¿Cuáles son los métodos por los cuales un atacante puede distinguir entre DROP en IPtables y una Nullroute o IP no asignada?

2

Digamos que tenemos un servidor configurado con configurado para:

  

iptables -P INPUT DROP

Sin ninguna otra regla en la cadena de entrada.

Ignorando los problemas de accesibilidad fuera del acceso al servidor físico, ¿cuáles son los métodos que un atacante externo podría usar para distinguir entre este servidor y una dirección IP no utilizada o sin enrutamiento?

    
pregunta WhoKnowsWhereTheTimeGoes 19.05.2018 - 12:29
fuente

1 respuesta

2

Uno puede jugar con el TTL (o límite de salto con IPv6) de los paquetes enviados al destino para averiguar dónde se pierden los paquetes. La idea es que un enrutador descartará un paquete si se alcanza el TTL y enviará un ICMP TTL excedido. Este método es, por ejemplo, utilizado por traceroute (tracepath, tracert ...). Como el enrutamiento nulo descartará el paquete en un enrutador antes de que llegue al servidor de destino, esta diferencia se puede usar para distinguir entre enrutamiento nulo en un enrutador o descartar el paquete en el servidor final.

    
respondido por el Steffen Ullrich 19.05.2018 - 12:47
fuente

Lea otras preguntas en las etiquetas