1 votos

Cambio del algoritmo de generación de secuencias TCP/IP IPID en Windows Server

una reciente revisión de seguridad en el servidor web de un cliente arrojó los siguientes resultados:

"[...] El sistema bajo prueba está usando ip ids incrementales. Esto significa que cada paquete ip saliente tiene un número de identificación incremental que puede ser utilizado para el análisis de la carga sigilosa o para los llamados escaneos ociosos contra sistemas de terceros. [...]"

Un hping del sistema está mostrando los números de identificación crecientes:

$ sudo hping3 -c 3 --fast -p 80 -S xxx.xxx.xxx.xxx
HPING xxx.xxx.xxx.xxx (tun0 xxx.xxx.xxx.xxx): S set, 40 headers + 0 data bytes
len=44 ip=xxx.xxx.xxx.xxx ttl=122 DF id=14360 sport=80 flags=SA seq=0 win=8192 rtt=802.2 ms
len=44 ip=xxx.xxx.xxx.xxx ttl=122 DF id=14361 sport=80 flags=SA seq=1 win=8192 rtt=807.1 ms
len=44 ip=xxx.xxx.xxx.xxx ttl=122 DF id=14362 sport=80 flags=SA seq=2 win=8192 rtt=801.6 ms

El sistema es un Windows Server 2003 SP2 (respectivamente varios servidores con equilibrio de carga).
Puede que no sea adecuado como anfitrión zombi en un escaneo de inactividad, ya que es todo lo contrario a la inactividad. Pero si podemos cambiar el comportamiento queremos cambiarlo.

No puedo encontrar ninguna documentación sobre el algoritmo de generación de la secuencia IPID en la pila TCP/IP de Windows, por ejemplo, si sólo se incrementa por host o global o si el comportamiento cambió con versiones posteriores de Windows.
Sólo este Parche disponible para mejorar la aleatoriedad del número de secuencia inicial de TCP

¿Puede alguien indicarme la documentación sobre qué versión de Windows utiliza qué algoritmo de generación de secuencias IPID?
¿Hay alguna opción para cambiar la generación de IPID?

0voto

Gordon Gustafson Puntos 14778

http://msdn.microsoft.com/en-us/library/ms819768.aspx indica que ya hace números aleatorios. Dices que en realidad se trata de "múltiples servidores con equilibrio de carga". Entonces, ¿a qué IP estás haciendo ping? Eso sería lo que querrías mirar.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: