E 'possibile scoprire cosa sta cercando di fare un utente remoto per connettersi a una porta chiusa?

3

Dal mio registro di iptables, posso osservare un particolare indirizzo IP remoto che tenta di connettersi al mio server dalla porta 80 a un numero di porta privato:

Jul 09 01:24:41 example.com kernel: IPTABLES: IN=eth1 MAC=xx:xx:xx SRC=abc.a.b.c DST=xyz.x.y.z LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=16405 PROTO=TCP SPT=80 DPT=61412 WINDOW=16384 RES=0x00 ACK SYN URGP=0 
Jul 09 01:29:42 example.com kernel: IPTABLES: IN=eth1 MAC=xx:xx:xx SRC=abc.a.b.c DST=xyz.x.y.z LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=31270 PROTO=TCP SPT=80 DPT=61412 WINDOW=16384 RES=0x00 ACK SYN URGP=0 
Jul 09 01:32:41 example.com kernel: IPTABLES: IN=eth1 MAC=xx:xx:xx SRC=abc.a.b.c DST=xyz.x.y.z LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=43052 PROTO=TCP SPT=80 DPT=61412 WINDOW=16384 RES=0x00 ACK SYN URGP=0 
Jul 09 01:34:40 example.com kernel: IPTABLES: IN=eth1 MAC=xx:xx:xx SRC=abc.a.b.c DST=xyz.x.y.z LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=53328 PROTO=TCP SPT=80 DPT=61412 WINDOW=16384 RES=0x00 ACK SYN URGP=0

È in corso da un giorno e la connessione viene effettuata ogni 5 minuti circa. Ho provato ad accedere al sito dal suo indirizzo IP ma dice reset della connessione. nslookup fornisce una risposta non autorevole:

Non-authoritative answer:
xyz.x.y.z.in-addr.arpa  name = xyz.x.y.z.static.eigbox.net.

Sembra che qualcuno potrebbe falsificare l'indirizzo IP del mio server, causando la risposta di questo computer remoto inviando pacchetti ACK SYN al mio server. Accetto persino l'output iptables a questo indirizzo IP per garantire che il mio server non risponda ad esso.

È possibile scoprire cosa un utente remoto sta tentando di connettersi a una porta chiusa senza compromettere la sicurezza del mio server?

    
posta Question Overflow 09.07.2014 - 06:59
fonte

1 risposta

3

Se sto leggendo quel log correttamente, stai vedendo il backscatter da un attacco denial-of-service di un pacchetto spoofed (probabilmente un SYN flood ) contro un server web in esecuzione su abc.a.b.c . La costante porta di destinazione e il tempo esatto dei multipli di un minuto sono un po 'strani, però.

Il registro mostra pacchetti SYN / ACK (ovvero, la seconda fase di un handshake a tre vie TCP) proveniente dalla porta 80 su una porta nell'intervallo privato. Ciò significa che il server ha ricevuto un pacchetto sulla porta 80 che ha affermato di provenire dal tuo indirizzo; se fa parte di un attacco, l'attaccante sta usando gli indirizzi falsi per nascondere da dove proviene l'attacco e renderlo più difficile da bloccare.

Per vedere cosa stanno facendo, potresti usare Wireshark o un altro programma di sniffing dei pacchetti per vedere cosa c'è dentro quei pacchetti, ma dubito che troverai qualcosa di interessante.

    
risposta data 09.07.2014 - 08:56
fonte

Leggi altre domande sui tag