Seguimiento de botnets: ¿Es confiable SvcHost RemoteIP o puede ser falsificado?

Navega tus respuestas
0

En un servidor RDP, la aplicación del sistema "Monitor de recursos" muestra la conectividad de la red por proceso en la pestaña "Información general" en la sección "Red". En esta sección, veo un proceso SvcHost en el puerto TCP 3389 para cada conexión RDP activa y autentica, incluidas las conexiones que fallan en la autenticación.

Cuando pruebo un ataque de diccionario o DDoS en el puerto 3389 a mi servidor de prueba, veo que todas mis conexiones entran y salen del Monitor de recursos, por lo que parece que esta sería una buena manera de registrar las solicitudes de RDP entrantes. empezar a recopilar datos sobre fuentes botnet. (También recopilo los registros de eventos de auditoría de TerminalServer y los registros de eventos de seguridad; consulte mi otra publicación aquí - Excavando en DDos Attacks ... )

Tengo curiosidad sobre si y cómo se puede falsificar el RemoteIP asociado con el proceso SvcHost. ¿Hay alguna manera de detectar si estas IPs son falsificadas? ¿Se puede establecer una conexión RDP a través de una IP falsificada?

¿Qué tan confiable es la IP remota en el Monitor de recursos?

    
pregunta TaterJuice 09.08.2017 - 17:38
fuente

1 respuesta

1
  

cómo se puede falsificar el RemoteIP asociado con el proceso SvcHost

En TCP, realmente no puedes falsificar una dirección IP y usar la conexión. El TCP handshake requiere un handshake de tres vías donde los paquetes se intercambian entre los dos puntos finales. Si ha falsificado la dirección IP remota (es decir, escribió una IP falsa o incorrecta en el encabezado IP ) el apretón de manos fallará Por lo tanto, el cliente de mal actor envía sus paquetes falsificados de servidores (SYN de entrada) que su servidor responde con un SYN_ACK, pero envía el SYN_ACK a algún lugar aleatorio. Si llega, la máquina que lo recibe se preguntará si WTF está haciendo esto al azar y lo descartará.

Las IP falsificadas son útiles para los ataques DDoS (para ocultar la fuente), la amplificación (para bombardear un objetivo), etc ...

Pero no son útiles si estás tratando de obtener una conexión y ocultar dónde estás.

  

¿Hay alguna forma de detectar si estas IPs son falsificadas?

En realidad no. La única vez que he visto que era fácil detectar solicitudes de IP falsificadas (o lo que supongo que son solicitudes de IP falsificadas) está mirando un firewall donde hay una ráfaga de paquetes SYN entrantes, que reciben un SYN_ACK, pero un ACK nunca se recibe).

  

¿Se puede establecer una conexión RDP a través de una IP falsa?

Depende de su definición de IP falsificada . Si te refieres a una dirección IP que no está asociada con el atacante, entonces no.

Si te refieres a una dirección IP que oculta a un atacante, entonces sí. Ellos pueden usar MiTM, usar VPN, proxies y otras tecnologías para ofuscar sus direcciones IP reales.

P.S. : otra cosa que debe tener en cuenta es que "una IP falsa puede establecer una conexión" ... RDP usa criptografía para asegurar la conexión. Esto implica el intercambio de claves para cifrar los datos, que es otro saludo que debe funcionar. Por lo tanto, nuestra configuración TCP / IP requiere un apretón de manos. El intercambio de claves para el criptográfico requiere un apretón de manos. No puedes hacer todo eso con direcciones IP falsas. Debe ser una máquina real que esté lista, dispuesta y en espera de cumplir con la mitad de todas las solicitudes.

  

¿Qué tan confiable es la IP remota en el Monitor de recursos?

Está leyendo la dirección IP del encabezado IP del tráfico. Entonces, es tan confiable como lo es el encabezado.

    
respondido por el DrDamnit 09.08.2017 - 22:28
fuente

Lea otras preguntas en las etiquetas

¿Debe uno tener certificados SSL para cada dominio, para usar HTTPS? [duplicar] Cifrado de contraseña externa