¿Cómo podría una inundación SYN afectar un enrutador doméstico?

Navega tus respuestas
6

Tenía curiosidad por saber cómo un ataque DoS afectaría a un enrutador doméstico. En particular, estoy interesado en cómo una inundación SYN afectaría a un enrutador doméstico.

El motivo por el que estoy interesado se debe a un documento de Cisco que leí. Dentro del documento, se dijo que los ataques de inundación SYN pueden afectar a los enrutadores domésticos. Para mí, esto parece extraño porque las inundaciones SYN deben especificar el puerto TCP para atacar.

Para ilustrar una inundación SYN básica contra un enrutador, rápidamente armé la siguiente imagen:

Notas sobre la imagen: En la imagen, el atacante está representado por la A roja. El atacante está enviando mensajes SYN al enrutador. Los paquetes SYN tienen direcciones IP falsificadas para enmascarar su origen. Los signos de interrogación simplemente denotan las direcciones IP aleatorias que el atacante ha establecido como direcciones IP de origen falsas. Las líneas verdes reflejan que el enrutador envía paquetes SYN-ACK a esas direcciones IP aleatorias.

Al ejecutar un ataque de inundación SYN, uno especifica el puerto al que atacarán también. Que yo sepa, un enrutador siempre tiene diferentes puertos abiertos que le permiten ser asíncrono. Entonces, ¿cómo sabría un atacante qué puertos atacar? ¿No debería el atacante saber qué puertos están abiertos y cuándo?

La única forma en que puedo ver una inundación SYN que funciona contra un enrutador sería si el enrutador tuviera un puerto público constantemente abierto y la inundación SYN forzara al enrutador a usar toda su RAM.

¿Alguien puede proporcionar alguna aclaración sobre este asunto?

    
pregunta Spencer Doak 15.11.2014 - 04:59
fuente

2 respuestas

10

Hay tres formas principales en que una inundación SYN puede funcionar contra un enrutador doméstico:

  1. Si el enrutador está realizando NAT y tiene un puerto reenviado a un servidor, una inundación de SYN puede llenar la tabla NAT del enrutador, haciendo que se caigan las conexiones.

  2. El flujo SYN puede actuar como un simple ataque de falta de ancho de banda. Un enrutador doméstico típico se encuentra en una conexión asimétrica con un ancho de banda limitado upstream , por lo tanto, un desbordamiento SYN en un puerto cerrado puede obstruir la conexión ascendente con paquetes RST enviados por el router.

  3. El firmware del enrutador doméstico a menudo es bastante frágil. El solo hecho de lanzar paquetes SYN demasiado rápido puede provocar un bloqueo, al interrumpir la conexión.

respondido por el Mark 15.11.2014 - 07:07
fuente
1

Los enrutadores generalmente tienen un servidor web ligero que proporciona acceso a la interfaz web de configuración. En la mayoría de los casos, se ejecuta en el puerto 80, 8080 u otro común (si el usuario no lo ha modificado).

El atacante (en la subred local, si algo así como "Administración remota" no está habilitado en el enrutador, y el puerto WAN tiene una dirección IP pública) puede usar el escáner de puertos para realizar un análisis y luego enviar paquetes SYN con IP forjada en ese puerto. Luego, si la pila TCP / IP del enrutador no implementa cookies SYN, el resultado se llenará hasta su límite de cola SYN y el establecimiento de nuevas conexiones será imposible debido a la memoria limitada de los dispositivos integrados como los enrutadores SOHO.

    
respondido por el programings 15.11.2014 - 11:48
fuente

Lea otras preguntas en las etiquetas

Decidir a REST API Security ¿Cómo negocian los navegadores los parámetros de conexión SSL / TLS?