¿Exploración aleatoria o posible ataque / reconocimiento? [duplicar]

Question

¿Exploración aleatoria o posible ataque / reconocimiento? [duplicar]

#1 de JOW (0 votos)

-3

Si el propósito de un ataque SYN Flood sería hacer que el objetivo no responda al tráfico normal, al igual que cualquier otro DoS, este ataque generalmente no se habría dirigido a un servidor público en lugar de a un usuario privado; ¿Cuál sería el pensamiento detrás de dirigir dicho ataque a un usuario privado?

EDIT

El firewall en cuestión, utilizado en una oficina doméstica segura, informó una serie de coincidencias de Inundación SYN en varias solicitudes que llegaron en un período de diez segundos. La IP y el país de origen cambiaron con cada solicitud, por lo que parece (obviamente) no ser un ataque directo. Este es el único tráfico de red registrado que parecía estar fuera de control, y ninguna de estas IP se está mostrando en ningún otro lugar del registro.

¿Qué métodos de análisis puedo usar, además de revisar los registros del cortafuegos, para determinar si el usuario malintencionado hizo o qué hizo antes o después de este ataque?

Aquí está el archivo de registro, con elementos obvios ocultos. Lo único a tener en cuenta es que la IP cambió con cada solicitud. Esta es una IP estática, que se observa muy de cerca. Marca la primera vez que un tráfico de esta naturaleza se marca durante un período de 12 meses a través de este firewall (un Cisco LRT214):

Aug  8 14:08:01 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=12552 DF PROTO=TCP SPT=53687 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:01 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=12320 DF PROTO=TCP SPT=55785 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:01 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=26736 DF PROTO=TCP SPT=62637 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:01 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=32708 DF PROTO=TCP SPT=59263 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:01 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=106 ID=28141 DF PROTO=TCP SPT=51584 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:01 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=11447 DF PROTO=TCP SPT=57275 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:01 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=19678 DF PROTO=TCP SPT=61655 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:01 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=117 ID=724 DF PROTO=TCP SPT=52191 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:03 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=17982 DF PROTO=TCP SPT=52394 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:03 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=1882 DF PROTO=TCP SPT=58462 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:03 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=116 ID=2580 DF PROTO=TCP SPT=51861 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:03 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=116 ID=5245 DF PROTO=TCP SPT=49869 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:04 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=25753 DF PROTO=TCP SPT=49344 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:04 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=12321 DF PROTO=TCP SPT=55785 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:04 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=27245 DF PROTO=TCP SPT=62637 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:04 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=106 ID=28957 DF PROTO=TCP SPT=51584 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:04 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=11518 DF PROTO=TCP SPT=62886 DPT=13766 WINDOW=63443 RES=0x00 SYN URGP=0
Aug  8 14:08:05 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=24093 DF PROTO=TCP SPT=53653 DPT=13766 WINDOW=65535 RES=0x00 SYN URGP=0
Aug  8 14:08:10 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=12322 DF PROTO=TCP SPT=55785 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:10 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=28522 DF PROTO=TCP SPT=62637 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:10 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=5462 DF PROTO=TCP SPT=57172 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:10 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=48 TOS=0x00 PREC=0x00 TTL=106 ID=29794 DF PROTO=TCP SPT=51584 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0

EDIT

Las preguntas se han vuelto a combinar. ¿Alguien, por favor, eliminará el duplicado (que, en primer lugar, me pidieron que separara como segunda pregunta, por parte de los moderadores de la junta directiva)?

Hmm, parece que no. Lo que sea.

firewalls denial-of-service tcp flooding cisco

pregunta FurryWombat 10.08.2015 - 15:00

fuente

1 respuesta

Lea otras preguntas en las etiquetas firewalls denial-of-service tcp flooding cisco

¿Alguien informó un video al fbi? ¿Se rastrearía la dirección IP? [cerrado] {PHP} Inyección de SQL [duplicado]

score 0 · Answer 1

Estoy descartando el tráfico de multidifusión ya que las IP de origen parecen estar disponibles en las bases de datos de ip.
el puerto 13766 no es un puerto de uso común, no pude encontrar ningún software que use este puerto específico. Realmente me parece extraño que alguien apunte a este puerto.
Esto NO es una inundación SYN porque solo tenía 22 paquetes por segundo. una inundación SYN real usará miles / seg . Además, ¿por qué alguien intentaría SYN inundar un puerto que ni siquiera es utilizado por un servicio?
este 22 solicitudes / seg. tampoco es algo que pueda bloquear su conexión a Internet.

Entonces, si esto fue una coincidencia, ¿entonces qué lo causó? Francamente, no lo sé. Lo siguiente es lo que puedo pensar, por experiencia.

un problema de enrutamiento con su ISP. la mayoría de los protocolos de enrutamiento tardan unos segundos en recuperarse de un problema de enrutamiento, generalmente los paquetes se eliminan por el enrutador del ISP, pero con algunas tecnologías como MPLS, puede que no siempre sea así.