SYN scan victim che invia indietro RST

Naviga le tue risposte
1

Sono confuso sul caso della scansione SYN e delle porte chiuse (il caso delle porte aperte ha senso). Quindi, l'attaccante invia un pacchetto SYN da 40 byte, una "porta chiusa" invierebbe un pacchetto RST all'attaccante ed è quindi "non utilizzabile". Questo significa che l'attaccante non può inviare un altro pacchetto SYN alla porta chiusa per continuare a tentare di inondarlo? Oppure vuol dire che questa porta non è utilizzabile con altri mezzi, ma un altro pacchetto SYN può essere inviato e l'attaccante può continuare il processo per sempre?

    
posta Feng Huo 07.04.2013 - 09:19
fonte

4 risposte

2

Dipende da ciò che l'utente malintenzionato sta cercando di realizzare.

Di solito l'obiettivo con una scansione di rete è identificare gli host attivi su una rete e quali servizi offrono. O allo scopo di attaccarli o per la valutazione della sicurezza della rete.

Stai descrivendo un attacco di inondazione SYN, che è diverso da una scansione.

Un allagamento SYN si verifica quando un host invia un flusso di pacchetti TCP / SYN, spesso con un indirizzo di mittente falsificato. Ognuno di questi pacchetti viene gestito come una richiesta di connessione, facendo sì che il server generi una connessione semiaperta, inviando un pacchetto TCP / SYN-ACK (Acknowledge) e aspettando un pacchetto in risposta dall'indirizzo del mittente (risposta a il pacchetto ACK). Tuttavia, poiché l'indirizzo del mittente è falsificato, la risposta non viene mai. Queste connessioni semiaperte saturano il numero di connessioni disponibili che il server è in grado di eseguire, impedendo di rispondere alle richieste legittime fino a quando non termina l'attacco.

Nel caso in cui la porta sia effettivamente chiusa, non avrai nessuna connessione semiaperta, ma potresti eventualmente saturare la connessione delle destinazioni con i pacchetti, che sarebbe anche un attacco denial of service.

    
risposta data 07.04.2013 - 09:56
fonte
2

In un attacco "SYN flood", l'utente malintenzionato vuole rendere le allocare risorse del server di destinazione per gestire i tentativi apparenti di connessione. L'attaccante invia pacchetti SYN che comunicano al server "Voglio collegarmi alla porta n ". Se sul server sono presenti alcuni software che attualmente si aspettano connessioni in entrata sulla porta n , il server risponde con un pacchetto ACK + SYN e, cosa più importante, riserva un po 'di RAM sul server per mantenere il stato associato al presunto nuovo cliente. Tuttavia, se non ci sono software in ascolto sulla porta n , il server risponde con un RST (che alcuni firewall possono o meno abbandonare, a proposito) e non riserva RAM.

Non è l'invio del RST che fa fallire l'attacco; ciò che lo rende un fallimento è che il server non riserva RAM in quel caso. Il server non annegherà sotto le connessioni semiaperte poiché le dimentica immediatamente.

Se l'attaccante riceve un pacchetto RST, allora sa che il suo tentativo di inondazione è inefficace, ma questo è solo un sottoprodotto. Si noti che il vantaggio principale dell'attacco flood di SYN (vantaggio per l'attaccante ) è che l'attaccante non ha bisogno di ricevere alcuna risposta dal server, quindi può usare indirizzi di origine falsi (che si chiama IP spoofing ), che lo aiuta a coprire le sue tracce. Se l'indirizzo di origine è falsificato, l'autore dell'attacco, per costruzione , non vede mai alcun pacchetto di risposta dal server, sia ACK + SYN o RST.

    
risposta data 07.04.2013 - 14:55
fonte
1

Sì, puoi continuare a inviare i pacchetti SYN a una porta chiusa tutto ciò che desideri, ma a quel punto esaurirai la larghezza di banda.

Le esaustive risorse di sistema vengono eseguite con sistemi che effettivamente rispondono e allocano risorse come la memoria alle successive interazioni previste, in modo che il tipo di attacco non sia possibile con le porte chiuse.

Tieni presente che esistono numerosi tipi di DoS: una certa larghezza di banda, alcune risorse di sistema, ecc.

    
risposta data 07.04.2013 - 17:00
fonte
1

  • Fondamentalmente stai mescolando due diverse fasi della metodologia di hacking. Lo scopo di una scansione syn non è di attaccare ma di raccogliere informazioni ( fase di pre-atttack ) e le inondazioni stanno portando avanti un attacco reale una volta che hai scoperto una vulnerabilità.

  • Lo scopo della scansione delle porte è scoprire le porte aperte e le applicazioni in ascolto su quelle porte. Fondamentalmente scoprendo canali di comunicazione sfruttabili.

  • Se la porta è chiusa non c'è alcun canale di comunicazione. La porta non accetterà alcun tipo di pacchetto.

Flooding attack is an attack that attempts to cause a failure in a computer system or other data processing entity by providing more input than the entity can process properly

  • Se continui a inviare pacchetti syn a una porta chiusa (come hai detto), non può essere considerato come flooding perché i pacchetti non vengono accettati da un'applicazione. Potresti inondare la larghezza di banda generando un gran numero di pacchetti syn.
risposta data 07.04.2013 - 11:08
fonte

Leggi altre domande sui tag

OpenID senza certificato SSL Qualsiasi governo può vietare in modo permanente tutti i server VPN in tutto il mondo [chiuso]