Traccia botnet: È probabile che SvcHost RemoteIP sia falso?

0

Su un server RDP, l'app di sistema "Monitoraggio risorse" mostra la connettività di rete per processo nella scheda "Panoramica" nella sezione "Rete". In questa sezione, vedo un processo SvcHost sulla porta TCP 3389 per ogni connessione RDP attiva e autenticante, incluse le connessioni che non riescono all'autenticazione.

Quando provo un attacco di dizionario o DDoS sulla porta 3389 al mio server di test, vedo tutte le mie connessioni spuntate dentro e fuori da Resource Monitor, quindi sembra che questo sarebbe un buon modo per registrare le richieste RDP in arrivo, e iniziare a raccogliere dati su fonti botnet. (Raccolgo anche i registri di eventi di controllo da TerminalServer e registri di eventi di sicurezza - vedere il mio altro post qui - Scavando negli attacchi DDos ... )

Sono curioso di sapere se e come il RemoteIP associato al processo SvcHost può essere falsificato. C'è un modo per rilevare se questi IP sono falsificati? È possibile stabilire una connessione RDP tramite IP falsificato?

Quanto è affidabile l'IP remoto in Monitoraggio risorse?

    
posta TaterJuice 09.08.2017 - 17:38
fonte

1 risposta

1

how the RemoteIP associated with the SvcHost process can be spoofed

In TCP, non puoi realmente falsificare un indirizzo IP e utilizzare la connessione. L'handshake TCP richiede un handshake a tre vie dove i pacchetti vengono scambiati tra i due endpoint. Se hai falsificato l'indirizzo IP remoto (ad esempio, hai scritto un IP falso o errato nella intestazione IP ) la stretta di mano fallirà. Quindi, il client attore cattivo invia i pacchetti spoofati del server (SYN in entrata), il server risponde con un SYN_ACK, ma invia SYN_ACK a un posto casuale. Se arriva, la macchina che lo riceve si chiederà che il WTF venga mostrato casualmente e lo scarterà.

Gli IP spoofati sono utili per gli attacchi DDoS (per nascondere la sorgente), l'amplificazione (per bombardare un bersaglio), ecc ...

Ma non sono utili se stai cercando di ottenere una connessione e nascondi dove ti trovi.

Is there a way to detect if these IPs are spoofed?

Non proprio. L'unica volta che ho visto che è stato facile rilevare le richieste IP contraffatte (o quello che suppongo siano richieste IP contraffatte) sta guardando un firewall dove c'è un burst di pacchetti SYN in entrata, che ricevono un SYN_ACK inviato, ma un ACK non viene mai ricevuto).

Can an RDP connection be established via a spoofed IP?

Dipende dalla definizione di IP falsificato . Se si intende un indirizzo IP non associato all'utente malintenzionato, quindi no.

Se intendi un indirizzo IP che nasconde un utente malintenzionato, allora sì. Possono utilizzare MiTM, utilizzare VPN, proxy e una serie di altre tecnologie per offuscare i loro effettivi indirizzi IP.

P.S. - Un'altra cosa di cui devi essere a conoscenza in termini di "può un IP falsificato stabilire una connessione" ... RDP usa crypto per proteggere la connessione. Ciò comporta lo scambio di chiavi al fine di crittografare i dati, che è un'altra stretta di mano che deve funzionare. Quindi, la nostra configurazione TCP / IP richiede un handshake. Lo scambio di chiavi per la cripta richiede una stretta di mano. Non puoi fare tutto questo con IP falsi. Deve essere una macchina reale pronta, disponibile e in attesa di soddisfare la metà di tutte le richieste.

How reliable is the remote IP in Resource Monitor?

Sta leggendo l'indirizzo IP dall'intestazione IP del traffico. Quindi, è affidabile come quella intestazione è.

    
risposta data 09.08.2017 - 22:28
fonte

Leggi altre domande sui tag