Scansione casuale o potenziale attacco / ricognizione? [duplicare]

-3

Se lo scopo di un attacco SYN Flood sarebbe quello di rendere il target non rispondente al traffico normale, come qualsiasi altro DoS, questo attacco non sarebbe stato generalmente diretto a un server pubblico piuttosto che a un utente privato; quale sarebbe il modo di pensare di dirigere un simile attacco su un utente privato?

Modifica

Il firewall in questione, utilizzato in un ufficio domestico protetto, ha segnalato una serie di corrispondenze SYN Flood su varie richieste in arrivo per oltre dieci secondi. L'IP e il paese di origine sono cambiati ad ogni richiesta, quindi sembra (ovviamente) non essere un attacco diretto. Questo è l'unico traffico di rete registrato che sembra essere fuori questione, e nessuno di questi IP viene mostrato da nessun'altra parte nel registro.

Quali metodi di analisi posso utilizzare, al di fuori della revisione dei log del firewall, per determinare se / cosa è stato fatto dall'utente malintenzionato prima o dopo questo attacco?

Questo è il file di registro, con gli elementi ovvi oscurati. L'unica cosa da notare è che l'IP è cambiato con ogni richiesta. Questo è un IP statico, che è osservato molto da vicino. Segna la prima volta che il traffico di questa natura è stato contrassegnato per un periodo di 12 mesi tramite questo firewall (un Cisco LRT214):

Aug  8 14:08:01 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=12552 DF PROTO=TCP SPT=53687 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:01 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=12320 DF PROTO=TCP SPT=55785 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:01 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=26736 DF PROTO=TCP SPT=62637 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:01 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=32708 DF PROTO=TCP SPT=59263 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:01 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=106 ID=28141 DF PROTO=TCP SPT=51584 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:01 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=11447 DF PROTO=TCP SPT=57275 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:01 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=19678 DF PROTO=TCP SPT=61655 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:01 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=117 ID=724 DF PROTO=TCP SPT=52191 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:03 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=17982 DF PROTO=TCP SPT=52394 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:03 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=1882 DF PROTO=TCP SPT=58462 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:03 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=116 ID=2580 DF PROTO=TCP SPT=51861 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:03 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=116 ID=5245 DF PROTO=TCP SPT=49869 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:04 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=25753 DF PROTO=TCP SPT=49344 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:04 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=12321 DF PROTO=TCP SPT=55785 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:04 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=27245 DF PROTO=TCP SPT=62637 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:04 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=106 ID=28957 DF PROTO=TCP SPT=51584 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:04 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=11518 DF PROTO=TCP SPT=62886 DPT=13766 WINDOW=63443 RES=0x00 SYN URGP=0
Aug  8 14:08:05 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=24093 DF PROTO=TCP SPT=53653 DPT=13766 WINDOW=65535 RES=0x00 SYN URGP=0
Aug  8 14:08:10 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=12322 DF PROTO=TCP SPT=55785 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:10 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=28522 DF PROTO=TCP SPT=62637 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:10 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=52 TOS=0x00 PREC=0x00 TTL=113 ID=5462 DF PROTO=TCP SPT=57172 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0
Aug  8 14:08:10 2015 [ROUTER NAME OBSCURED] kernel: #warn<4> Blocked - SYN Flood: IN=eth1 SRC=[REMOTE IP OBSCURED] DST=[LOCAL IP OBSCURED] LEN=48 TOS=0x00 PREC=0x00 TTL=106 ID=29794 DF PROTO=TCP SPT=51584 DPT=13766 WINDOW=8192 RES=0x00 SYN URGP=0

Modifica

Le domande sono state ri-combinate. Qualcuno rimuoverà il duplicato (che mi è stato specificamente chiesto di separare come seconda domanda, dai moderatori del consiglio di amministrazione, in primo luogo)?

Hmm, non sembra. Qualunque sia.

    
posta FurryWombat 10.08.2015 - 15:00
fonte

1 risposta

0
  • Sto escludendo il traffico multicast in quanto gli IP di origine sembrano essere disponibili nei database ip.

  • la porta 13766 non è una porta comunemente utilizzata, non sono riuscito a trovare alcun software che utilizza questa porta specifica. Trovo davvero strano per qualcuno di indirizzare questo porto.

  • Questo NON è un allagamento SYN perché era solo 22 pacchetti al secondo. un vero alluvione di SYN utilizza migliaia / sec . Anche perché qualcuno dovrebbe provare a SYN inondare una porta che non è nemmeno utilizzata da un servizio.

  • questo 22 richieste al secondo non è qualcosa che può soffocare la tua connessione Internet.

Quindi, se questa fosse una coincidenza, allora cosa l'ha causata? francamente, non lo so. il sotto è ciò che posso pensare, per esperienza.

  • un problema di routing con il tuo ISP. la maggior parte dei protocolli di routing impiega qualche secondo per il ripristino da un problema di routing, in genere i pacchetti vengono eliminati dal router dell'ISP, ma con alcune tecnologie come MPLS, potrebbe non essere sempre il caso.
risposta data 11.08.2015 - 00:27
fonte

Leggi altre domande sui tag