¿Cuál es la ventaja de enviar un paquete RST después de obtener una respuesta en un escaneo SYN?

8

Estoy leyendo sobre el escaneo SYN de nmap, y dice que Nmap envía un RST inmediatamente después de que el servidor intenta establecer el protocolo de enlace.

Mi pregunta es: ¿por qué molestarse con el RST? ¿Es para evitar que el servidor intente volver a conectarse en cada puerto verificado y, por lo tanto, crear tráfico entrante innecesario a la máquina de escaneo? ¿Disminuiría ese tráfico la exploración enormemente?

Supongo que ese patrón de SYN, RST debería ser fácil de "leer" por los IDS, y no estoy seguro de por qué está ahí en primer lugar. ¿Por qué no registrar la respuesta y seguir adelante?

    
pregunta Jay 24.06.2016 - 21:05
fuente

2 respuestas

15

Si se deja una conexión en el estado syn_rcvd, se activarán los indicadores y este es un ataque común de denegación de servicio.

Si no envía un RST, el servidor permanecerá en estado syn_rcv durante hasta 60 segundos y retransmitirá SYN ACK hasta 5x. Esto desperdiciará recursos en la red que está escaneando y causará un montón de (dependiendo de la velocidad y el éxito de su escaneo) de SYN ACK retransmitidos que se le envían de vuelta.

Los 60 segundos y los 5 reintentos son valores predeterminados de Linux, estos valores variarán.

    
respondido por el Jeff S. 24.06.2016 - 21:47
fuente
9

Esto es técnicamente falso: Nmap no envía un RST en ningún punto del escaneo SYN medio abierto. En cambio, se basa en el sistema operativo de la máquina de escaneo para enviar paquetes RST en respuesta a lo que el kernel ve como paquetes SYN-ACK no solicitados. Este es el mismo mecanismo que prueba exploración ACK de Nmap ( -sA ) para trazar las reglas del firewall. Por supuesto, esto significa que si su sistema de escaneo tiene un firewall, es muy probable que descarte paquetes SYN-ACK no solicitados en lugar de responder con RST, por lo que posiblemente podría crear una condición de inundación SYN. Es mejor desactivar tales reglas o agregar una regla explícita para permitir el envío de RST en este caso cuando se realizan grandes escaneos para que no cargue a sus objetivos.

Con respecto al sigilo, es importante conocer tu historial. Nmap fue lanzado en 1997, precediendo a BlackICE, Snort y Bro (todos creados en 1998). En el momento en que se denominó el "escaneo SYN oculto", un sistema de detección de intrusiones era un programa para verificar sus registros en busca de intentos fallidos de conexión. Como SYN scan nunca completa un protocolo de enlace TCP, la aplicación nunca recibe notificación. El evento muere en el kernel y no hay nada en el registro de la aplicación que indique que algo salió mal. En estos días, sin embargo, la situación está casi invertida; es mucho más probable que las organizaciones tengan una red IDS / IPS que una capacidad de análisis SIEM / UTM / log correctamente configurada.

    
respondido por el bonsaiviking 25.06.2016 - 05:15
fuente

Lea otras preguntas en las etiquetas