Früher habe ich geschrieben eine Herausforderung zu einem tcpdump / WinDump Filter, der Pakete, die die TCP-Option "Window Scale" gesetzt haben einzufangen schreiben würde. Einige Leute sind in der Nähe, aber ich wollte ein paar Tipps zu posten. Außerdem habe ich kein Problem mit Ihnen per E-Mail direkt an mich, sondern um die Herausforderung, die Sie haben, um die Antwort zu den Kommentaren nach zu gewinnen. So gibt es keine Frage, wer die Antwort gefunden, zuerst.

Alle TCP-Optionen werden durch ein "Registry Kind"-Wert (ähnlich der ICMP Feld "Typ") angegeben. Im Fall von Window Scale, ist, dass Wert 3. Außerdem enthalten alle TCP-Optionen mit Ausnahme von NOP eine sekundäre Feld "Länge". Diese legt fest, wie viele Bytes der Optionen ist mit, darunter die "Registry Kind" Byte. Im Fall von Window Scale die Länge beträgt immer 3. Also haben wir:

• 1 Byte für Registry Art
• 1 Byte für Länge
• 1 Byte für die tatsächliche WScale Wert

Tipp 2: Wenn Sie noch nie in die TCP-Optionen Bereich haben gebohrt, hat tshark einem kühlen Option:

tshark-n-r capture-file.cap-T Felder-e tcp.options

Dadurch wird der gesamte TCP-Optionen Bereich in Hex-Ausgang, so dass Sie zumindest sehen können, wie es aussieht.

Finale Ahnung, ich habe eine Linux-SYN-Paket, das WScale bis 5 Sets für Sie zu nutzen, um den Filter zu überprüfen veröffentlicht.

linux-syn

Viel Glück!

Chris

Ich habe ein bisschen los, einschließlich der Veröffentlichung einer neuen Referenz-Tool für das Apple iPhone und iPod. Das Tool ist Call Packet Decode und ich habe Setup einen alternativen Ort zu helfen, pflegen sie.

Ich fühle mich vernachlässigt diese Seite in den letzten paar Wochen schlecht, so habe ich beschlossen, zu werfen, eine weitere Herausforderung. Der Gewinner erhält eine kostenlose Kopie der oben genannten Packet Decode-Tool. OK, so dass Sie nicht in der Lage sein, auf den Erlös den Ruhestand, aber hoffentlich wird das Tool die Ihnen das Leben ein bisschen leichter.

Also hier ist die Herausforderung:

Schreiben Sie eine tcpdump oder WinDump Filter, der nur erfassen werden Pakete, die das TCP "Window Scale"-Option eingestellt haben. Alle anderen TCP-Option Einstellungen können ignoriert werden.

Ziemlich einfach, nicht wahr? Erste Person, um die Antwort in den Kommentaren Beitrag erhält den Preis.

In meinem letzten Beitrag hatten wir festgestellt, dass die Trace-Datei einer Sitzung, in einem einzigen geschliffen netzwerkbasierte Intrusion Prevention-System versucht, einen Angriff von einem HTTP-Client auf einem Webserver zu stoppen enthalten hatte. Wir schlossen daraus, dass der Client die Daten angefordert hat Blick eher verdächtig, und erwies sich das System eines Dritten (der NIPS) war verantwortlich für die Reset-Pakete während der Sitzung übermittelt.

In diesem Beitrag müssen wir noch zwei Fragen beantworten:

1. War der Angriff erfolgreich?
2. Warum hat die Web-Server ignorieren die TCP-Reset-Packet von der NIPS übertragen?

War der Angriff erfolgreich?

Der Angreifer war auf der Suche um herauszufinden, ob die Datei "startstop.html" in der "Administrator"-Verzeichnis wurde. Werfen wir einen Blick auf eines der Pakete an den Angreifer nach dem Reset-Pakete übermittelt wurden:

tshark-n-r challenge1.cap-x frame.number == 11

11 0.711825 12.33.247.4 -> 148.78.247.10 TCP [TCP Retransmission] [TCP Segment einer zusammengesetzt PDU]

0000 00 50 8b EA 20 ab 00 b0 d0 20 7d e3 08 00 45 00. P.. .... } ... E.

0010 01 a7 37 47 40 00 40 06 73 8b 21 0c f7 04 94 4e .. 7G @. @. S..! ... N

0020 f7 0a 00 50 69 2a 3a 88 39 cd 6a 97 b9 4c 80 19 ... Pi *:.. 0,9 j. L..

0030 19 20 8c d4 00 00 01 01 08 0a 3d 76 0e d3 00 EC. ... ... ..= V ....

0040 48 4b 48 54 54 50 2f 31 2e 31 20 34 30 34 20 4e HKHTTP/1.1 404 N

0050 6f 74 20 46 6f 75 6e 64 0D 0A 44 61 74 65 3a 20 ot gefunden .. Datum:

0060 54 75 65 2c 20 32 35 20 4a 75 6e 20 32 30 30 32 Tue, 25 Juni 2002

0070 20 30 30 3a 33 34 3a 35 38 20 47 4d 54 0d 0a 53 00.34.58 GMT .. S

0080 65 72 76 65 72 3a 20 41 70 61 63 68 65 0d 0A 43 erver: Apache .. C

0090 6f 6e 6e 65 63 74 69 6f 6e 3a 20 63 6c 6f 73 65 nschluss: close

00A0 0d 0A 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 .. Content-Type:

00B0 74 65 78 74 2f 68 74 6d 6c 3b 20 63 68 61 72 73 text / html; chars

00C0 65 74 3d 69 73 6f 2d 38 38 35 39 2d 31 0D 0A 0D et = iso-8859 bis 1 ...

00d0 0a 3c 21 44 4f 43 54 59 50 45 20 48 54 4d 4c 20. <! DOCTYPE HTML

00e0 50 55 42 4c 49 43 20 22 2d 2f 2f 49 45 54 46 2f PUBLIC "- / / IETF /

00f0 2f 44 54 44 20 48 54 4d 4c 20 32 2e 30 2f 2f 45 / DTD HTML 2.0 / / E

0100 4e 22 3e 0a 3c 48 54 4d 4c 3e 3c 48 45 41 44 3e N ">. <HTML> <HEAD>

0110 0a 3c 54 49 54 4c 45 3e 34 30 34 20 4e 6f 74 20. <TITLE> 404 Not

0120 46 6f 75 6e 64 3c 2f 54 49 54 4c 45 3e 0a 3c 2f Found </ TITLE>. </

0130 48 45 41 44 3e 3c 42 4f 44 59 3e 0a 3c 48 31 3e HEAD> <BODY>. <H1>

0140 4e 6f 74 20 46 6f 75 6e 64 3c 2f 48 31 3e 0a 54 Nicht Found </ H1>. T

0150 68 65 20 72 65 71 75 65 73 74 65 64 20 55 52 4c er angeforderte URL

0160 20 2f 63 66 69 64 65 2f 41 64 6d 69 6e 69 73 74 / CFIDE / Administ

0170 72 61 74 6f 72 2f 73 74 61 72 74 73 74 6f 70 2e rator / StartStopp.

0180 68 74 6d 6c 20 77 61 73 20 6e 6f 74 20 66 6f 75 html nicht fou

0190 6e 64 20 6f 6e 20 74 68 69 73 20 73 65 72 76 65 nd auf dieser dienen

01a0 72 2e 3c 50 3e 0a 3c 2f 42 4f 44 59 3e 3c 2f 48 r. <P>. </ BODY> </ H

01b0 54 4d 4c 3e 0a 00 03 00 07 TML> ... ..

So die Antwort auf die Angreifer auf die Frage, "Ist die Datei auf dem Server befindet, ist in jedem Paket des Servers an den Client nach dem Reset-Pakete ausgegeben wurden beantwortet?. Nun stellt sich die Frage, hat der Angreifer sehen, diese Informationen?

Wenn Sie die Reset-Paket an den Angreifer geschickt wurde, sollte die Reset der TCP-Sitzung getötet haben. Dies bedeutet, dass, wenn diese Daten angekommen, der empfangende Port (TCP/26922) sollten in einem geschlossenen Zustand gewesen sein. Wäre dies tatsächlich wahr gewesen, würde ich erwarten, um zu sehen, ein Reset / ACK auf dem Rückweg von dem Angreifer das System sagt uns, dass TCP/26922 ist jetzt geschlossen. Wir sehen nie die Pakete.

Warum also nicht den entfernten Port zu schließen? Die Reset-Paket gültig ist, so sollte es die Sitzung beendet haben. Eine versierte Angreifer wird ein Paket-Sniffer im Hintergrund laufen, während Sie ihren Angriff. Es ist möglich, dass der Angreifer herausgefunden haben, was los war und einfach erstellt eine Firewall-Regel auf ihren Angriff System Herausfiltern aller eingehenden Reset-Pakete. Dies würde ihr Werkzeug erlaubt haben, um weiter funktionieren. Auch ohne die Firewall-Regeln ihre Paket-Sniffer würde die Antworten, die sie suchen, enthalten. So gibt es eine sehr gute Chance, der Angreifer hat, was wir sind anfällig für rechnete, trotz der Tat ein NIPS ist der Schutz des Netzwerks.

Warum hat die Web-Server ignorieren Sie die Reset-Paket?

Unsere letzte Frage ist, warum hat die Web-Server ignorieren Sie die Reset-Paket von der NIPS geschickt. Dies führt zu zwei Problemen:

• Die Info der Angreifer wollte sich weiter austreten
• Wenn der Angreifer mehrere Datei-Sonden konnten sie füllen die Session-Tabelle auf dem Webserver

Der zweite Punkt ist ein wenig beängstigend, weil es eigentlich die NIPS wodurch der Schutz vor DoS-Angriff wäre nur durch das Töten der einen Seite der Verbindung korrekt. Also selbst wenn wir gepatcht wurden und up to date, Lieferanten Gang, den wir bezahlt Geld für enden würde, tötet unsere Web-Server. Gee Ich hasse es, wenn ich Geld, um DoS mir zu verbringen.

Nehmen wir noch einen Blick auf die Reset-Pakete:

tshark-n-r challenge1.cap frame.number == 6 oder frame.number == 7

6 0.031319 12.33.247.4 -> 148.78.247.10 TCP 80> 26922 [RST, ACK] Seq = 1 Ack = 222 Win = 0 Len = 0

7 0.031385 148.78.247.10 -> 12.33.247.4 TCP [TCP ACK verloren Segment] 26922> 80 [RST, ACK] Seq = 1 Ack = 222 Win = 0 Len = 0

Beachten Sie, dass tshark sagt uns Paket 7 ist ein verlorener Segment. In anderen Worten, tshark sagen uns, dass die TCP-Sequenznummer nicht innerhalb des Fensters den Host erwartet. Ein Blick auf die Reihenfolge und bestätigen Zahlen erklärt, warum. Die Werte sind identisch mit denen im Paket 6. Sie können aus dem letzten Beitrag nicht vergessen, dass Paket 6 und 7 hatten auch die gleiche IP-ID-Wert (45.298).

So scheint es, dass hier was passiert ist:

• Client eine HTTP-Angriff auf unsere Web-Server
• NIPS erkannt Angriff
• NIPS schickte eine gültige TCP-Reset, um den Angreifer, um die Sitzung zu töten
• NIPS vertauscht die Quell-und Ziel-IP-Adressen im Paket, neu berechnet die CRC, und dann an der gleichen wieder auf den Web-Server
• Web-Server ignoriert das zurückgesetzt, da sie nicht enthalten ein akzeptables Sequenznummer

Vielleicht fragen Sie sich: "Wie hat der Verkäufer zu verpassen?". Meine beste Vermutung ist, dass der Verkäufer einige simulierte Angriffe liefen, die Angriffs-Tool nicht zeigen, sie anfällig Dateien, so dass sie davon ausgegangen war alles OK arbeitet. In anderen Worten, ein Anbieter, der ein Produkt zu Netzwerken auf den Draht zu schützen geschaffen nie die Mühe gemacht zu schauen, was ihr Produkt tatsächlich tat auf den Draht zu suchen. Hummm ...

Bonus Frage

OK, wenn Sie Spaß mit diesem, hier ist ein Bonus-Frage zu beantworten, die endgültig beweisen Sie Ihre uber-Aussenseiter-Status auf dem Gipfel des geheimen Pyramide:

Nehmen wir statt eine Stateful Inspection Firewall zwischen diesem Subnetz und den Angreifer. Will der Angreifer noch in der Lage sein, die Antworten mit einem Packet-Sniffer zu sehen?

Ich werde nach der Antwort nächste Woche.

In meinem letzten Beitrag haben wir festgestellt, dass das Client-System war wahrscheinlich läuft eine Art Werkzeug, um auf bekannte gefährdete Dateien Sonde. Wir haben immer noch die Reset-Pakete jedoch zu erklären, als auch, warum der Server war, sie zu ignorieren.

Im Moment haben wir nicht einmal wissen, wo diese Paketerfassung in Bezug auf die beiden Endpunkte wurde. Ich werde tshark laufen mit dem "T-fields"-Schalter zum Ausdrucken der TTL Information. Durch die Analyse der TTLs, sollten wir in der Lage sein zu bestimmen, wo wir im Verhältnis zu dem Client und dem Server Sniffing. Ich bin auch zum Ausdrucken der IP-IDs, um zu sehen, ob es irgendwelche Auffälligkeiten im Paket bestellen sind.

Hier ist die Befehls-und Ausgang:

tshark-r challenge1.cap-T Felder-e frame.number-e ip.src-e tcp.srcport-e ip.ttl-e ip.id

1 148.78.247.10 26922 49 0x2a6b

2 12.33.247.4 80 64 0 × 0000

3 148.78.247.10 26922 49 0x2a95

4 148.78.247.10 26922 49 0x2a96

5 12.33.247.4 80 64 0 × 3743

6 12.33.247.4 80 255 0xb0f2

7 148.78.247.10 26922 255 0xb0f2

8 12.33.247.4 80 64 0 × 3744

9 12.33.247.4 80 64 0 × 3745

10 12.33.247.4 80 64 0 × 3746

11 12.33.247.4 80 64 0 × 3747

12 12.33.247.4 80 64 0 × 3748

13 12.33.247.4 80 64 0 × 3749

14 12.33.247.4 80 64 0x374a

15 12.33.247.4 80 64 0x374b

16 12.33.247.4 80 64 0x374c

17 12.33.247.4 80 64 0x374d

148.78.247.10 ist der Client. Wir wissen, dass, weil es die Sitzung initiiert hat und dessen Kommunikation über eine obere Quell-Port. 12.33.247.10 ist unser HTTP-Server kommuniziert über Port 80.

In Paket 1 sehen wir die Client verfügt über eine TTL von 49 Jahren. Der nächste Start TTL Übereinstimmung für ein bekanntes Betriebssystem ist 64, so dass dies sagt uns der Kunde ein Linux-, UNIX-oder Mac-System sitzen 15 Hops entfernt. In Paket 2 sehen wir den Server mit einem TTL-Wert von 64, also muss es einer der zuvor genannten Betriebssysteme sitzen auf dem lokalen Netzwerk befinden. Also, wir sind auf dem gleichen Kollision Domäne wie der Server, sondern saß 15 Hops vom Client.

Es gibt ein Problem jedoch. Schauen Sie sich Pakete 6 und 7. Hier sehen wir die TTL beider Systeme ändern zu 255. Ein OS wird sich nie ändern ist es TTL während einer Sitzung, so sieht das sehr suspekt. Darüber hinaus haben wir bereits festgestellt, dass der Kunde sitzt 15 Hops von uns entfernt. 255 ist die größtmögliche TTL-Wert als das TTL-Feld nur ein einziges Byte (Byte 8 im IP-Header). Also auch wenn die Quell-IP-Adresse Ansprüche auf den Remote-Client sein, es gibt keine Möglichkeit das Paket könnte überall, sondern aus dem lokalen Netzwerk stammen. Wenn das Paket einen oder mehrere Router überquert hatte, würde der TTL-Wert niedriger sein.

Die IP-ID-Informationen nicht richtig entweder zu suchen. In den ersten drei Pakete vom Client sehen wir die IP-ID-Werte 0x2a6b (10859), 0x2a95 (10.901) und 0x2a96 (10.902). Dies sagt uns der Kunde möglicherweise mit einer +1 inkrementelle IP ID, wir hatten einfach nicht sehen, 42 der Pakete zwischen dem ersten und zweiten Paket übertragen. Die nächste IP ID sehen wir aus der Client 0xb0f2 (45.298). OK, es sei denn, wir über 34.000 Pakete vermisst, ist diese IP-ID nicht jive.

Beachten Sie die obige Analyse wäre nur theoretisch gäbe es nicht die uneinheitliche TTL-Werte. Mit nur drei Pakete zu betrachten, können wir nicht genau identifizieren die IP-ID zu erhöhen. Es ist auch möglich, aber sehr sehr unwahrscheinlich, dass die IP-ID Inkrement völlig zufällig ist und das System nur zufällig zwei inkrementellen IP-IDs, einer nach dem anderen zuweisen. Dennoch verbinden die TTL und IP-ID-Informationen zusammen und sie zeigen, dass dieses letzte Paket konnte nicht aus dem gleichen System stammen.

Wir haben mehrere IP-ID-Daten vom Server zu arbeiten, also nehmen wir mal einen Blick auf die. Die IDs sind:

• 0 (0)
• 0 × 3743 (14147)
• 0xb0f2 (45298)
• 0 × 3744 (14148)
• 0 × 3745 (14149)
• 0 × 3746 (14150)
• 0 × 3747 (14151)
• 0 × 3748 (14152)
• 0 × 3749 (14153)
• 0x374a (14154)
• 0x374b (14155)
• 0x374c (14156)
• 0x374d (14157)

Werfen Sie einen Blick auf die dritte aufgeführten IP-ID, die vom Paket-6 in der Spur ist. Beachten Sie, dass alle anderen IP-IDs inkrementelle +1 sind, aber das IP ID nicht angehört. In der Tat können wir zeigen, dass der Server erhöht sie IP ID um +1 und das ist gibt es keine Möglichkeit dieses Paket vom Server stammen.

Humm. Ich frage mich, ob dieser Verdacht Pakete Line-Up mit den seltsamen setzt sahen wir:

tshark-r challenge1.cap-T Felder-e frame.number-e ip.src-e tcp.srcport-e ip.ttl-e ip.id-e tcp.flags.reset

1 148.78.247.10 26922 49 0x2a6b 0

2 12.33.247.4 80 64 0 × 0000 0

3 148.78.247.10 26922 49 0x2a95 0

4 148.78.247.10 26922 49 0x2a96 0

5 12.33.247.4 80 64 0 × 3743 0

6 12.33.247.4 80 255 0xb0f2 1

7 148.78.247.10 26922 255 0xb0f2 1

8 12.33.247.4 80 64 0 × 3744 0

9 12.33.247.4 80 64 0 × 3745 0

10 12.33.247.4 80 64 0 × 3746 0

11 12.33.247.4 80 64 0 × 3747 0

12 12.33.247.4 80 64 0 × 3748 0

13 12.33.247.4 80 64 0 × 3749 0

14 12.33.247.4 80 64 0x374a 0

15 12.33.247.4 80 64 0x374b 0

16 12.33.247.4 80 64 0x374c 0

17 12.33.247.4 80 64 0x374d 0

Ah ha! Also, wenn wir die Pakete mit dem seltsamen TTL und IP ID-Werte aussehen, das waren die seltsamen Reset-Pakete während der Sitzung übermittelt.

Es sieht für mich wie ein drittes System wird in das Gespräch springen, um die Reset-Pakete zu übertragen. Da diese seltsame Pakete eine TTL von 255 haben, wissen wir, es muss auf demselben Kollisionsdomäne wie, wo wir sind Sniffing werden. Da es auf dem gleichen Kollisionsdomäne ist, kann der Ethernet-Header-Informationen hilfreich sein:

tshark-r challenge1.cap-T Felder-e frame.number-e eth-e tcp.flags.reset

1 Ethernet II, Src: HewlettP_ea: 20: ab (00:50:8 b: ea: 20: ab), Dst: DellComp_20: 7d: e3 (00: b0: d0: 20.07 d: e3) 0

2 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20.07 d: e3), Dst: HewlettP_ea: 20: ab (00:50:8 b: ea: 20: ab) 0

3 Ethernet II, Src: HewlettP_ea: 20: ab (00:50:8 b: ea: 20: ab), Dst: DellComp_20: 7d: e3 (00: b0: d0: 20.07 d: e3) 0

4 Ethernet II, Src: HewlettP_ea: 20: ab (00:50:8 b: ea: 20: ab), Dst: DellComp_20: 7d: e3 (00: b0: d0: 20.07 d: e3) 0

5 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20.07 d: e3), Dst: HewlettP_ea: 20: ab (00:50:8 b: ea: 20: ab) 0

6 Ethernet II, Src: D-Link_8f: e0: 0c (00:50: ba: 8f: e0: 0c), Dst: HewlettP_ea: 20: ab (00:50:8 b: ea: 20: ab) 1

7 Ethernet II, Src: D-Link_8f: e0: 0c (00:50: ba: 8f: e0: 0c), Dst: DellComp_20: 7d: e3 (00: b0: d0: 20.07 d: e3) 1

8 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20.07 d: e3), Dst: HewlettP_ea: 20: ab (00:50:8 b: ea: 20: ab) 0

9 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20.07 d: e3), Dst: HewlettP_ea: 20: ab (00:50:8 b: ea: 20: ab) 0

10 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20.07 d: e3), Dst: HewlettP_ea: 20: ab (00:50:8 b: ea: 20: ab) 0

11 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20.07 d: e3), Dst: HewlettP_ea: 20: ab (00:50:8 b: ea: 20: ab) 0

12 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20.07 d: e3), Dst: HewlettP_ea: 20: ab (00:50:8 b: ea: 20: ab) 0

13 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20.07 d: e3), Dst: HewlettP_ea: 20: ab (00:50:8 b: ea: 20: ab) 0

14 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20.07 d: e3), Dst: HewlettP_ea: 20: ab (00:50:8 b: ea: 20: ab) 0

15 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20.07 d: e3), Dst: HewlettP_ea: 20: ab (00:50:8 b: ea: 20: ab) 0

16 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20.07 d: e3), Dst: HewlettP_ea: 20: ab (00:50:8 b: ea: 20: ab) 0

17 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20.07 d: e3), Dst: HewlettP_ea: 20: ab (00:50:8 b: ea: 20: ab) 0

So, wenn der Client aus dem Internet kommt, durchläuft es ein HP-System als entweder einen Router oder eine Firewall. Unser Web-Server auf Dell-Hardware läuft. Beachten Sie unsere zurückgesetzt (Pakete 6 und 7) sind beide durch das gleiche System mit einem D-Link NIC generiert.

Warum haben die D-Link-System versuchen, die Sitzung zu töten? Dies geschah kurz nach den Client gesendet die verdächtige Datei anfordern. Es sieht für mich wie die D-Link System ist eigentlich ein einziges geschliffen Intrusion Prevention System (IPS). Wenn ein Angriff erkannt wird, versucht das IPS den Angriff durch die Übertragung von Reset-Pakete an beiden Enden der Verbindung zu verhindern.

Aber wir haben noch einige unbeantwortete Fragen. War der Angriff erfolgreich und warum der Server scheinen die IPS Versuch, die Sitzung zu töten ignorieren?

Biegen Sie in die nächste Episode, um herauszufinden.