SNMP - 161, 162, 10161, 10162/udp

Enumeración

snmpwalk -c public -v2c $IP

Vulnerabilidades

SNMP 'GETBULK' (DDoS Reflejado)

La operación GETBULK de SNMP se utiliza para obtener un volumen grande de información en una única petición. Sin embargo, si estas peticiones no se realizan de forma autenticada, un atacante podría aprovecharse de ello para realizar un ataque de DDoS reflejado.

¿Cómo se comprueba sin realizar un ataque de denegación de servicio?

Simplemente enviando una petición 'GETBULK' a la víctima con una dirección IP de un tercero (el objetivo final del ataque DDoS) suplantada como dirección IP de origen. El host con servicio SNMP, al recibir la solicitud envía la respuesta (que es mucho mayor en tamaño que la solicitud original) a la dirección IP de origen suplantada.

Desde nuestra máquina atacante se captura el tráfico de la IP del host SNMP y puerto 161, donde podremos ver el tamaño de la petición y respuesta obtenida:

tcpdump -i eth0 -n host <IP host SNMP> and port 161

Para realizar la petición, por ejemplo, se realiza una petición de 500 iteraciones con OID 1.3.6.1.2.1.1.1.0:

snmpbulkget -Cr500 -c public -v2c <IP host SNMP> 1.3.6.1.2.1.1.1.0

Tras realizar esta petición con snmpbulkget, se puede obtener el GetBulk(29) de la petición y la respuesta GetResponse(1247), evidenciando que la respuesta es mucho mayor que la petición realizada.

Si esto se hiciera de forma automatizada, se podría provocar un DDoS reflejado.