domingo, 10 de agosto de 2008

¿ Dónde están los Type11Code0 ?

Buscando algunos buenos ejemplos de firewalking para mi COMBAT Training, me encontré con unas respuestas muy curiosas de mi ISP cuando enviaba paquetes con una TTL muy baja.

Por ejemplo, haciendo un traceroute con ICMP o UDP pueden ver que casi inmediatamente aparecen varios saltos filtrados:


Ahora si al traceroute lo hacemos con TCP, lo sumamente curioso es que esos saltos siguen apareciendo como filtrados, pero al sniffear el tráfico podemos ver que en realidad estamos recibiendo un TCP RST por cada paquete que enviamos:



Lo raro es que cuando la TTL de un paquete llega a 0, deberíamos recibir un mensaje de error ICMP Time exceeded in-transit (ICMP Type 11 Code 0), no un TCP RST. Tengan en cuenta que estos de valores de TTL van de 1 a 6, osea que estamos muy lejos de llegar al host todavía.

Probé realizar las mismas pruebas desde otro enlace a Internet y esto no sucede, por lo que podríamos pensar que es algún dispositivo de red que posee mi ISP.

Para intentar identificar a este dispositivo podemos probar hacer un fingerprinting pasivo con p0f. El tema es que la exactitud que puede llegar a tener p0f esta basada en el análisis de paquetes SYN/ACK, cuando intentamos hacer un fongerprinting con paquetes RST, p0f se encuentra con grandes limitaciones:


Mi teoría es que podría llegar a ser algún dispositivo de QoS, ya que a los RST solo los recibimos cuando usamos TCP, aparte la TTL de 255 suelen ser usadas por equipos de este tipo.

Pero como estuve todo el fin de semana con una fuerte gripe, tengo fiebre y mientras escribo este post Gesolmina me quiere hacer entender el dialecto greco-calabres, tal vez todo sea fruto de mi imaginación conspirativa.

Si a alguien tiene alguna otra idea sobre que podría llegar a ser este dispositivo por favor deje algún comentario.

1 comentario:

Sepa dijo...

vo' 'tas loco !!!!

Perseguido.... o no ???

para mi uno de esos saltos es el Echelon !!

yo que vos me cuido...

jajaj

Un abrazo
Salu2

LinkWithin