Statefull Connections - IP Half Scan - Timeoutproblem?
- From: Thomas Wildgruber <excpronto@xxxxxx>
- Date: Sat, 21 Jan 2006 13:58:21 +0100
Hi Group,
unser ISA04 hat als innerer von zwei Routern hat einen IP Half Scan
geloggt. Diese sind ja nun mal nicht selten aber das der innere von zwei
Routern damit konfrontiert wird, kommt mir seltsam vor. Die mitgeloggte IP
auf Port 443 ist eine normale Webseite, welche von uns regelmässig genutzt
wird.
Ich habe kürzlich selbst einen solchen Eintrag am ISA verursacht, als ich
versucht habe von intern über 'nmap' den Fingerprint eines Servers in der
DMZ zu bekommen. Diese Ursache halte ich aber für den nun vorliegenden Fall
unwahrscheinlich.
Könnten unterschiedliche Timeouts für Statefull Connections so etwas
ebenfalls verursachen? -> Der äussre Router hält die von intern initierte
Verbindung noch offen, während der innere Router (ISA) diese bereits
geschlossen hat, dazu müsste dann aber noch ein /verspätetes/ Paket vom
Webserver hier eintreffen?
Dazu passt allerdings folgende Aussagen IMHO nicht ganz:
[Zitat][1]
Treten auf, wenn Eindringlinge wiederholt versuchen, eine Verbindung zum
Zielcomputer herzustellen und die TCP-Pakete bestimmte Flags enthalten. Die
bestimmten Flags sind Sync = 1. Daraufhin sendet der Ziel Server die Flags
Sync=1 und zusätzlich das ACK=1 Flag. Als nächstes müsste der Angreifer ein
IP Paket senden das nur noch das Ack=1 Flag gesetzt hat, das tut er aber
nicht (ein halber Port Scann also). Dieser Vorgang kann darauf hindeuten,
dass nach offenen Ports gesucht wird.
[/Zitat]
Das zu erwartende Pakte hätte im von mir oben beschriebenen Szenario IMHO
nur ein ACK Flag besitzen müssen. Das ein Timeoutproblem zu false opsitiv
Resultanen führen kann, habe ich von kbeta.com[2] entnommen.
Oder welche Möglichkeiten (auch böser Absichten) gäbe es noch, den zweiten
Router mit dieser Scanmethode zu bedrohen?
[1] http://www.msisafaq.de/Anleitungen/2004/Konfiguration/Intrusion.htm
[2] http://www.kbeta.com/attacklist/IPHalfScan.htm
Bye Tom
--
"Manches Gewissen ist nur rein, weil es nie benutzt wurde" (Robert Lembke)
.
- Follow-Ups:
- Re: Statefull Connections - IP Half Scan - Timeoutproblem?
- From: Jens Baier
- Re: Statefull Connections - IP Half Scan - Timeoutproblem?
- Prev by Date: Re: FTP (z.b. Total Commander)+ ISA 2004
- Next by Date: Re: Statefull Connections - IP Half Scan - Timeoutproblem?
- Previous by thread: Re: FTP (z.b. Total Commander)+ ISA 2004
- Next by thread: Re: Statefull Connections - IP Half Scan - Timeoutproblem?
- Index(es):
Relevant Pages
|
