Imagine que tengo que hacer un pentest en un servidor que implementa la detección de puertos en función del número de paquetes recibidos en diferentes puertos en un intervalo de tiempo.
No sé si el servidor está implementando esta protección, no quiero que se bloquee mi IP y quiero ser lo más rápido posible sin ser bloqueado.
¿Cómo puedo detectar que el servidor está implementando esta protección? ¿Puedo estimar el umbral donde se bloqueará mi IP?
Lógicamente, no puede saber en qué punto el servidor lo bloqueará hasta que realmente alcance el umbral y sea bloqueado. Esto no es algo que el servidor publicitará.
Si tiene una IP de repuesto, puede aumentar la cantidad de paquetes por segundo hasta que se bloquee, en cuyo momento sabrá qué umbral no debe cruzar con su otra IP.
Es probable que los buenos cortafuegos utilicen heurísticas más complejas, dependiendo no solo de la cantidad de paquetes, sino también de los puertos de destino. Lo más probable es que pueda resolver las heurísticas reales del cortafuegos al grabar algunas IP, pero no puede adivinarlo a priori .
Lea otras preguntas en las etiquetas penetration-test