Scansioni di porte: "traffico negato" VS "close - age out"

Naviga le tue risposte
1

Ho esaminato i log dal firewall (Juniper) e ho scoperto che quando qualcuno esegue il porting sul mio sito web, la maggior parte del traffico attraverso diverse porte tcp / udp viene negata (eccetto per le porte 80 e 443, che È permesso). Tuttavia, il traffico è consentito attraverso alcune delle porte che non dovrebbe essere, ad esempio, le porte 4800, 502, 21025, 88. Ma dopo aver ispezionato il registro dice anche 'CHIUDI - Invecchia'. Significa che l'aggressore è riuscito a iniziare una sessione ma non è stato inviato traffico per un certo periodo di tempo? L'attaccante riceve informazioni da queste diverse risposte? Per chiarire: non ho accesso per verificare qual è la configurazione esatta del firewall.

    
posta Gabrielius 14.11.2017 - 14:49
fonte

1 risposta

0

Alcuni dispositivi Juniper registrano i pacchetti TCP RST con il passare degli anni. Questo è il modo in cui gli ASIC gestiscono il timeout: vedi qui .

Un comportamento RST sarebbe un comportamento previsto quando un port scanner basato su SYN è consentito attraverso il firewall su una determinata porta. Gli scanner SYN inviano il pacchetto SYN iniziale per stabilire la connessione TCP.

  • Per una porta chiusa la maggior parte dei sistemi rifiuterà questo inviando un pacchetto RST (in tal modo facendo sapere al client e non lasciandoli a timeout).
  • Per una porta aperta il client risponderebbe con un ACK. Lo scanner quindi (di solito) invia un RST in modo che il server sappia che può chiudere la connessione.
  • Vale la pena notare che questo potrebbe anche legittimamente essere un time out. Cioè viene stabilita una connessione ma nessun pacchetto viene ricevuto entro il limite di timeout dei firewall.

Se vedi un'età fuori da queste porte, suggerirei che i pacchetti arrivino attraverso il firewall. Senza visualizzare ulteriori informazioni dal registro, dalla configurazione del firewall o dalla configurazione del server, è difficile ipotizzare sia il motivo per cui sono autorizzati a passare quanto per la connessione che il processo ottiene.

    
risposta data 14.11.2017 - 16:31
fonte

Leggi altre domande sui tag

Sostituzione del flusso video RTSP con un altro durante un MITM In che modo vengono gestiti gli account admin locali in un ambiente conforme a DFARS?