Jump to content

Recommended Posts

Pessoal, estou com 2 dúvidas. Eu tava estudando sobre SYN Flood, e vi q ele consiste em tu enviar vários segmentos TCP com a flag SYN ativada. E aí o alvo vai responder com o SYN/ACK, e tu não responde mais nada. Só vai enviando um monte de SYN. Só q tipo, eu tava fazendo aqui um teste na minha máquina, e comecei a analisar com o tcpdump. E me deparei com o seguinte:
Quando eu uso o hping3 pra fazer o ataque DoS, ele ta mandando o SYN, o alvo ta respondendo com o SYN/ACK, porém o meu PC envia um RST logo após. Então minha primeira dúvida é:
Ele deveria enviar esse RST no final mesmo ?

E a segunda dúvida é, eu fiz o mesmo ataque porém agora usando um módulo do metasploit e também fiz o mesmo teste com o scapy. E analisei com o tcpdump denovo. Porém dessa vez, eu envio um monte de SYN, e o alvo não me responde com um SYN/ACK. Seria normal isso ?

Vou mandar um print aqui da analise q fiz pelo tcpdump

OBS:
- No host-alvo to executando um servidor PHP na porta 7777
- To usando Debian 10
- Isso é apenas pra conhecimento. Não vou sair por aí dando ataque DoS
- O SYN Cookies ta desativado

Rodei o hping3 assim:

# hping3 127.0.0.1 -I lo --flood -p 7777 -S

E rodei o código no scapy assim:

a = IP(dst='127.0.0.1')/TCP(sport=RandShort(), dport=7777, flags="S")
send(a, loop=1,verbose=0)

Com hping3:

hping3.jpg

 

Com scapy ou Metasploit:

metasploit_syn_flood.png

Edited by Jonathan403
Link to post
Share on other sites
  • Apoiador Bit

Posso estar enganado, pois faz algum tempo que não mexo com isso.

A resposta RST do hping aparentemente está normal uma vez que ele não quer efetivamente estabelecer uma conexão. O hping é usado como scanner de portas e hosts.

Quanto a outra questão, vc estaria com algum firewall de pé?

Link to post
Share on other sites

Mas tipo, o propósito do SYN Flood não é deixar o alvo esperando pelo ACK final ? E enquanto o alvo ta esperando pelo ACK, eu to mandando um monte de SYN ? E aí quando ele manda o RST, isso não iria contra a idéia do SYN Flood pois fecharia conexão ? Me corrija se eu estiver errado por favor

E com relação ao firewall, não to usando nenhum aqui. Ta desativado

Link to post
Share on other sites
  • Apoiador Bit

Bem, eu diria que objetivo primário do hping é fingir que quer uma conexão real para forçar a resposta do servidor, sendo por isso normalmente usado como portscan.

O scapy e o metasploit tem que verificar a montagem do pacote e se o módulo tá funcionando corretamente, respectivamente.

Vamos esperar outras respostas de alguém com mais experiência.

  • Agradecer 1
Link to post
Share on other sites
  • Administradores

Não tenho certeza, mas talvez o RST seja enviado pelo SO, na linha do que o @Dirceu disse. Um workaround que consigo imaginar é bloquear pacotes TCP com essa flag. Já que você tá no Debian, vai ser algo como:

iptables -A OUTPUT -p tcp --tcp-flags RST -j DROP

E claro, depois vai ter que deletar essa regra, porque nada de rede nessa máquina vai funcionar mais hehe.

Abraço!

Link to post
Share on other sites
  • 3 weeks later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...