Précédemment, j'ai posté un défi d'écrire un filtre tcpdump / WinDump qui serait de capturer les paquets qui ont l'option TCP "Window Scale" ensemble. Certaines personnes sont proches, mais je voulais poster quelques trucs. Aussi, je n'ai aucun problème avec vous e-mailing moi directement, mais pour gagner le défi que vous avez à poster la réponse à la section des commentaires. De cette façon, il n'est pas question de savoir qui a trouvé la réponse en premier.

Toutes les options TCP sont spécifiées par une «sorte de registre" valeur (similaire à l'ICMP champ "Type"). Dans le cas de Window Scale, cette valeur est de 3. Aussi, toutes les options TCP sauf pour NOP contenir un champ secondaire appelée "longueur". Ceci définit combien d'octets en utilisant des options est, y compris le "Kind registre" octet. Dans le cas de Window Scale la valeur de longueur est toujours 3. Nous avons donc:

• 1 octet pour le genre de registre
• 1 octet pour la longueur
• 1 octet pour la valeur réelle WScale

Astuce 2: Si vous n'avez jamais foré dans le champ des options TCP, tshark dispose d'une option cool:

tshark-n-r capture-file.cap-T champs e-tcp.options

Ce sera la sortie la totalité des options TCP terrain Hex afin que vous puissiez au moins voir à quoi il ressemble.

Indice final, j'ai posté un paquet SYN Linux qui établit WScale à 5 pour vous permettre de l'utiliser pour vérifier votre filtre.

linux-syn

Bonne chance!

Chris

J'ai eu un peu passe notamment la publication d'un nouvel outil de référence pour l'Apple iPhone et iPod. L'outil est d'appeler Decode Packet et j'ai configurer un autre site pour aider à l'entretenir.

Je me sens mal à négliger ce site au cours des dernières semaines, j'ai donc décidé de jeter un autre défi. Le gagnant recevra un exemplaire gratuit de l'outil de décodage des paquets ci-dessus mentionnés. OK, donc vous ne serez pas en mesure de prendre sa retraite sur le produit, mais nous espérons que l'outil va vous rendre la vie un peu plus facile.

Alors, voici le défi:

Ecrire un tcpdump ou WinDump filtre qui ne fera que de capturer les paquets qui ont le TCP "Window Scale" option définie. Tous les autres paramètres option TCP peut être ignoré.

Assez simple, hein? La première personne à poster la réponse dans la section commentaires obtient le prix.

Dans mon dernier post nous avions déterminé que le fichier de trace contient une session où un seul réseau perfectionné système de prévention des intrusions avaient tenté d'arrêter une attaque d'un client HTTP à un serveur Web. Nous avons conclu que la demande du client les données ne semblent plutôt suspecte, et a prouvé un système tiers (NIPS) était responsable de la transmission des paquets de réinitialisation lors de la session.

Dans ce post nous avons encore besoin de répondre à deux questions:

1. L'attaque réussie?
2. Pourquoi le serveur Web ignorer le paquet TCP reset transmis par le NIPS?

L'attaque réussie?

L'attaquant était à la recherche afin d'identifier si le fichier "startstop.html" était situé dans l '«administrateur» du répertoire. Prenons un oeil à l'un des paquets envoyés à l'attaquant après la réinitialisation des paquets ont été transmises:

tshark-n-r-x challenge1.cap frame.number == 11

11 0.711825 12.33.247.4 -> 148.78.247.10 TCP [TCP Retransmission] [segment TCP d'un PDU remonté]

0000 00 50 8b 20 ch ab 00 b0 d0 20 e3 7d 08 00 45 00. P.. .... ...} E.

0010 01 A7 37 47 40 00 40 06 73 8b 21 0C 04 94 F7 4e .. 7G @. @. S..! ... N

0020 f7 0a 00 50 69 88 39 2a 3a cd 6a 97 b9 4c 80 19 ... Pi *:.. 0.9 j. L..

0030 19 20 00 8c d4 00 01 01 08 76 0a 3d 0e d3 00 CE. ... ... ..= V ....

0040 48 4b 48 54 54 50 2f 31 2e 31 20 34 30 34 20 4e HKHTTP/1.1 404 N

0050 74 20 46 6f 6f 6e 75 64 0d 0a 44 61 74 65 20 3a ot trouvé .. Date:

0060 54 75 65 2c 20 32 35 20 4a 75 6e 20 32 30 30 32 Tue, 25 juin 2002

0070 20 30 30 33 34 3a 3a 35 38 20 47 4d 54 0D 0A 53 00:34:58 GMT .. S

0080 65 72 76 65 72 3a 20 41 70 61 63 68 65 0d 0a 43 erver: Apache .. C

0090 6f 6e 6e 65 63 74 69 6f 6e 3a 20 63 6c 73 65 6f ONNEXION: fermer

00A0 0d 0a 43 6f 6e 74 65 6e 74 54 79 2d 70 65 3a 20 .. Content-Type:

00b0 74 65 78 74 68 74 2f 6d 6c 3b 20 63 68 61 72 73 text / html; caractères

00C0 65 74 69 73 6f 3d 2d 38 38 35 39 2d 31 0D 0A 0d et = iso-8859-1 ...

00d0 0a 3c 21 44 4f 43 54 59 50 45 20 48 54 4d 4c 20. <! DOCTYPE HTML

00e0 50 55 42 4c 49 43 20 22 2d 2F 2F 49 45 54 46 PUBLIC 2f "- / / IETF /

00F0 2f 44 54 44 20 48 54 4d 4c 20 32 30 2E 2F 2F 45 / DTD HTML 2.0 / / E

0100 4e 3e 22 0a 48 54 3c 4d 4c 3e 3c 48 45 41 44 3E N ">. <HTML> <HEAD>

0110 0a 3c 4c 54 49 54 45 3e 34 30 34 20 4e 74 20 6f. <TITLE> 404 Not

0120 46 75 6f 6e 2f 64 3c 54 49 54 4c 45 3E 0a 3c 2f Found </ TITLE>. </

0130 48 45 41 44 3e 3c 42 4f 44 59 3E 0A 48 31 3C 3E HEAD> <BODY>. <H1>

0140 4e 6f 74 20 46 75 6f 6e 2f 64 3c 48 31 54 0a 3e Introuvable </ H1>. T

0150 68 65 20 72 65 71 75 65 73 74 65 64 20 55 52 4c, il a demandé URL

0160 20 63 66 69 2F 64 65 2F 41 64 6d 69 6e 69 73 74 Administ / CFIDE /

0170 72 61 74 6f 72 2f 73 74 61 72 74 73 74 6f 70 StartStop 2e rateur /.

0180 68 74 6d 6c 20 77 61 73 20 6e 6f 74 20 66 75 6f html n'était pas fou

0190 6e 64 20 6f 6e 20 74 68 69 73 20 73 65 72 76 65 e sur cette servent

01a0 72 50 3c 2e 3e 0a 3c 2f 4f 42 44 59 3E 3C 2F 48 <P> r.. </ Body> </ H

01B0 54 4d 4c 3e 0a 00 03 00 07 TML> ... ..

Donc la réponse à la question de l'attaquant; "est le fichier situé sur le serveur, est répondu dans chaque paquet au serveur mis au client après la réinitialisation des paquets ont été émises?. Maintenant, la question devient, l'attaquant ne voit cette information?

Lorsque le paquet de réinitialisation a été envoyé à l'attaquant, la réinitialisation devrait avoir tué la session TCP. Cela signifie que lorsque ces données sont arrivés, le port de réception (TCP/26922) aurait dû être dans un état fermé. Si cela avait été vrai, en fait, je m'attends à voir un réarmement à venir / ACK de retour de l'attaquant le système nous dit que TCP/26922 est maintenant fermé. Nous ne voyons jamais ces paquets.

Alors pourquoi ne pas le fermer le port distant? Le paquet de réinitialisation est valide, il doit donc avoir tué la session. Un attaquant avisé va exécuter un renifleur de paquets dans le fond tout en effectuant leur attaque. Il est possible que l'attaquant aurait compris ce qui se passait et a simplement créé une règle de filtrage sur leur système d'attaque de filtrer tous les paquets entrants réinitialiser. Cela aurait permis leur outil de continuer à fonctionner. Même sans le pare-feu filtre les renifleur de paquets devrait contenir les réponses qu'ils cherchent. Donc, il ya une très bonne chance que l'attaquant a compris ce que nous sommes vulnérables à, malgré le fait NIPS est une protection du réseau.

Pourquoi le serveur Web ignorer le paquet reset?

Notre dernière question est de savoir pourquoi le serveur Web ignorer le paquet envoyé par le réarmement NIPS. Ce qui provoque deux problèmes:

• Les infos de l'attaquant a voulu se poursuit à s'échapper
• Si l'attaquant n'a sondes de fichiers multiples, ils pouvaient remplir le tableau de session sur le serveur Web

Le deuxième élément est un peu effrayant, car il serait en réalité l'NIPS provoquant l'attaque DoS en tuant un seul côté de la connexion correctement. Donc, même si nous avons été patché et jusqu'à ce jour aux engins de fournisseur, nous avons versé de l'argent pour se finir par tuer notre serveur Web. Gee je déteste quand je passe de l'argent pour moi DoS.

Prenons un autre regard sur ces paquets de réinitialisation:

tshark-n-r challenge1.cap frame.number == 6 ou 7 == frame.number

6 0.031319 12.33.247.4 -> 148.78.247.10 TCP 80> 26922 [RST, ACK] Seq = 1 Ack = 222 Win = 0 Len = 0

7 0.031385 148.78.247.10 -> 12.33.247.4 TCP [TCP ACKed segment perdu] 26922> 80 [RST, ACK] Seq = 1 Ack = 222 Win = 0 Len = 0

Notez que tshark nous dit paquet 7 est un segment perdu. En d'autres termes, tshark nous dit que le numéro de séquence TCP n'est pas dans la fenêtre de l'hôte est attendu. Un regard sur la séquence et de reconnaître numéros explique pourquoi. Les valeurs sont identiques à celles dans le paquet de six. Vous vous souvenez peut partir du dernier message que le paquet 6 et 7 avait aussi la valeur même ID IP (45 298).

Il semble donc que ce qui s'est passé ici est:

• Client a envoyé une attaque HTTP vers notre serveur Web
• NIPS détecté l'attaque
• NIPS envoyé une réinitialisation TCP valide à l'attaquant de tuer la session
• NIPS troqué la source et les adresses IP de destination dans le paquet, recalculé les CRC, puis envoyé la réinitialisation même le serveur Web
• Web serveur ignore le reset, car il ne contient pas un numéro de séquence acceptables

Vous pouvez vous demander: «Comment avez le vendeur rater cela?». Ma meilleure supposition est que le vendeur a couru quelques attaques simulées, l'outil d'attaque n'a pas de leur montrer les fichiers vulnérables, alors ils ont supposé que tout fonctionnait OK. En d'autres termes, un vendeur qui a créé un produit pour protéger les réseaux sur le fil n'a jamais pris la peine de regarder ce que leur produit était en train de faire sur le fil. Hummm ...

Question bonus

OK, si vous vous amusez avec celui-ci, voici une question bonus à réponse qui sera définitivement prouver votre uber-geek statut lors du sommet de la pyramide secret:

Supposons que nous accordons à un pare-feu stateful inspection entre ce sous-réseau et l'attaquant. Est-ce que l'attaquant toujours être en mesure de voir les réponses avec un renifleur de paquets?

Je vais poster la réponse la semaine prochaine.

Dans mon dernier post, nous avons identifié que le système client a probablement été l'exécution de certaines genre d'outil pour sonder connus pour être des fichiers vulnérables. Nous avons encore à expliquer les paquets de réinitialisation cependant, ainsi que pourquoi le serveur a été de les ignorer.

En ce moment nous ne savons même pas où cette capture de paquets a été prise en relation avec les deux points d'extrémité. Je vais courir tshark en utilisant les "champs-T" passer à imprimer les informations TTL. En analysant les TTL, nous devrions être en mesure de déterminer où nous sommes renifler en relation avec le client et le serveur. Je vais aussi imprimer les identifiants IP pour voir s'il ya des anomalies dans l'ordre des paquets.

Voici la commande et la sortie:

tshark-r-T challenge1.cap champs e-frame.number-e-e ip.src tcp.srcport-e-e ip.ttl ip.id

1 148.78.247.10 26922 49 0x2a6b

2 12.33.247.4 80 64 0 × 0000

3 148.78.247.10 26922 49 0x2a95

4 148.78.247.10 26922 49 0x2a96

5 12.33.247.4 80 64 0 × 3743

6 12.33.247.4 80 255 0xb0f2

7 148.78.247.10 26922 255 0xb0f2

8 12.33.247.4 80 64 0 × 3744

9 12.33.247.4 80 64 0 × 3745

10 12.33.247.4 80 64 0 × 3746

11 12.33.247.4 80 64 0 × 3747

12 12.33.247.4 80 64 0 × 3748

13 12.33.247.4 80 64 0 × 3749

14 80 64 12.33.247.4 0x374a

15 80 64 12.33.247.4 0x374b

16 80 64 12.33.247.4 0x374c

17 80 64 12.33.247.4 0x374d

148.78.247.10 est le client. Nous le savons parce que l'ouverture de la session et sa communication en utilisant un port source supérieur. 12.33.247.10 est notre serveur HTTP de communiquer à partir du port 80.

En paquet de 1, nous voyons que le client a un TTL de 49. Le plus proche match débute TTL pour un système d'exploitation connue est de 64, donc cela nous dit que le client est un Linux, UNIX, ou le système Mac assise 15 sauts loin. En paquet de 2, nous voyons le serveur avec une valeur TTL de 64, donc il doit être l'un des systèmes d'exploitation mentionnés précédemment assis sur le réseau local. Donc, nous sommes sur le même domaine de collision que le serveur, mais assis 15 sauts loin du client.

Il ya un problème cependant. Regardez les paquets 6 et 7. Ici, nous voyons le TTL des deux systèmes de changement à 255. Un OS ne changera jamais c'est TTL lors d'une session, donc ce semble extrêmement suspect. De plus, nous avons déjà déterminé que le client est assis 15 sauts loin de nous. 255 est la plus grande valeur possible TTL comme le champ TTL est seulement un seul octet (8 octets de l'entête IP). Ainsi, même si l'adresse IP source prétend être le client distant, il n'ya aucun moyen que le paquet ait pu apparaître n'importe où, mais à partir du réseau local. Si le paquet a traversé un ou plusieurs routeurs, la valeur TTL serait plus faible.

Les informations d'identification IP ne semble pas correcte non plus. Dans les trois premiers paquets du client, nous voyons l'IP ID valeurs 0x2a6b (10859), 0x2a95 (10 901), et 0x2a96 (10902). Cela nous indique que le client est peut-être en utilisant un ID incrémentale une IP, nous n'avons tout simplement pas voir 42 des paquets entre les premier et deuxième paquets transmis. L'ID de la prochaine IP, nous voyons du client est 0xb0f2 (45298). OK, sauf si nous avons manqué plus de 34.000 paquets, cet ID IP ne jive.

Notez l'analyse ci-dessus ne serait-il pas théoriques ont été pour les valeurs TTL incompatibles. Avec seulement trois paquets à regarder, on ne peut pas identifier précisément l'incrément IP ID. Il est également possible, mais très très peu probable, que l'augmentation ID IP est complètement aléatoire et le système vient de se passer d'assigner deux incrémentale ID IP, l'un après l'autre. Pourtant, combiner les TTL et d'information IP ID ensemble et ils indiquent que ce paquet final pourrait ne pas provenir d'un même système.

Nous avons des données d'identité plusieurs adresses IP à partir du serveur de travailler avec, prenons donc un oeil à ça. Les identifiants sont:

• 0 (0)
• 0 × 3743 (14147)
• 0xb0f2 (45298)
• 0 × 3744 (14148)
• 0 × 3745 (14149)
• 0 × 3746 (14150)
• 0 × 3747 (14151)
• 0 × 3748 (14152)
• 0 × 3749 (14153)
• 0x374a (14154)
• 0x374b (14155)
• 0x374c (14156)
• 0x374d (14157)

Jetez un oeil à l'ID IP figurent dans la troisième, qui est de 6 paquets dans la trace. Notez que tous les ID de propriété intellectuelle d'autres sont incrémentales 1, mais cette IP ID ne lui appartient pas. En fait, nous pouvons montrer que les incréments de serveur c'est par une IP ID et qu'il n'y a aucun moyen de ce paquet provenant du serveur.

Humm. Je me demande si ces lignes suspectes paquets avec le réinitialise étranges que nous avons vu:

tshark-r-T challenge1.cap champs-e-e frame.number ip.src-e-e tcp.srcport ip.ttl-e-e ip.id tcp.flags.reset

1 148.78.247.10 26922 49 0x2a6b 0

2 12.33.247.4 80 64 0 × 0000 0

3 148.78.247.10 26922 49 0x2a95 0

4 148.78.247.10 26922 49 0x2a96 0

5 12.33.247.4 80 64 0 × 3743 0

6 12.33.247.4 80 255 0xb0f2 1

7 148.78.247.10 26922 255 1 0xb0f2

8 12.33.247.4 80 64 0 × 3744 0

9 12.33.247.4 80 64 0 × 3745 0

10 12.33.247.4 80 64 0 × 3746 0

11 12.33.247.4 80 64 0 × 3747 0

12 12.33.247.4 80 64 0 × 3748 0

13 12.33.247.4 80 64 0 × 3749 0

14 80 64 12.33.247.4 0x374a 0

15 80 64 12.33.247.4 0x374b 0

16 12.33.247.4 80 64 0 0x374c

17 12.33.247.4 80 64 0 0x374d

Ah ha! Donc, si on regarde les paquets avec l'étrange et les valeurs TTL IP ID, ce sont les paquets de réinitialisation étranges envoyés pendant la session.

Il me semble que certaines troisième système est de sauter dans la conversation afin de transmettre les paquets de réinitialisation. Depuis ces paquets étranges ont un TTL de 255, nous savons qu'il doit être sur le même domaine de collision que là où nous sommes reniflant. Depuis qu'il est sur le même domaine de collision, les informations d'en-tête Ethernet pourrait être utile:

tshark-r-T challenge1.cap champs e-frame.number e-ETH-e tcp.flags.reset

1 port Ethernet II, Src: HewlettP_ea: 20: ab (00:50:8 B: EA: 20: ab), Dst: DellComp_20: 7d: e3 (00: b0: d0: 20:07 D: e3) 0

2 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 D: e3), Dst: HewlettP_ea: 20: ab (00:50:8 B: EA: 20: ab) 0

3 Ethernet II, Src: HewlettP_ea: 20: ab (00:50:8 B: EA: 20: ab), Dst: DellComp_20: 7d: e3 (00: b0: d0: 20:07 D: e3) 0

4 Ethernet II, Src: HewlettP_ea: 20: ab (00:50:8 B: EA: 20: ab), Dst: DellComp_20: 7d: e3 (00: b0: d0: 20:07 D: e3) 0

5 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 D: e3), Dst: HewlettP_ea: 20: ab (00:50:8 B: EA: 20: ab) 0

6 Ethernet II, Src: D-Link_8f: E0: 0C (00:50: ba: 8f: E0: 0C), Dst: HewlettP_ea: 20: ab (00:50:8 B: EA: 20: ab) 1

7 Ethernet II, Src: D-Link_8f: E0: 0C (00:50: ba: 8f: E0: 0C), Dst: DellComp_20: 7d: e3 (00: b0: d0: 20:07 D: e3) 1

8 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 D: e3), Dst: HewlettP_ea: 20: ab (00:50:8 B: EA: 20: ab) 0

9 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 D: e3), Dst: HewlettP_ea: 20: ab (00:50:8 B: EA: 20: ab) 0

10 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 D: e3), Dst: HewlettP_ea: 20: ab (00:50:8 B: EA: 20: ab) 0

11 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 D: e3), Dst: HewlettP_ea: 20: ab (00:50:8 B: EA: 20: ab) 0

12 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 D: e3), Dst: HewlettP_ea: 20: ab (00:50:8 B: EA: 20: ab) 0

13 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 D: e3), Dst: HewlettP_ea: 20: ab (00:50:8 B: EA: 20: ab) 0

14 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 D: e3), Dst: HewlettP_ea: 20: ab (00:50:8 B: EA: 20: ab) 0

15 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 D: e3), Dst: HewlettP_ea: 20: ab (00:50:8 B: EA: 20: ab) 0

16 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 D: e3), Dst: HewlettP_ea: 20: ab (00:50:8 B: EA: 20: ab) 0

17 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 D: e3), Dst: HewlettP_ea: 20: ab (00:50:8 B: EA: 20: ab) 0

Ainsi, lorsque le client arrive à partir d'Internet, il passe à travers un système HP agit soit comme un routeur ou un firewall. Notre serveur Web est exécuté sur le matériel Dell. Notez notre réinitialise (paquets 6 et 7) sont les deux étant générés par le même système en utilisant une carte réseau D-Link.

Alors pourquoi le système D-Link essayer de tuer la session? Cela s'est produit juste après que le client a envoyé la demande de fichiers suspects. Il me semble que le système D-Link est en fait un système unique perfectionné de prévention des intrusions (IPS). Quand une attaque est détectée, l'IPS vise à prévenir l'attaque par la transmission de paquets de réinitialisation aux deux extrémités de la connexion.

Mais nous avons encore quelques questions sans réponse. L'attaque réussie et pourquoi le serveur semblent ignorer la tentative du IPS pour tuer la session?

Tourner dans le prochain épisode pour le savoir.