En la seguridad de la red, ¿por qué nos importa conocer sesiones de reconocimiento TCP incompletas? ¿Hay una implicación de seguridad detrás de esto?
Respuesta: enviando intencionalmente las distintas partes del protocolo de enlace de 3 vías: a veces en orden, a veces no & otras veces con indicadores adicionales establecidos: un atacante puede escanear una IP y un Puerto y determinar si ese puerto en particular está abierto o cerrado.
Nos importa saber que esto está sucediendo porque se trata de que un atacante obtenga información en su red. Sin embargo, la mayoría de las veces no se crea una entrada de registro para las comunicaciones TCP hasta que se completa el intercambio, por lo que si se interrumpe en algún lugar, es posible que no se cree un registro y que un atacante pase desapercibido.
Explicado: al escanear un rango de IP para trazar una red, hay varios tipos de escaneos diferentes. Son diferentes en función de cómo inicializan el apretón de manos, algunos ni siquiera lo inicializan. La respuesta proporcionada por el objetivo indica si el puerto especificado está abierto o cerrado, según el razonamiento deductivo.
Exploración completa El escáner envía una solicitud estándar de SYN con un número de puerto. El tipo de respuesta indica si el puerto está abierto. Si se recibe una solicitud de 'reinicio' en respuesta al análisis, el atacante sabe que el puerto está cerrado.
Exploración semiabierta / Exploración sigilosa (consulte Descripción de la vulnerabilidad en el enlace)
El atacante envía el SYN inicial y busca una solicitud de SYN / ACK; sin embargo, en lugar de enviar el ACK final, envía un RST (reinicio) que interrumpe la conexión de manera parcial. En esta exploración, la información que envía el dispositivo todavía se usa para decidir si un puerto está abierto, pero al terminar la conexión, se evita un gran número de registros que harían el ataque obvio para un administrador.Escaneo del árbol de Navidad
El atacante envía un mensaje FIN / URG / PUSH y espera para recibir una respuesta. RST indica que un puerto está cerrado, mientras que al no recibir información, indica que el puerto está abierto. Requiere que la máquina de destino sea compatible con RFC 793, lo que elimina las máquinas de Windows como posibles destinos.FIN Scan
El atacante simplemente envía un FIN para imitar la terminación de una conexión. Si la máquina no sabe cómo responder y no da ninguno, entonces el puerto está abierto. Si la máquina envía un RST / ACK, entonces el puerto está cerrado. Una vez más, no funciona para Windows.NULL Scan < br> El atacante envía un paquete TCP sin FLAG, que se conoce como NULL. No está enviando nada en absoluto. Si no se recibe respuesta, el puerto está abierto. Si se recibe un RST / ACK, el puerto se cierra. Esto solo funciona en sistemas basados en Unix.
Nota: Las explicaciones anteriores se toman de Curso de hacking ético en Pluralsight por Dale Meredith . He proporcionado pequeños resúmenes. Sin embargo, debido a que Pluralsight está detrás de un muro de pago, proporcioné URL a otras explicaciones de cada análisis.
Todas las exploraciones anteriores se pueden automatizar a través de un rango de IP utilizando herramientas como Nmap. Sin embargo, algunos de ellos son particularmente ruidosos (Escaneo completo) y harán muy obvio que alguien está escaneando el sistema. De cualquier manera, al usar el protocolo de enlace TCP de una manera que no fue la intención (la mayoría de las veces), un atacante puede trabajar en puertos abiertos y comenzar a detectar dónde pueden aparecer las vulnerabilidades en ese sistema.
Muchos escáneres que se utilizan para detectar puertos abiertos utilizan protocolos TCP incompletos o incorrectos. A veces también se usan en ataques DDOS, pero si eso fuera cierto, tendrías entre 100 y 1000 por segundo.
Hay exploraciones SYN, exploraciones de Navidad y más. Están haciendo formas de reconocimiento en sus direcciones IP.
Me escanean todo el tiempo, como más de 100 por día.
Hay un par de respuestas posibles a esto, dependiendo del contexto de tu pregunta:
a. Un dispositivo envía un paquete SYN para preguntar / deducir si el dispositivo receptor está abierto para una nueva conexión. segundo. Una vez que un dispositivo receptor recibe un paquete SYN del cliente, responde y devuelve un recibo de confirmación conocido como paquete SYN / ACK para indicar que ha establecido con éxito una conexión capaz de recibir paquetes adicionales. do. Finalmente, el dispositivo de origen señala su aceptación de la respuesta SYN / ACK y señala su intención de enviar más paquetes mediante el envío de un paquete ACK.
Si los dos dispositivos conectados detectan que parte del apretón de manos no se ha completado, se puede hacer una inferencia sobre el estado de la conexión. Por ejemplo, si el dispositivo iniciador no recibe SYN / ACK, se puede inferir que el dispositivo receptor falló en su esfuerzo por establecer recursos para una conexión.
Básicamente, ambos dispositivos deducen que la conexión no se ha establecido correctamente.
¿Qué sucede cuando una única IP envía una cantidad de paquetes SYN / ACK o ACK a las IP para las cuales no se vio por primera vez ningún paquete SYN? Esto podría ser un atacante que pruebe la capacidad del Firewall, ya que un paquete SYN / ACK "debe" seguir un paquete SYN.
El abuso del saludo normal al enviar paquetes inesperados sugiere algo fuera de lo normal.
Para responderle entonces: el análisis de los protocolos TCP incompletos revela mucho sobre lo que sucede en la red en situaciones anormales entre dos hosts.
Lea otras preguntas en las etiquetas information-gathering network penetration-test tcp vulnerability-scanners