TTL diverso per un singolo server

Naviga le tue risposte
2

Uno dei nostri clienti esegue un pentest di qualys e trova LB basato sul valore TTL. Abbiamo solo 1 server dietro FW con NAT IP. Esecuzione di ubuntu con TTL predefinito '64'

output di qualys 

Number of web servers behind load balancer:
2 - based on IP TTL values
Received 35 SynAck packets with ttl=52
Received 157 SynAck packets with ttl=244

Ho eseguito un hping esterno 

root@ip-10-10-10-24:~# hping3 my.site.xxx -S -p 443
HPING my.site.xxx (eth0 00.000.000.000): S set, 40 headers + 0 data bytes
len=44 ip=00.000.000.000 ttl=55 DF id=0 sport=443 flags=SA seq=0 win=14600 rtt=149.8 ms
len=44 ip=00.000.000.000 ttl=55 DF id=0 sport=443 flags=SA seq=1 win=14600 rtt=145.6 ms
len=44 ip=00.000.000.000 ttl=55 DF id=0 sport=443 flags=SA seq=2 win=14600 rtt=145.6 ms
len=44 ip=00.000.000.000 ttl=51 DF id=0 sport=443 flags=SA seq=3 win=14600 rtt=150.0 ms
len=44 ip=00.000.000.000 ttl=55 DF id=0 sport=443 flags=SA seq=4 win=14600 rtt=145.7 ms
len=44 ip=00.000.000.000 ttl=51 DF id=0 sport=443 flags=SA seq=5 win=14600 rtt=145.5 ms

L'output sopra riportato mi mostra 2 TTL 51 e 55. Ora come è possibile che 2 TTL generati, anche io ho solo 1 server fisico.

E perché il valore TTL è stato modificato se cambio la posizione di hping. Perché secondo la mia comprensione TTL è definito dal server / macchina di destinazione e nel mio caso dovrebbe essere 64.

Modifica

Dopo ulteriori studi, abbiamo notato che stanno ottenendo TTL di ubuntu e FW, vedi i seguenti risultati di hping

Hping con protocollo 

[root@www ~]# hping2 my.site.xxx -S -p 443
HPING my.site.xxx (eth1 00.000.000.000): S set, 40 headers + 0 data bytes
len=46 ip=00.000.000.000 ttl=56 DF id=0 sport=443 flags=SA seq=0 win=14600 rtt=274.3 ms
len=46 ip=00.000.000.000 ttl=56 DF id=0 sport=443 flags=SA seq=1 win=14600 rtt=278.0 ms
len=46 ip=00.000.000.000 ttl=56 DF id=0 sport=443 flags=SA seq=2 win=14600 rtt=269.5 ms

Hping senza protocollo 

[root@www ~]# hping2 my.site.xxx -S
HPING my.site.xxx (eth1 00.000.000.000): S set, 40 headers + 0 data bytes
len=46 ip=00.000.000.000 ttl=254 id=64796 sport=0 flags=RA seq=0 win=512 rtt=0.3 ms
len=46 ip=00.000.000.000 ttl=254 id=62708 sport=0 flags=RA seq=1 win=512 rtt=0.2 ms
len=46 ip=00.000.000.000 ttl=254 id=58173 sport=0 flags=RA seq=2 win=512 rtt=0.3 ms
len=46 ip=00.000.000.000 ttl=254 id=34675 sport=0 flags=RA seq=3 win=512 rtt=3.1 ms
    
posta Mudasar Yasin 12.05.2015 - 13:27
fonte

1 risposta

1

Penso che il problema siano i percorsi e il protocollo utilizzato.

Prova,

ping server uso Packer uguale a '0' in LAN e internte ping:

prova a utilizzare il flag di diffusione differente:

"- O --tcpoff     Imposta lo sfalsamento dei dati tcp falso. L'offset di dati normale è tcphdrlen / 4. "

o

"- 2 --udp     Modalità UDP, per impostazione predefinita hping2 invierà udp alla porta dell'host di destinazione 0. Le opzioni sintonizzabili dell'intestazione UDP sono le seguenti: --baseport, --destport, --keep. "

Se invii un pacchetto vuoto e torna completo.

Ne nuntium necare ( do not kill the messenger ). Latin proverbs.

riferimento: link

link

    
risposta data 12.05.2015 - 14:40
fonte

Leggi altre domande sui tag

Quanto tempo ci vuole in genere per distribuire le firme del malware? Test di vulnerabilità per CVE-2014-2483?