Víctima de escaneo SYN devolviendo RST

Navega tus respuestas
1

Estoy confundido con el caso de escaneo SYN y puertos cerrados (el caso de puertos abiertos tiene sentido). Entonces, el atacante envía un paquete SYN de ~ 40 bytes, un "puerto cerrado" enviaría un paquete RST al atacante y, por lo tanto, es "no explotable". ¿Significa esto que el atacante no puede enviar otro paquete SYN al puerto cerrado para continuar intentando inundarlo? ¿O eso solo significa que este puerto no se puede explotar por otros medios, pero se puede enviar otro paquete SYN y el atacante puede continuar el proceso para siempre?

    
pregunta Feng Huo 07.04.2013 - 09:19
fuente

4 respuestas

2

Depende de lo que el atacante esté tratando de lograr.

Por lo general, el objetivo de una exploración de red es identificar los hosts activos en una red y los servicios que ofrecen. Ya sea con el propósito de atacarlos o para evaluar la seguridad de la red.

Está describiendo un ataque de inundación SYN, que es diferente a un análisis.

Una inundación SYN se produce cuando un host envía una inundación de paquetes TCP / SYN, a menudo con una dirección de remitente falsificada. Cada uno de estos paquetes se maneja como una solicitud de conexión, lo que hace que el servidor genere una conexión medio abierta, devolviendo un paquete TCP / SYN-ACK (Reconocimiento) y esperando un paquete en respuesta de la dirección del remitente (respuesta a el paquete ACK). Sin embargo, como la dirección del remitente está falsificada, la respuesta nunca llega. Estas conexiones medio abiertas saturan el número de conexiones disponibles que el servidor puede hacer, lo que evita que responda a solicitudes legítimas hasta que finalice el ataque.

En el caso de que el puerto esté realmente cerrado, no obtendrá ninguna conexión semiabierta, pero posiblemente podría saturar la conexión de los objetivos con paquetes, lo que también sería un ataque de denegación de servicio.

    
respondido por el sk0yern 07.04.2013 - 09:56
fuente
2

En un ataque de "inundación SYN", el atacante desea hacer que el servidor de destino asigne los recursos para manejar los intentos de conexión aparentes. El atacante envía paquetes SYN que le dicen al servidor "Quiero conectarme al puerto n ". Si hay, en el servidor, algún software que actualmente espera conexiones entrantes en el puerto n , entonces el servidor responde con un paquete ACK + SYN y, lo que es más importante, reserva algo de RAM en el servidor para mantener el Estado asociado con el supuesto nuevo cliente. Sin embargo, si no hay ningún software escuchando en el puerto n , el servidor responde con un RST (que, por cierto, algunos firewall pueden eliminar o no) y no reserva RAM.

No es el envío del RST lo que hace que el ataque falle; Lo que hace que falle es que el servidor no reserva RAM en ese caso. El servidor no se ahogará en las conexiones medio abiertas ya que las olvida de inmediato.

Si el atacante recibe un paquete RST, entonces sabe que su intento de inundación no es efectivo, pero eso es solo un subproducto. Tenga en cuenta que la principal ventaja del ataque de inundación SYN (ventaja para el atacante ) es que el atacante no necesita recibir ninguna respuesta del servidor, por lo que puede usar direcciones de origen falsas (se llama IP spoofing ), que le ayuda a cubrir sus huellas. Si la dirección de origen es falsificada, el atacante, por construcción , nunca ve ningún paquete de respuesta del servidor, ya sea ACK + SYN o RST.

    
respondido por el Thomas Pornin 07.04.2013 - 14:55
fuente
1

Sí, puedes continuar enviando paquetes SYN a un puerto cerrado todo lo que desees, pero en ese momento solo estarás agotando el ancho de banda.

El agotamiento de los recursos del sistema se realiza con sistemas que realmente responden y asignan recursos como la memoria a las interacciones subsiguientes esperadas, por lo que no es posible el tipo de ataque con puertos cerrados.

Solo tenga en cuenta que hay numerosos tipos de DoS: algo de ancho de banda, algunos recursos del sistema, etc.

    
respondido por el Daniel Miessler 07.04.2013 - 17:00
fuente
1

  • Básicamente, estás mezclando dos fases diferentes de la metodología de hacking. El propósito de un análisis de sincronización no es atacar, sino recopilar información ( fase de pre-ataque ) y la inundación estaría llevando a cabo un ataque real una vez que haya descubierto una vulnerabilidad.

  • El propósito del escaneo de puertos es descubrir los puertos abiertos y las aplicaciones que escuchan en esos puertos. Básicamente descubriendo canales de comunicación aprovechables.

  • Si el puerto está cerrado, no hay canal de comunicación. El puerto no aceptará ningún tipo de paquetes.
  

El ataque de inundación es un ataque que intenta causar una falla en un sistema informático u otra entidad de procesamiento de datos al proporcionar más información de la que la entidad puede procesar correctamente

  • Si continúa enviando paquetes syn a un puerto cerrado (como mencionó), no se puede considerar como una inundación ya que una aplicación no acepta sus paquetes. Es posible que esté inundando el ancho de banda al generar una gran cantidad de paquetes de sincronización.
respondido por el Shurmajee 07.04.2013 - 11:08
fuente

Lea otras preguntas en las etiquetas

¿Puede cualquier gobierno prohibir permanentemente todos los servidores VPN en todo el mundo [cerrado] ¿Se conoce generalmente el esquema de cifrado de los algoritmos de clave pública?