Estoy bajo un ISP/AS poco confiable, algo así como GFW. Intentan sabotear activamente una sesión TCP+TLS mediante ataques como enviar SYN RSTa conexiones establecidas, hacer que la conexión se agote, alterar el protocolo de enlace, etc.
¿Existe alguna utilidad en la pila de redes para averiguar si el servidor está bajo ataques de calidad de servicio?
Por ejemplo, para detectar una SYN RSTseñal de alguien que no sea cliente/servidor, podemos comparar el tcpdump tanto del cliente como del servidor para averiguar si la señal proviene de un tercero o no. Podemos hacer esto manualmente o escribir un script. Pero, ¿existen herramientas preparadas para ello? ¿Se puede p0futilizar para esto?
Respuesta1
En principio, las huellas dactilares podrían detectar el ataque. Pero habrás notado que esto suele serprobabilísticométodo, en cuyo caso no se puede saber con certeza si un paquete individual es benigno o está falsificado para bloquearlo de manera confiable.
Es mejor mirar los campos de metadatos como TTL, que para un paquete genuino probablemente será más bajo que para uno falsificado porque pasó por más enrutadores, cada uno de los cuales disminuyó el contador. Tiene sentido descartar un paquete si su TTL difiere significativamente de los observados previamente en la conexión. Esto probablemente podría implementarse usando las reglas de coincidencia de connmark/CONNMARK de iptables (grabando el TTL para nuevas conexiones en la marca de conexión y verificando los paquetes posteriores).
Quizás sepas que muchos recursos de Internet en Rusia están bloqueados. La tecnología de bloqueo difiere, pero una de ellas es hacer exactamente lo que usted nos dice: si el dispositivo ТСПУ (que significa "технические средства противодействия угрозам", medio técnico para contrarrestar amenazas; esencialmente es un DPI) piensa que la conexión debería bloquearse, podría enviar el TCP RST. No bloquea (o al menos no bloqueó) los paquetes normales posteriores, por lo quesiSi tuviera medios para detectar y eliminar el paquete RST, podrá utilizar libremente el recurso "bloqueado". Hay un sitio web dedicado a los métodos para eludir la censura,ntc.fiesta(No estoy afiliado a él de ninguna manera). En particular, uno de los miembros activos de la comunidad,ValdikSS, hizo un softwareadiosDPIcualfue capazpara sortear dicho bloqueo. Parece utilizar también la información TTL mencionada. También enumera otro software con funciones similares.
También quiero abordar específicamente la pregunta del título.IPSecenvuelve todo el paquete IP (incluido TCP) o solo su carga útil y lo autentica con firma electrónica, lo que hace imposible su manipulación utilizando los métodos que usted describe. No es necesario cifrar un paquete, hay un ahencabezado IPsec que solo agrega (y verifica) MAC y, de lo contrario, lo presenta en texto sin cifrar. O puede cifrar utilizando espel encabezado.
Desafortunadamente, no puedes confiar en esto cuando te conectas a servicios "anónimos" arbitrarios, porque para habilitar IPsec necesitas compartir claves con la parte.previoal uso de la tecnología.