Skip to main content

Spike u prometu s nultom TCP izvorom port je zabrinuta nekih istraživača

Značajno povećanje ovog vikenda u TCP prometu s nultom nišom za izvornu luku moglo bi biti dio izviđanja u pripremi za ozbiljnije napade, prema sigurnosnim istraživačima iz Cisco Systems.

Uobičajeno nema usluge na sustavu koji sluša priključak 0 (nula), jer prema odredištima portova Transportnog protokola od strane Internet Assigned Numbers Authority (IANA), luka nula je " rezervirana luka "i ne smije se koristiti. Stoga primanje TCP (Transmission Control Protocol) prometa s izvornim portom nulte je neobično.

"Općenito govoreći, luka nula prometa može ukazivati ​​na mogući izviđajni napad i može biti preteča ozbiljnijim pokušajima penetracije", Craig Williams , tehnički voditi u istraživačkom timu za prijetnje pri Ciscu, objavio je u ponedjeljak na blogu.

[

] Napredujući korisnici mogu koristiti abnormalni promet na operacijske sustave otiska prsta i mrežnu sigurnost jer različiti operacijski sustavi i mrežna oprema mogu drugačije reagirati na luku bez prometa, rekao je istraživač. "To može omogućiti napadaču da preciznije pokuša kompromitirati mrežu."

Cisco je u subotu doživio veliku širinu u TCP portu nula promet u subotu s porastom obujma prometa i broja senzora koji su otkrili takvu aktivnost , Najveći volumen prometa je došao iz osam Internet Protocol (IP) adresa dodijeljenih Ecatelu, nizozemskom pružatelju usluga namjenskih poslužitelja i dostave sadržaja, Williams je rekao: "Ne znamo namjeru tih paketa", rekao je istraživač. "Ovo bi mogao biti jednostavan istraživački projekt za mapiranje dijelova Interneta operativnim sustavom i servisnim paketom, ili bi mogao biti napadač koji se priprema za nešto nečisto".

Općenito sumnjivo

Kao opće pravilo, korisnici koji vide nulte aktivnosti na njihovim mrežama trebale bi tretirati sumnjive i trebale bi istražiti izvor, izjavio je Williams, dodajući kako tu luku treba blokirati u vatrozidima jer ne služi legitimnoj svrsi.

Teško je nagađati što je cilj promet mogao biti jer Cisco je samo otkrio izvornu luku za to, a ne odredišne ​​luke, HD Moore, glavni istraživački djelatnik u sigurnosnoj tvrtki Rapid7, izjavio je u utorak putem e-pošte. Skeneri koji se izvode kao dio projekta Sonar, zajednički napori koje podržava Rapid7, koji uključuje skeniranje sustava koji se susreću s Internetom za prikupljanje podataka i poboljšanje sigurnosti, koriste izvorne izvore koji nisu nula, rekao je.

Prema Mooreu, mnogi sustavi za otkrivanje upada i vatrozidi već pada port nula prometa pa nema puno koristi za korištenje ove izvorne luke. "Ako bih morao pogoditi, rekla bih da je promet rezultat slomljenog ugrađenog uređaja (SIP telefon itd.) Ili novog zlonamjernog softvera s greškom u kodu skeniranja", rekao je.

Čak i ako prometa koju pokreću Ciscoovi senzori dio je napora trčanja napadača, a skenirani sustavi možda neće biti napadnuti u bliskoj budućnosti. Prema istraživanjima tvrtke Cisco, izviđanje se može održati mjesec dana prije početka stvarnog napada.