implicaciones de una sesión de reconocimiento TCP incompleta

7

En la seguridad de la red, ¿por qué nos importa conocer sesiones de reconocimiento TCP incompletas? ¿Hay una implicación de seguridad detrás de esto?

    
pregunta steve 25.12.2016 - 19:47
fuente

4 respuestas

5

Respuesta: enviando intencionalmente las distintas partes del protocolo de enlace de 3 vías: a veces en orden, a veces no & otras veces con indicadores adicionales establecidos: un atacante puede escanear una IP y un Puerto y determinar si ese puerto en particular está abierto o cerrado.

Nos importa saber que esto está sucediendo porque se trata de que un atacante obtenga información en su red. Sin embargo, la mayoría de las veces no se crea una entrada de registro para las comunicaciones TCP hasta que se completa el intercambio, por lo que si se interrumpe en algún lugar, es posible que no se cree un registro y que un atacante pase desapercibido.

Explicado: al escanear un rango de IP para trazar una red, hay varios tipos de escaneos diferentes. Son diferentes en función de cómo inicializan el apretón de manos, algunos ni siquiera lo inicializan. La respuesta proporcionada por el objetivo indica si el puerto especificado está abierto o cerrado, según el razonamiento deductivo.

  

Exploración completa   El escáner envía una solicitud estándar de SYN con un número de puerto. El tipo de respuesta indica si el puerto está abierto. Si se recibe una solicitud de 'reinicio' en respuesta al análisis, el atacante sabe que el puerto está cerrado.

     

Exploración semiabierta / Exploración sigilosa (consulte Descripción de la vulnerabilidad en el enlace)
  El atacante envía el SYN inicial y busca una solicitud de SYN / ACK; sin embargo, en lugar de enviar el ACK final, envía un RST (reinicio) que interrumpe la conexión de manera parcial. En esta exploración, la información que envía el dispositivo todavía se usa para decidir si un puerto está abierto, pero al terminar la conexión, se evita un gran número de registros que harían el ataque obvio para un administrador.

     

Escaneo del árbol de Navidad
  El atacante envía un mensaje FIN / URG / PUSH y espera para recibir una respuesta. RST indica que un puerto está cerrado, mientras que al no recibir información, indica que el puerto está abierto. Requiere que la máquina de destino sea compatible con RFC 793, lo que elimina las máquinas de Windows como posibles destinos.

     

FIN Scan
  El atacante simplemente envía un FIN para imitar la terminación de una conexión. Si la máquina no sabe cómo responder y no da ninguno, entonces el puerto está abierto. Si la máquina envía un RST / ACK, entonces el puerto está cerrado. Una vez más, no funciona para Windows.

     

NULL Scan < br>   El atacante envía un paquete TCP sin FLAG, que se conoce como NULL. No está enviando nada en absoluto. Si no se recibe respuesta, el puerto está abierto. Si se recibe un RST / ACK, el puerto se cierra. Esto solo funciona en sistemas basados en Unix.

     

Nota: Las explicaciones anteriores se toman de Curso de hacking ético en Pluralsight por Dale Meredith . He proporcionado pequeños resúmenes. Sin embargo, debido a que Pluralsight está detrás de un muro de pago, proporcioné URL a otras explicaciones de cada análisis.

Todas las exploraciones anteriores se pueden automatizar a través de un rango de IP utilizando herramientas como Nmap. Sin embargo, algunos de ellos son particularmente ruidosos (Escaneo completo) y harán muy obvio que alguien está escaneando el sistema. De cualquier manera, al usar el protocolo de enlace TCP de una manera que no fue la intención (la mayoría de las veces), un atacante puede trabajar en puertos abiertos y comenzar a detectar dónde pueden aparecer las vulnerabilidades en ese sistema.

    
respondido por el R. Murray 25.12.2016 - 22:26
fuente
7

Muchos escáneres que se utilizan para detectar puertos abiertos utilizan protocolos TCP incompletos o incorrectos. A veces también se usan en ataques DDOS, pero si eso fuera cierto, tendrías entre 100 y 1000 por segundo.

Hay exploraciones SYN, exploraciones de Navidad y más. Están haciendo formas de reconocimiento en sus direcciones IP.

Me escanean todo el tiempo, como más de 100 por día.

    
respondido por el cybernard 25.12.2016 - 20:06
fuente
0

Hay un par de respuestas posibles a esto, dependiendo del contexto de tu pregunta:

  1. TCP es un protocolo orientado a la conexión, con 3 partes distintas (SYN, SYN / ACK, ACK).

a. Un dispositivo envía un paquete SYN para preguntar / deducir si el dispositivo receptor está abierto para una nueva conexión. segundo. Una vez que un dispositivo receptor recibe un paquete SYN del cliente, responde y devuelve un recibo de confirmación conocido como paquete SYN / ACK para indicar que ha establecido con éxito una conexión capaz de recibir paquetes adicionales. do. Finalmente, el dispositivo de origen señala su aceptación de la respuesta SYN / ACK y señala su intención de enviar más paquetes mediante el envío de un paquete ACK.

Si los dos dispositivos conectados detectan que parte del apretón de manos no se ha completado, se puede hacer una inferencia sobre el estado de la conexión. Por ejemplo, si el dispositivo iniciador no recibe SYN / ACK, se puede inferir que el dispositivo receptor falló en su esfuerzo por establecer recursos para una conexión.

Básicamente, ambos dispositivos deducen que la conexión no se ha establecido correctamente.

  1. Los dispositivos participantes no solo pueden inferir algo de cómo avanza el protocolo de enlace, sino también los dispositivos de terceros que observan el programa. Por ejemplo, muchos firewalls buscan partes particulares de la conexión para saber cuándo dos direcciones IP han establecido una conexión.

¿Qué sucede cuando una única IP envía una cantidad de paquetes SYN / ACK o ACK a las IP para las cuales no se vio por primera vez ningún paquete SYN? Esto podría ser un atacante que pruebe la capacidad del Firewall, ya que un paquete SYN / ACK "debe" seguir un paquete SYN.

El abuso del saludo normal al enviar paquetes inesperados sugiere algo fuera de lo normal.

Para responderle entonces: el análisis de los protocolos TCP incompletos revela mucho sobre lo que sucede en la red en situaciones anormales entre dos hosts.

    
respondido por el user34445 25.12.2016 - 20:35
fuente
0

Porque el propio protocolo TCP incompleto es una implicación de la vulnerabilidad en el protocolo. Luego se puede explotar para engañar a un puerto y revelar información sobre sí mismo.

    
respondido por el Ganwacker 25.12.2016 - 22:23
fuente