Digamos que tenemos un servidor configurado con configurado para:
iptables -P INPUT DROP
Sin ninguna otra regla en la cadena de entrada.
Ignorando los problemas de accesibilidad fuera del acceso al servidor físico, ¿cuáles son los métodos que un atacante externo podría usar para distinguir entre este servidor y una dirección IP no utilizada o sin enrutamiento?
Uno puede jugar con el TTL (o límite de salto con IPv6) de los paquetes enviados al destino para averiguar dónde se pierden los paquetes. La idea es que un enrutador descartará un paquete si se alcanza el TTL y enviará un ICMP TTL excedido. Este método es, por ejemplo, utilizado por traceroute (tracepath, tracert ...). Como el enrutamiento nulo descartará el paquete en un enrutador antes de que llegue al servidor de destino, esta diferencia se puede usar para distinguir entre enrutamiento nulo en un enrutador o descartar el paquete en el servidor final.
Lea otras preguntas en las etiquetas penetration-test iptables