web-dev-qa-db-fra.com

Quel est l'avantage d'envoyer un paquet RST après avoir reçu une réponse dans une analyse SYN?

Je lis sur la synchronisation Syn de NMAP, et c'est indiqué Nmap envoie une RST immédiatement après que le serveur essaie d'établir la poignée de main.

Ma question est - pourquoi se soucie de la TVD? Est-il d'empêcher le serveur d'essayer de renouer sur chaque port vérifié et de créer ainsi un trafic entrant inutile vers la machine à numériser? Est-ce que ce trafic sera ralentissement de l'analyse immensément?

Je suppose que ce modèle de syn de synchronisation devrait être facile à "lire" par IDSS, et je ne suis pas sûr de savoir pourquoi il est là en premier lieu. Pourquoi ne pas enregistrer la réponse et continuer?

10
Jay

Quitter une connexion dans Syn_RCVD State augmentera les drapeaux ainsi que celui-ci est un déni commun d'attaque de service.

Si vous n'envoyez pas de RST, le serveur restera dans un état Syn_RCV pendant 60 secondes jusqu'à 60 secondes et retransmettre le Syn ACK jusqu'à 5x. Cela détruira des ressources sur le réseau que vous numérisez et provoquez un tas de (en fonction de la vitesse et du succès de votre analyse) de Syn ACKS retransmis.

Les 60 secondes et 5 tentatives sont des valeurs par défaut Linux - ces valeurs varient.

16
Jeff S.

Ceci est techniquement faux: Nmap n'envoie pas de RST à aucun moment de la numérisation synchronisée Half-Open. Au lieu de cela, il s'appuie sur le système d'exploitation de la machine à numériser pour envoyer des paquets RST en réponse à ce que les vues du noyau en tant que paquets Syn-ACK non sollicités. Il s'agit du même mécanisme qui est sondé par numérisation ACK de NMAP (-sA) pour cartographier les règles de pare-feu. Bien entendu, cela signifie que si votre système de numérisation a un pare-feu, il est très probable qu'il laisse tomber des paquets syn-ack non sollicités au lieu de répondre à la TVD, afin que vous puissiez potentiellement créer une condition de synthèse syntonique. Il est préférable d'éteindre de telles règles ou d'ajouter une règle explicite pour permettre l'envoi des RST dans ce cas lors de l'exécution de grandes analyses afin que vous ne chargeiez pas vos objectifs.

En ce qui concerne la furtivité, il est important de connaître votre histoire. Nmap a été libéré en 1997, prédantant Blackice, Snort et Bro (tous créés en 1998). Au moment où la "STANTISALY SYNAL SCAN" a été nommée, un système de détection d'intrusion était un programme pour vérifier vos journaux pour des tentatives de connexion en panne. Étant donné que Syn Scan n'active jamais une poignée de main TCP, l'application n'est jamais notifiée. L'événement meurt dans le noyau et rien dans le journal de l'application pour indiquer quoi que ce soit a mal tourné. Ces jours-ci, cependant, la situation est presque inversée; Les organisations sont beaucoup plus susceptibles d'avoir un réseau IDS/IPS d'une capacité d'analyse SIEM/UTM/journal correctement configurée.

11
bonsaiviking