestra sonda del programa mountd es:
showmount -e [IP]
Para simplificar, los programas en la salida del escaneo del mapeador de puertos se mantienen numéricos, pero a continuación se muestra una asignación de números de programas comunes a nombres:
- NÚMERO DE PROGRAMA NOMBRE DEL PROGRAMA
- 100000 mapeador de puertos
- 100003 nfs
- 100005 montado
- 100021 nlockmgr
- 100024 estado
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
Nombre(s) de archivo: scan_portmapper
CAMPOS
timestamp | Hora en que se sondeó la IP en UTC+0 |
ip | IP del dispositivo en cuestión |
protocol | Protocolo en el que se produjo la respuesta de DNS (generalmente UDP) |
port | Puerto del que provino la respuesta del mapeador de puertos (generalmente 111/UDP) |
hostname | Nombre DNS inverso del dispositivo en cuestión |
tag | Siempre será un mapeador de puerto |
asn | ASN de donde reside el dispositivo en cuestión |
geo | País donde reside el dispositivo en cuestión |
region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
city | Ciudad donde reside el dispositivo en cuestión |
naics | Código del sistema de clasificación de la industria de América del Norte |
sic | Código del sistema de clasificación industrial estándar |
programs | Lista delimitada por punto y coma de los programas que el mapeador de puertos afirma tener accesible: el formato de cada entrada es «[número de programa] [versión del programa] [puerto/protocolo];» |
mountd_port | Puerto Mountd que se sondeó para exportaciones NFS (si se encuentra que Mountd se está ejecutando en el host) |
exports | Lista delimitada por punto y coma de las exportaciones de NFS que el host afirma tener disponibles: el formato de cada entrada es «[directorio exportado] [lista de restricciones de grupo (si las hay) para esa exportación]»; |
response_size | Tamaño de respuesta en bytes |
EJEMPLO
"timestamp","ip","protocol","port","hostname","tag","asn","geo","region","city","naics","sic","programs","mountd_port","exports","sector","response_size","amplification"
"2010-02-10 00:00:00",192.168.0.1,udp,111,node01.example.com,portmapper,64512,ZZ,Region,City,0,0,"100000 4 111/udp; 100000 3 111/udp; 100000 2 111/udp; 100000 4 111/udp; 100000 3 111/udp; 100000 2 111/udp; 100024 1 58193/udp; 100024 1 52091/udp; 100003 2 2049/udp; 100003 3 2049/udp; 100003 4 2049/udp; 100227 2 2049/udp; 100227 3 2049/udp; 100003 2 2049/udp; 100003 3 2049/udp; 100003 4 2049/udp; 100227 2 2049/udp; 100227 3 2049/udp; 100021 1 36124/udp; 100021 3 36124/udp; 100021 4 36124/udp; 100021 1 33695/udp; 100021 3 33695/udp; 100021 4 33695/udp; 100005 1 52451/udp; 100005 1 51689/udp; 100005 2 44596/udp; 100005 2 42231/udp; 100005 3 42064/udp; 100005 3 48369/udp;",52451,"/mnt/export 192.168.0.0","Communications, Service Provider, and Hosting Service",628,15.70
"2010-02-10 00:00:01",192.168.0.2,udp,111,node02.example.com,portmapper,64512,ZZ,Region,City,0,0,"100000 4 111/udp; 100000 3 111/udp; 100000 2 111/udp; 100000 4 111/udp; 100000 3 111/udp; 100000 2 111/udp;",,"/mnt/export 192.168.0.0",,148,3.70
"2010-02-10 00:00:02",192.168.0.3,udp,111,node03.example.com,portmapper,64512,ZZ,Region,City,0,0,"100000 4 111/udp; 100000 3 111/udp; 100000 2 111/udp; 100000 4 111/udp; 100000 3 111/udp; 100000 2 111/udp;",,"/mnt/export 192.168.0.0","Communications, Service Provider, and Hosting Service",148,3.70
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/open-portmapper-report/