Re: icmp werden ignoriert

From: Tatjana Aggoussi (taggousi)
Date: 07/26/04 

Date: Mon, 26 Jul 2004 14:16:29 +0200

Hallo Urs,

> Bitte?!

OK. And sorry für die Unvollständigkeit ....

Besser wäre:
Router und *Computer* können zwar für das Beachten des DF Bits konfiguriert
werden, aber damit eröffnest Du eine weitere Option für (D)DoS Attacks, *und
die gute Absicht kann an etlichen weiteren Stellen scheitern*

Erläuterung:
RFC-konform konfigurierte Router waren/sind eine der ersten Instanzen, die
von ICMP (D)DoS Attacks überflutet wurden.

Ebenfalls, RFC-konforme Internet Hosts mit aktivierter PMTU Discovery
Funktion werden im Rahmen eines Dos Attacks oft zu Opfer, wenn sie von einem
Atttacker-Host (der auch gespoofte IPs verwendet) mit falscher MTU size
beliefert, oder auf diese Weise in Rahmen eines DDoS Attacks mit Ziel auf
andere Hosts eingebunden werden.

Als ersten Gegenapproach werden hier Taktiken verwendet, die nicht unbedingt
RFC-konform sind und die die Kommunikation zwischen zwei Hosts behindern
können, vorallem wenn die Kommunikation mehrere Stationen passieren muss.

Z.b. Black Hole Router beachten das DF Bit zwar, aber wenn das Paket
fragmentiert werden soll, verwerfen sie das Paket anstatt eine ICMP Type 3
Code 4 Message an den Originator zu senden (gleichbedeutend mit
Fragmentation Required , DF Set, ...).

Andererseits können zwischenstationäre Router so konfiguriert sein, dass sie
ICMP Pakete gar nicht weiter leiten (wegen ICMP Floods),

bzw. einige next-Hop Router teilen ihren unmittelbaren Nachbar ihre MTU size
gar nicht mit, oder der nachbar-Router ignoriert derartige ICMP Messages.

Und schliesslich kann die Firewall vor dem Originator ICMP Pakete blockieren
oder der Originator selbst o.g. ICMP Pakete ignorieren.

Das alles kommt vor, auch wenn die meissten der genannten Optionen nicht
RFC-konform ist.

Die gelieferten Links sollten die mögliche Konfigurations-Optionen
veranschaulichen.

Ich hoffe, der Text war diesmal klar ...?
:-)

Gruss,
Tatjana Aggoussi

PS: Deine Ref. lese ich heute abend, insofern kann es sein, dass ich auf
best. Inhalte, auf die Du hindeuten wolltest, nicht eingegangen bin ...

Relevant Pages

  • RE: Hacking to Xp box
    ... I think there was a misunderstanding in the firewall point: ... Regarding ICMP backdoors, this technique was first use by some skilled guy ... you need to find some vulnerability that could be exploited to run ... > restricts most of the attacks that use anonymous connections. ...
    (Pen-Test)
  • RE: [fw-wiz] Worms, Air Gaps and Responsibility
    ... Multiplatform attacks are due but I personally doubt the router is the ... secondary target of choice, unfortunately my money's on PDAs and cell ... Lots of places don't have time/knowledge for even tactical security. ...
    (Firewall-Wizards)
  • Re: Would a firewall prevent Sasser worm?
    ... >> the same level of protection that I would have with any NAT router? ... >There are a variety of known attacks which can crash routers, ... >Firewall capability allows you to modify the NAT behaviour to allow selected ...
    (comp.security.misc)
  • Re: Would a firewall prevent Sasser worm?
    ... >> the same level of protection that I would have with any NAT router? ... >There are a variety of known attacks which can crash routers, ... >Firewall capability allows you to modify the NAT behaviour to allow selected ...
    (comp.security.firewalls)
  • Re: Would a firewall prevent Sasser worm?
    ... >> the same level of protection that I would have with any NAT router? ... >There are a variety of known attacks which can crash routers, ... >Firewall capability allows you to modify the NAT behaviour to allow selected ...
    (alt.computer.security)
Quantcast