Este informe identifica hosts que tienen el servicio TFTP en ejecución y accesible en Internet.
La sonda prueba para ver si se puede acceder al servicio TFTP y devolverá el archivo que estamos solicitando o devolverá un código de error. Tenga en cuenta que no se esta probando para ver si la carga de archivos está habilitada.
También tenga en cuenta que, a diferencia de otros servicios UDP que probamos, la respuesta de TFTP a menudo se recibe en un puerto que es diferente al que se consultó. Las sondas enviadas a un host en el puerto 69/UDP pueden generar respuestas que provienen de puertos altos efímeros.
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
Nombre(s) de archivo: scan_tftp
CAMPOS
| timestamp | Hora en que se sondeó la IP en UTC+0 |
| ip | IP del dispositivo en cuestión |
| protocol | Protocolo en el que se produjo la respuesta TFTP (siempre UDP) |
| port | Puerto del que provino la respuesta TFTP (generalmente 69/UDP, pero la respuesta puede provenir de cualquier puerto >1024/UDP) |
| hostname | Nombre DNS inverso del dispositivo en cuestión |
| tag | Siempre será TFTP |
| asn | ASN de donde reside el dispositivo en cuestión |
| geo | País donde reside el dispositivo en cuestión |
| region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
| city | Ciudad donde reside el dispositivo en cuestión |
| naics | Código del sistema de clasificación de la industria de América del Norte |
| sic | Código del sistema de clasificación industrial estándar |
| opcode | Será un «3» o un «5»: un «3» significa que el archivo solicitado existe (en este caso, «a.pdf») y un «5» significa que el servidor TFTP devolvió un código de error. |
| errorcode | Este es el código de error que se devuelve junto con el código de operación según RFC1350/RFC2347 |
| error | Versión legible por humanos del código de error: en el caso de una respuesta de código de operación 3, esto es «Sin error» |
| errormessage | El mensaje de error real que devolvió el servidor TFTP además del código de error; en el caso de una respuesta de código de operación 3, es «El archivo existe». |
| size | Tamaño de la respuesta de la carga útil en bytes: en realidad, solo es relevante en las respuestas del código de operación 3; si el archivo está realmente allí, la respuesta será > 4 bytes |
| amplification | Factor de amplificación (Esta amplificación se basa únicamente en el tamaño de la carga útil enviada y el tamaño de la carga útil recibida) |
EJEMPLO
"timestamp","ip","protocol","port","hostname","tag","asn","geo","region","city","naics","sic","opcode","errorcode","error","errormessage","size","amplification"
"2010-02-10 00:00:00",192.168.0.1,udp,32779,node01.example.com,tftp,64512,ZZ,Region,City,0,0,5,2,"Access violation","Access violation",21,1.50
"2010-02-10 00:00:01",192.168.0.2,udp,32824,node02.example.com,tftp,64512,ZZ,Region,City,0,0,5,2,"Access violation","Access violation",21,1.50
"2010-02-10 00:00:02",192.168.0.3,udp,69,node03.example.com,tftp,64512,ZZ,Region,City,0,0,5,0,"Not defined","permission denied!",23,1.64
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/open-accessible-tftp-report/