Security Professionals - ipfw add deny all from eindgebruikers to any

TCP reflectie attack

11-02-2014, 09:58 door Anoniem, 7 reacties
Ik zie sinds dit weekend op een aantal webservers iets wat waarschijnlijk bedoeld is als een reflectie attack.

Er komen voortdurend SYN packets binnen vanaf hetzelfde adres met source port 80 of 443 en destination port 80.
De server gaat daar uiteraard (of ging, ik heb het inmiddels gefilterd) SYN ACK op terug sturen naar dat afzender
adres, maar dat is wellicht gespoofed.
De SYN packets komen een of enkele per seconde binnen zonder backoff, dus duidelijk malicious.

Ik heb ook wat experimenten gezien waarbij er steeds een ander source port nummer gebruikt werd, maar de kiddies
hebben zich waarschijnlijk gerealiseerd dat dit niks uithaalt omdat het slachtoffer natuurlijk een firewall heeft die die
packets aan allerlei hoge poorten gewoon blokkeert.

Nouja met een stateful firewall worden die SYN ACKs natuurlijk ook geblokkeerd maar wellicht is er toch overlast.
Een modern systeem raakt ook niet meer overbelast door een serie SYN packets dus van die 2e variant had ik verder
geen last. Toch maar wel een rule gemaakt om deze mensen te filteren.

Dezelfde aanval heb ik gezien op allerlei verschillende (ongerelateerde) webservers.
Zijn er meer mensen die dit zien langskomen?
Reacties (7)
11-02-2014, 17:28 door Anoniem
Ik wil het geen eens zien, kan ik lekker elke dag naar alle netwerk ellende kijken die getracht wordt uitgevoerd te worden op mijn omgeving: nee dank je (specifiek verkeer wil ik wel zien).
11-02-2014, 21:12 door MrRight
Inderdaad,

Als je alles moet / wilt volgen wat er op het Internet naar jou voorbij komt, heb je een dagtaak.

Op zich goed dat je dit ziet maar geloof mij: dit is Internet in 2014.

Goede firewall: opgelost.

Vind ik.

MrRight.
12-02-2014, 09:29 door Anoniem
Nou ik denk niet dat jullie firewall dit tegenhoudt hoor... als je een webserver hebt is dit op het eerste gezicht legitiem
verkeer. Pas als op je SYN ACK geen ACK meer komt weet je dat het fout zit.
Of je deelnemer wilt zijn in een reflection attack moet je natuurlijk helemaal zelf weten.
12-02-2014, 09:55 door BaseMent
Ik zie dit ook, al wat langer overigens.
Ik vond het eerst raar omdat ik verkeer binnen zag komen met zowel source als destination port 80. Later pas bedacht dat daarmee een aanval werd gedaan op het (gespoofde) source adres.
Heb het nu opgelost maar vooralsnog blijft het verkeer wel binnekomen.
12-02-2014, 12:30 door Anoniem
klinkt inderdaad als een syn flood/reflection attack.
12-02-2014, 16:52 door hx0r3z - Bijgewerkt: 12-02-2014, 16:52
Als je geen server hebt draaien en geen verkeerde website bezoekt etc.. Kan ik niet begrijpen waarom nee.. Je hebt er altijd wel een paar maar natuurlijk niet continue, waarschijnlijk een sockstress aanval. Aangezien alles SYN is en TCP. Wat gebeurd er met je pc? Langzaam, veel ram in gebruik? En wat draai je Windows of Linux? Je hebt niks port forwarded of wel..?
13-02-2014, 10:05 door Anoniem
Door hx0r3z: Als je geen server hebt draaien
Dan zou ik dit niet posten.
Lees het nog even een keertje, het gaat over webservers, niet over een peecee van een gebruiker ofzo.
Die dingen zitten op publieke IP adressen in verschillende ranges en niet achter een home routertje met NAT.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search