[LUGOS-SEC] Re: [LUGOS] IDS

Saso Saso at VSecureIT.net
Tue Jul 6 03:54:38 CEST 2004 

In the message I received, Jure Koren writes:

Jure,

>Si kdaj poskusil doma? Vecina masin na internetu pac ni OpenBSD ali=20
>linux-grsec ali karkoli podobnega, ampak Windows. 98 in 2000, ce smo=20
>natancni. In pred seboj nimajo nicesar, kar bi ustavilo brute-force TCP res=
>et=20
>napade.

Bom se enkrat ponovil, ampak tokrat res zadnjic. Kot prvo, je
protokolov, ki rabijo non-stop povezavo v casu, potrebnem za ta napad
izredno malo. Telnet, SSH, FTP med prenosom podatkov. HTTP seje so zelo
kratkotrajne in ce kdo slucajno resetira povezavo uporabnik tega sploh
ne bo zaznal; vecina web browserjev ima obicajno istocasno vec kot eno
povezavo na streznik.

Kot drugo, Windows IP sklad, tako kot pri nekaterih drugih operacijskih
sistemih, res zacne z dolocenim portom in potem zvisuje port z vsako
novo povezavo. Ampak, ko se sprosti prvi uporabljen port, se bo za novo
povezavo odprl sveze sproscen port, ne pa zadnji_uporabljen_port+1. In z
vsako novo povezavo in z vsako minuto bo manjsa verjetnost, da bo kdo na
slepo ugotovil pravi izhodni port.

[snipped. Ni bil odgovor na jasno zastavljeno vprasanje.]

>> >http://kerneltrap.org/node/view/3072 fino opise pomanjkljivosti TCPja.
>> Cisto res. Skoda le, da ga nisi prebral.
>
>Tam lepo razlozi v cem je finta 4 paketkov za en TCP session resetirat. Win=
>dow=20
>size.

Razlozi tudi, zakaj je ta celotna zadeva teoreticni diskurs bolj kot
kaksna resna ranljivost sistemov. Velikost TCP okna je odvisna od
implementacije IP sklada v operacijskih sistemih. Nekateri zacnejo z
velikimi in jih po potrebi zmanjsujejo, drugi zacnejo z manjsimi in jih
s casom povecujejo. Za vecino TCP sej bo okno med 4 in 16k. Za TCP seje,
ki res prenasajo velike kolicine podatkov, bo TCP okno obicajno med 16k
in 32k, vcasih celo 64k.

Tu govorimo o realnem svetu, ne pa domaci mrezi.

4 paketki so mit, ki se ga ocitno drzijo le tisti, ki stvari ne
razumejo.

Kaj res pravi clanek:

    Among other features, this RFC defines "window scaling", a widely
    supported TCP extension that effectively increases the available
    window size from 16 bits to 30 bits. Thus, against an application or
    protocol using window scaling open to the maximum range, an attacker
    would only have to send 4,294,967,295 divided by 1,073,741,824, or 4
    packets.

V praksi tako velikih TCP oken (1Gb) _ne bos_ videl se lep cas, ce sploh
kdaj. Teoreticni napad.

[snipped.]

>S sekiro odklopit masino z neta zahteva fizicno prisotnost, TCP reset napad=
> pa=20
>ne.

In oba sta priblizno enako mozna v realnem svetu.

Lep pozdrav,

Saso

More information about the lugos-sec mailing list