Paquete entrante desde el puerto de origen 80

Navega tus respuestas
3

Estoy seguro de que ningún demonio o navegador está usando recursos de red, pero encontré paquetes entrantes de Wireshark: 

98.126.43.174 source port 80 --TCP--> MyIp destination port 339 [SYN, ACK]
98.126.43.174 source port 80 --TCP--> MyIP destination port 339 [SYN, ACK]
67.11.225.49 source port 27725 --UDP--> MyIP destination port 10112
67.11.225.49 source port 27725 --UDP--> MyIP destination port 10112

He configurado denegar todos los paquetes entrantes en mi firewall. Pero parece que la configuración de mi firewall todavía permite la entrada desde el puerto TCP 80 y la entrada al puerto UDP 10112.

Estoy seguro de que mi IP no está iniciando ninguna conexión al puerto 80 con esa IP. Tampoco tengo demonios que respondan al puerto 339.

Mi pregunta es ¿cómo se beneficia el atacante al enviar un paquete desde el puerto de origen 80? ¿Cual es el riesgo? ¿Dónde puedo encontrar más detalles sobre este tipo de ataque?

REVISAR:

Si no bloqueé este paquete utilizando un firewall con estado y continúo respondiendo con [SYN, ACK] como valores predeterminados, ¿cuál es el peor riesgo que podría ocurrir?

    
pregunta newbie 22.01.2013 - 18:40
fuente

1 respuesta

5

Dado que los dos primeros paquetes son SYN + ACK, parecen una respuesta a un intento de conexión: el servidor en 98.126.43.174 puede ser un servidor web totalmente honesto y genuino, que recibió una solicitud de conexión (un paquete SYN) en el puerto 80, que, desde el punto de vista de ese servidor, provenía de su IP (y del puerto 339). Es posible que el servidor 98.126.43.174 esté actualmente bajo un ataque de inundación SYN y el atacante seleccione IP y puertos aleatorios para cada uno. de sus paquetes SYN maliciosos; en ese caso, su IP fue seleccionada aleatoriamente como fuente supuesta para uno de los paquetes SYN.

En cuanto al firewall, algunos simplemente bloquean los paquetes básicos de SYN, es decir, el primer paquete en el protocolo de enlace de tres vías TCP. Estos firewalls dependen de su sistema operativo para eliminar todos los demás, ya que su sistema operativo nunca recibió el paquete inicial para comenzar. Esto explicaría por qué estos paquetes llegan a su máquina: el firewall los deja pasar porque sabe que los paquetes serán legítimos (seguimiento del paquete SYN que envió) o inofensivos (si no enviar un paquete SYN).

En cuanto a los paquetes UDP, pueden ser respuestas a solicitudes anteriores. Algunos programas utilizan una gran cantidad de UDP con puertos seleccionados al azar, siendo Skype el sospechoso habitual.

    
respondido por el Thomas Pornin 22.01.2013 - 19:00
fuente

Lea otras preguntas en las etiquetas

¿Se supone que debe ver a Root CA en la cadena SSL? Avisar sobre una CA específica en Firefox