Qual è il vantaggio dell'invio di un pacchetto RST dopo aver ricevuto una risposta in una scansione SYN?

8

Sto leggendo la scansione SYN di nmap, e dice che Nmap invia un RST immediatamente dopo che il server tenta di stabilire l'handshake.

La mia domanda è: perché preoccuparsi del RST? È per impedire al server di provare a riconnettersi su ogni porta controllata e quindi creare traffico in entrata non necessario alla macchina di scansione? Questo traffico rallenterebbe enormemente la scansione?

Direi che quel modello di SYN, RST dovrebbe essere facile da "leggere" dagli IDS, e non sono sicuro del motivo per cui è lì in primo luogo. Perché non registrare la risposta e andare avanti?

    
posta Jay 24.06.2016 - 21:05
fonte

2 risposte

15

Se si lascia una connessione nello stato syn_rcvd si alzano i flag e si tratta di un attacco denial of service comune.

Se non si invia un RST, il server rimarrà in uno stato syn_rcv fino a 60 secondi e ritrasmetterà SYN ACK fino a 5x. Questo sprecherà risorse sulla rete che stai scannerizzando e causerà un sacco di (a seconda della velocità e del successo della tua scansione) di ACN SYN ritrasmessi che ti verranno inviati.

I tentativi di 60 secondi e 5 sono impostazioni predefinite di linux - questi valori possono variare.

    
risposta data 24.06.2016 - 21:47
fonte
9

Questo è tecnicamente falso: Nmap non invia un RST in nessun punto della scansione SYN semiaperta. Invece, si basa sul sistema operativo della macchina di scansione per inviare pacchetti RST in risposta a ciò che il kernel vede come pacchetti SYN-ACK non richiesti. Questo è lo stesso meccanismo esaminato dalla scansione ACK di Nmap ( -sA ) a mappare le regole del firewall. Ovviamente, questo significa che se il tuo sistema di scansione ha un firewall, è molto probabile che cada pacchetti SYN-ACK non richiesti anziché rispondere con RST, quindi potresti potenzialmente creare una condizione di alluvione SYN. È meglio disattivare tali regole o aggiungere una regola esplicita per consentire l'invio di RST in questo caso quando si eseguono scansioni di grandi dimensioni in modo da non sovraccaricare i target.

Riguardo alla furtività, è importante conoscere la tua storia. Nmap è stato rilasciato nel 1997, prima di BlackICE, Snort e Bro (tutti creati nel 1998). Nel momento in cui la "stealth SYN scan" era così denominata, un Intrusion Detection System era un programma per controllare i log per tentativi di connessione falliti. Poiché la scansione SYN non completa mai un handshake TCP, l'applicazione non viene mai notificata. L'evento muore nel kernel e non c'è nulla nel registro dell'applicazione per indicare che qualcosa è andato storto. In questi giorni, tuttavia, la situazione è quasi invertita; è molto più probabile che le organizzazioni abbiano un network IDS / IPS di una capacità di analisi SIEM / UTM / log configurata correttamente.

    
risposta data 25.06.2016 - 05:15
fonte

Leggi altre domande sui tag