字符发生器 UDP 服务远程 DoS

medium Nessus 插件 ID 10043

语言：

简介

远程主机正在运行“chargen”服务。

描述

联系到字符发生器后，它会回应一些随机字符（比如字母表中某一行的所有字符）。过 UDP 联系时，它将回应单一 UDP 数据包。通过 TCP 联系时，它将持续输出字符，直至客户端关闭连接。

此服务的目的在于通过自身最大程度地测试 TCP/IP 协议，从而确保所有数据包都可以原样抵达目的地。由于近来不使用该服务，因此建议将其禁用，因为攻击者可能使用它来针对该主机发动攻击，或使用该主机作为中继来攻击第三方主机。

有一种简单的攻击被称为“ping-pong”，即攻击者在两台运行字符发生器的设备之间伪造一个数据包。这将导致设备互相输出字符，从而拖慢设备速度并造成网络拥堵。

解决方案

- 在 Unix 系统下，注释掉 /etc/inetd.conf 中的“chargen”行并重新启动 inetd 进程

- 在 Windows 系统下，将以下注册表项设为 0：
HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters\EnableTcpChargen HKLM\System\CurrentControlSet\Services\SimpTCP\Parameters\EnableUdpChargen

然后启动 cmd.exe 并键入：

net stop simptcp net start simptcp

重新启动服务。