欢迎光临
我们一直在努力

【网络安全】黑客可以利用RPCBind服务UDP反射DDoS攻击报告及修复方案

推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

RPCBind 服务是什么?

RPC即Remote Procedure Call Protocol(远程过程调用协议),RPCBIND用于取代旧版本中的portmap组件。 简单说,RPCBIND就是为了将不同服务与对应的端口进行绑定,以便支持机器间的互操作。

RPCBIND实用程序是RPC程序号转换为通用地址的服务器。它必须在主机上运行才能在该计算机上的服务器上进行RPC调用。

启动RPC服务时,它会告诉rpcbind它正在侦听的地址,以及它准备服务的RPC程序号。当客户端希望对给定的程序号进行RPC调用时,它首先联系服务器计算机上的rpcbind以确定应该发送RPC请求的地址。

RPCBIND实用程序应任何其他RPC服务之前启动。通常,标准RPC服务器由端口监视器启动,因此 必须在调用端口监视器之前启动rpcbind

RPCBIND启动时,它会检查某些名称到地址转换通话正常工作。如果它们失败,则网络配置数据库可能已损坏。由于RPC服务在这种情况下无法正常运行,因此rpcbind会报告该情况并终止。

RPCBIND命令只能由超级用户启动。

漏洞描述

RPCBind是一种通用的RPC端口映射功能,默认绑定在端口111上。黑客通过批量扫描 111 UDP端口,利用UDP反射放大来进行DDoS攻击。
风险评级:高
影响范围:RPCBind (Portmapper, portmap 或 RPCPortMapper 等)

修复方案

1. 直接关闭RPCBind服务:如果业务中并没有使用RPCBind,可直接关闭。
Ubuntu:
(1) 打开终端,运行如下命令,关闭rpcbind服务:
sudo systemctl stop rpcbind && systemctl disable rpcbind
(2) 检查rpcbind服务是否关闭:
netstat -anp | grep rpcbind

CentOS 7:
(1) 打开终端,运行如下命令:
systemctl stop rpcbind && systemctl disable rpcbind
(2) 检查rpcbind服务是否关闭:
netstat -anp | grep rpcbind

CentOS 6:
(1) 打开终端,运行如下命令:
/etc/init.d/rpcbind stop
(2) 检查rpcbind服务是否关闭:
netstat -anp | grep rpcbind

2、阿里云云服务用户可以通过安全组进行限制RPC服务端口,如下图

赞(0) 打赏
未经允许不得转载:IT俱乐部 | 学习俱乐部 » 【网络安全】黑客可以利用RPCBind服务UDP反射DDoS攻击报告及修复方案
腾讯云国际顶级CA机构SSL证书8.8折,云解析买一年最高送半年!
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳等常见问题

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

免费分享阿里云&腾讯云优惠券,阿里云&腾讯云代金券领取,阿里云服务器ecs租用、阿里云服务器购买。领取本站阿里云优惠券可购买限时2折服务器,并返现20%费用。

阿里优惠直购腾讯优惠直购

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏