web-dev-qa-db-ja.com

ポートスキャン:「トラフィック拒否」VS「クローズ-エイジアウト」

ファイアウォール(ジュニパー)からのログを調査したところ、誰かが私のWebサイトをポートスキャンしているときに、異なるTCP/UDPポートを介したトラフィックの大部分が拒否されていることがわかりました(許可されているポート80および443を除く)。 。ただし、トラフィックは、ポート4800、502、21025、88など、一部のポートでは許可されていません。ただし、ログを調べた後、「CLOSE-age out」と表示されます。これは、攻撃者がなんとかセッションを開始できたが、トラフィックが一定時間送信されなかったことを意味しますか?攻撃者はこれらの異なる応答から情報を取得しますか?明確にするために、私は正確なファイアウォール構成を確認するためのアクセス権を持っていません。

firewallsportsscan
1
Gabrielius

一部のJuniperデバイスは、TCP RSTパケットを期限切れとしてログに記録します。これは、ASICがタイムアウトを処理する方法と関係しています ここを参照

RSTパケットは、SYNベースのポートスキャナーが特定のポートでファイアウォールの通過を許可されている場合に予期される動作です。 SYNスキャナーはTCP接続を確立するために最初のSYNパケットを送信します。

  • 閉じたポートの場合、ほとんどのシステムはRSTパケットを送信してこれを拒否します(そのため、クライアントに通知し、タイムアウトしないようにします)。
  • 開いているポートの場合、クライアントはACKで応答します。次に、スキャナーは(通常)RSTを送信して、サーバーが接続を閉じることができることをサーバーが認識できるようにします。
  • これは合法的にタイムアウトになる可能性があることを指摘する価値もあります。つまり接続は確立されていますが、ファイアウォールのタイムアウト制限内でパケットが受信されていません。

これらのポートで期限切れが発生している場合は、パケットがファイアウォールを通過することをお勧めします。ログ、ファイアウォール構成、またはサーバー構成からより多くの情報を確認しないと、これらが許可される理由と、プロセスが接続を通過する距離の両方を推測することは困難です。

0
Hector