Pacchetto in arrivo dalla porta sorgente 80

Question

Pacchetto in arrivo dalla porta sorgente 80

#1 da (5 voti)

3

Sono sicuro che nessun demone o browser stia utilizzando le risorse di rete, ma ho trovato pacchetti in arrivo da Wireshark:

98.126.43.174 source port 80 --TCP--> MyIp destination port 339 [SYN, ACK]
98.126.43.174 source port 80 --TCP--> MyIP destination port 339 [SYN, ACK]
67.11.225.49 source port 27725 --UDP--> MyIP destination port 10112
67.11.225.49 source port 27725 --UDP--> MyIP destination port 10112

Ho configurato negare tutti i pacchetti in arrivo nel mio firewall. Ma sembra che la mia configurazione del firewall permetta comunque l'ingresso dalla porta TCP 80 e dalla porta UDP 10112.

Sono sicuro che il mio IP non sta iniziando alcuna connessione con la porta 80 su quell'IP. Inoltre non ho alcun demone che risponderà alla porta 339.

La mia domanda è: in che modo l'hacker beneficia dell'invio di pacchetti dalla porta di origine 80? Qual è il rischio? Dove posso trovare maggiori dettagli su questo tipo di attacco?

REVISE:

Se non ho bloccato questo pacchetto utilizzando il firewall stateful e continuo a rispondere con [SYN, ACK] come predefinito, qual è il peggior rischio che potrebbe accadere?

firewalls

posta newbie 22.01.2013 - 18:40

fonte

1 risposta

Leggi altre domande sui tag firewalls

Come proteggere la password memorizzata in un file di configurazione? [duplicare] Protezione dell'applicazione web opensource

score 5 · Accepted Answer

Poiché i primi due pacchetti sono SYN + ACK, sembrano una risposta a un tentativo di connessione: il server su 98.126.43.174 potrebbe essere un server Web totalmente onesto e genuino, che ha ricevuto una richiesta di connessione (un pacchetto SYN) su porta 80, che, dal punto di vista di quel server, proveniva dal tuo IP (e dalla porta 339). È possibile che il server 98.126.43.174 sia attualmente sottoposto a un attacco SYN flood e che l'attaccante selezioni l'IP casuale e le porte per ogni dei suoi dannosi pacchetti SYN; in tal caso, il tuo IP è stato selezionato in modo casuale come presunta fonte per uno dei pacchetti SYN.

Come per il firewall, alcuni semplicemente bloccano i pacchetti SYN di base, ovvero il primo pacchetto nell'handshake a tre vie TCP. Questi firewall si basano sul tuo sistema operativo per eliminare tutti gli altri poiché il tuo sistema operativo non ha mai ricevuto il pacchetto iniziale per iniziare. Questo spiegherebbe perché questi pacchetti raggiungono la tua macchina: il firewall li lascia passare perché sa che i pacchetti saranno legittimi (follow-up su un pacchetto SYN che hai inviato) o innocuo (se hai non invia un pacchetto SYN).

Come per i pacchetti UDP, potrebbero essere risposte a richieste precedenti. Alcuni software utilizzano un sacco di UDP con porte selezionate casualmente, Skype è il solito sospetto.