Este informe identifica hosts que tienen el servicio X Display Manager ejecutándose y accesible en Internet.
Se realiza la prueba para ver si se puede acceder a X Display Manager enviando un paquete de «Query» al puerto XDMCP (177/UDP) y escuchando las respuestas.
Las respuestas recibidas suelen ser del tipo «Willing», lo que significa que X Display Manager está dispuesto a proporcionar el servicio, o del tipo «No dispuesto», lo que significa que X Display Manager no está dispuesto a proporcionar servicios.
XDMCP filtra información sobre el sistema host y, además, puede usarse en un ataque de amplificación, proporcionando una amplificación aproximada de 7x. Tenga en cuenta que no importa si XDMCP responde con un «Willing» o un «Unwilling»; el servicio proporciona el mismo nivel de amplificación.
Los detalles técnicos del protocolo XDMCP se pueden encontrar en el sitio web x.org .
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
Nombres de archivo: scan_xdmcp
CAMPOS
timestamp | Hora en que se sondeó la IP en UTC+0 |
ip | La dirección IP del dispositivo en cuestión. |
protocol | Protocolo en el que se produjo la respuesta XDMCP (siempre UDP) |
port | Puerto del que provino la respuesta XDMCP (generalmente 177/UDP) |
hostname | Nombre DNS inverso del dispositivo en cuestión |
tag | siempre sera xdmcp |
asn | ASN de donde reside el dispositivo en cuestión |
geo | País donde reside el dispositivo en cuestión |
region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
city | Ciudad en la que reside el dispositivo en cuestión |
naics | Código del sistema de clasificación de la industria de América del Norte |
sic | Código del sistema de clasificación industrial estándar |
opcode | La respuesta del estado de acción en el que se encuentra el X Display Manager; por lo general, será «Dispuesto» (lo que significa que nuestra conexión anónima fue aceptada) o «No dispuesto» (lo que significa que nuestra conexión fue rechazada) |
reported_hostname | Este es el nombre de host autoinformado que se devuelve en la respuesta XDMCP |
status | Cualquier información adicional que X Display Manager nos haya devuelto; puede ser una condición de error o información sobre el host que ejecuta XDM. |
size | Tamaño de respuesta de carga útil en bytes, sin incluir el encabezado UDP |
amplification | Factor de amplificación (Esta amplificación se basa únicamente en el tamaño de la carga útil enviada y el tamaño de la carga útil recibida) |
EJEMPLO
"timestamp","ip","protocol","port","hostname","tag","asn","geo","region","city","naics","sic","opcode","reported_hostname","status","size","amplification"
"2010-02-10 00:00:00",192.168.0.1,udp,177,node01.example.com,xdmcp,64512,ZZ,Region,City,0,0,Willing,node01.example.com,"1 user, load: 7,0, 6,9, 6,9",,6.57
"2010-02-10 00:00:01",192.168.0.2,udp,177,node02.example.com,xdmcp,64512,ZZ,Region,City,0,0,Willing,node02.example.com,"Linux 4.12.14-197.37-default",,6.43
"2010-02-10 00:00:02",192.168.0.3,udp,177,node03.example.com,xdmcp,64512,ZZ,Region,City,0,0,Willing,node03.example.com,"Linux 2.6.32-696.16.1.el6.x86_64",,9.14
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/accessible-xdmcp-service-report/