Come potrebbe un flood SYN influenzare un router domestico

6

Ero curioso di sapere come un attacco DoS avrebbe influito su un router domestico. In particolare, sono interessato a come un alluvione SYN potrebbe influire su un router domestico.

Il motivo per cui sono interessato è dovuto a un documento Cisco che ho letto. All'interno del documento, ha detto che gli attacchi alle inondazioni di SYN possono influenzare i router domestici. Per me questo sembra strano perché i flood di SYN devono specificare la porta TCP da attaccare.

Per illustrare un'inondazione SYN di base contro un router, ho rapidamente unito la seguente immagine:

Note sull'immagine: nell'immagine, l'autore dell'attacco è rappresentato dal rosso A. L'autore dell'attacco sta inviando messaggi SYN al router. I pacchetti SYN hanno falsi indirizzi IP per mascherare la loro origine. I punti interrogativi indicano semplicemente gli indirizzi IP casuali che l'utente malintenzionato ha impostato come indirizzi IP di origine falsi. Le linee verdi riflettono il router che invia i pacchetti SYN-ACK a quegli indirizzi IP casuali.

Quando si esegue un attacco di alluvione SYN, si specifica la porta a cui attaccheranno. Per quanto ne so, un router ha costantemente porte diverse che gli permettono di essere asincrone. Quindi, come può un attaccante sapere quali porte attaccare? L'attaccante non dovrebbe sapere quali porte sono aperte e quando?

L'unico modo in cui posso vedere un'inondazione SYN che lavora contro un router sarebbe se il router avesse una porta pubblica costantemente aperta e l'allagamento SYN forzasse il router a utilizzare tutta la sua RAM.

Qualcuno può fornire qualche chiarimento su questo argomento?

    
posta Spencer Doak 15.11.2014 - 04:59
fonte

2 risposte

10

Ci sono tre modi principali in cui un flood SYN può funzionare contro un router domestico:

  1. Se il router sta eseguendo NAT e ha una porta inoltrata a un server, un'inondazione SYN può riempire la tabella NAT del router, causandone la disconnessione.

  2. L'alluvione SYN può agire come un semplice attacco di fame di banda. Un tipico router di casa è su una connessione asimmetrica con larghezza di banda upstream limitata, quindi un flood SYN che punta a una porta chiusa può intasare la connessione upstream con i pacchetti RST inviati dal router.

  3. Il firmware del router domestico è spesso piuttosto fragile. Il semplice lancio di pacchetti SYN troppo velocemente può causare un arresto anomalo, eliminando la connessione.

risposta data 15.11.2014 - 07:07
fonte
1

Di solito i router dispongono di un server Web leggero che fornisce accesso all'interfaccia web di configurazione. Nella maggior parte dei casi, funziona sulla porta 80, 8080 o su un'altra comune (se non viene modificata dall'utente).

L'utente malintenzionato (che si trova nella subnet locale, se qualcosa come "Amministrazione remota" non è abilitata sul router e la porta WAN ha un indirizzo IP pubblico) può usare Port Scanner per eseguire una scansione e quindi inviare pacchetti SYN con IP forgiato su quella porta. Quindi, se lo stack TCP / IP del router non implementa i cookie SYN, il risultato sarà riempito alla sua coda limite SYN e la creazione di nuove connessioni sarà impossibile a causa della memoria limitata di dispositivi embedded come i router SOHO.

    
risposta data 15.11.2014 - 11:48
fonte

Leggi altre domande sui tag