Fragmentierungsattacke

Anni_148980 · 9. November 2019 um 11:49

Hallo
Meine Firewall (Panda) hat mir gerade eine „Fragmentierungsattacke“ gemeldet, die geblockt wurde. Was heißt das???
Gruß
Anni

pumpkin_1768a9 · 9. November 2019 um 11:49

Moien

Meine Firewall (Panda) hat mir gerade eine
„Fragmentierungsattacke“ gemeldet, die geblockt wurde. Was
heißt das???

Irgendein Internet-Wurm hat was lustiges mit deinem TCP-Stack versucht.

Dem TCP-Stack wärs egal gewesen (wenn dein Windows alle Updates hat)(sprich der Wurm wär eh nicht reingekommen) aber die Firewall wollte malwieder beweisen dass sie das gemerkt hat.

Nix wichtiges, normales Hintergrundrauschen des Internet. Im Moment klopft alle 16 min ein Wurm an, siehe survival time rechts oben: http://isc.sans.org/index.php?on=survivaltime

cu

StefanS_8166b2 · 9. November 2019 um 11:50

Abend!

Meine Firewall (Panda) hat mir gerade eine
„Fragmentierungsattacke“ gemeldet, die geblockt wurde. Was
heißt das???

Irgendein Internet-Wurm hat was lustiges mit deinem TCP-Stack
versucht.

Was hat er denn versucht?

Nix wichtiges, normales Hintergrundrauschen des Internet. Im
Moment klopft alle 16 min ein Wurm an, siehe survival time
rechts oben: http://isc.sans.org/index.php?on=survivaltime

Coole Seite!

Gruß ein neugieriger
Stefan

pumpkin_1768a9 · 9. November 2019 um 11:50

Moien

Irgendein Internet-Wurm hat was lustiges mit deinem TCP-Stack
versucht.

Was hat er denn versucht?

Unter dem Begriff „IP fragmentation“ kenn ich 3-4 ältere Bufferoverflows. Grob:
Wenn ein IP-Packet in Fragmente zerlegt wird schreibt der Zerleger in jedes Packet wieviele Fragmente es waren, welche Grössen und in jedes einzelne welche Seriennummer das Packet hat.

Bekommt windows nun irgendein Teil aus aus einer Zerlegung dann erzeugt er einen Buffer für das ganze Packet (BOOM 1. floodattacke) und schreibt nachfolgende Packete, ohne die Grenzen des Buffer zu kontrollieren ( BOOM 2 bufferoverflow), in den Buffer rein. Auch „negative“ Seriennummern gabs mal ( BOOM 3 , bufferunderflow). Dann gab’s auch Versionen in denen windows die IP-Header mit in den Datenbereich geschrieben hat (Daten korrupt, könnte evtl. einige Server aus dem Tritt bringen, nix wildes) weil es nicht mehr wusste dass da ein fragmentiertes Packet zusammen gesetzt wird.

Nach windows 2000 SP1 hab ich nix richtig grobes mehr in der Richtung gesehen. Aber wer weiss was M$ in XP/2003/Vista mit dem IPv6-Stack vor hat…Ich denke nicht dass da noch wirklich Gefahr von ausgeht. Aber die FW muss ja zeigen was sie kann/kennt und manchmal auf sich aufmerksam machen.

Das BOOM 1 war eine beliebte Attacke auf win95/98, hat einfach den kompletten RAM mit Netzwerkbuffern voll gemacht. Man brauchte nur 2 IP-Packete und windows stand.

Wenn du’s genauer haben möchtest und mal selbst testen willst: such in nessus mal nach dem Punkt „IP fragmentation“.

cu

StefanS_8166b2 · 9. November 2019 um 11:50

Danke! (owT)
.

Anni_148980 · 9. November 2019 um 11:50

Danke Pumpkin
für deine umfangreichen Infos.
war schon ein wenig beunruhigt.
Alle anderen Versuche in meinen Pzäh einzudringen waren bisher nur „Verbindungsversuche“ oder Cookies. Und dazwischen dann eine Fragmentierungsatacke zu finden hat mich irritiert.