Nel mio ultimo post che avevamo stabilito che il file di traccia conteneva una sessione in cui una singola rete affinato sistema di prevenzione delle intrusioni aveva tentato di fermare un attacco da un client HTTP a un server web. Abbiamo concluso che la richiesta dei dati del cliente sembrava piuttosto sospetto, e si è dimostrato un sistema di terze parti (il NIPS) era responsabile per i pacchetti ripristino trasmessi durante la sessione.

In questo post abbiamo ancora bisogno di rispondere a due domande:

1. È stato l'attacco di successo?
2. Perché il server Web ignorare il pacchetto di reset TCP trasmesso dal NIPS?

È stato l'attacco di successo?

L'attaccante stava cercando di individuare se il file "startstop.html" è situato nella directory "Amministratore". Diamo uno sguardo a uno dei pacchetti inviati per l'attaccante dopo l'pacchetti di reset sono stati trasmessi:

tshark-n-r-x challenge1.cap frame.number == 11

11 0.711825 12.33.247.4 -> 148.78.247.10 TCP [TCP ritrasmissione] [segmento TCP di una PDU riassemblate]

0000 00 50 8b 20 bis ab 00 b0 d0 20 7d e3 08 00 45 00. P.. .... E. ...}

0010 01 a7 37 47 40 00 40 06 73 8b 21 0c f7 04 94 4e .. 7G @. @. S..! ... N

0020 f7 0a 00 50 69 88 39 2a 3a cd 6a 4c 97 b9 80 19 ... Pi *:.. 0,9 j. L..

0030 19 20 8c d4 00 00 01 01 08 76 0a 3d 0e d3 00 ec. ... ... ..= V ....

0040 48 4b 48 54 54 50 2f 31 2e 31 20 34 30 34 20 4e HKHTTP/1.1 404 N

0050 6f 74 20 46 6f 6e 75 64 0d 0a 44 61 74 65 3 20 ot Trovato .. Data:

0060 54 75 65 2c 20 32 35 20 4a 75 6e 20 32 30 30 32 Tue, 25 giugno 2002

0070 20 30 30 3 33 34 3 35 38 20 47 4d 54 0d 0a 53 00:34:58 GMT .. S

0080 65 72 76 65 72 3 20 41 70 61 63 68 65 0d 0a 43 erver: Apache .. C

0090 6f 6e 6e 65 63 74 69 3a 6f 6e 20 63 6c 6f 73 65 OLLEGAMENTO: chiudere

00A0 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3 20 .. Content-Type:

00b0 74 65 78 74 68 74 2f 6d 6c 3b 20 63 68 61 72 73 text / html; caratteri

00c0 65 74 3d 69 73 6f 2d 38 38 35 39 2d 31 0d 0a 0d et = iso-8859-1 ...

00d0 3c 0a 21 44 4f 43 54 59 50 45 20 48 54 4d 4c 20. <! DOCTYPE HTML

00e0 50 55 42 4c 49 43 20 22 2d 2f 49 45 2f 54 46 2f PUBBLICO "- / / IETF /

00f0 2f 44 54 44 20 48 54 4d 4c 20 32 30 2e 2f 2f 45 / DTD HTML 2.0 / / E

0100 3e 4e 22 48 54 0a 3c 4d 4c 3c 3e 48 45 41 44 3e N ">. <HTML> <HEAD>

0110 3c 0a 54 49 54 4c 45 3e 34 30 34 20 4e 6f 74 20. <TITLE> 404 Non

0120 46 75 6f 6e 64 3c 2f 54 49 54 45 3e 4c 0a 3c 2f trovato </ TITLE>. </

0130 48 45 41 44 3e 3c 42 4f 44 59 3e 3c 0a 48 31 3e HEAD> <BODY>. <H1>

0140 4e 6f 74 20 46 75 6f 6e 64 3c 2f 48 31 3e 54 0a Not Found </ H1>. T

0150 68 65 20 72 65 71 75 65 73 74 65 64 20 55 52 4c ha chiesto URL

0160 20 2f 63 66 69 64 65 41 64 2f 6d 69 6e 69 73 Administ 74 / CFIDE /

0170 72 61 74 6f 72 2f 73 74 61 72 74 73 74 6f 70 2e startstop Rator /.

0180 68 74 6d 6c 20 77 61 73 20 6e 6f 74 20 66 75 6f html non è stata fou

0190 6e 64 20 6f 6e 20 74 68 69 73 20 73 65 72 76 65 ° su questo servizio

01a0 72 2e 50 3e 3c 0a 3c 2f 42 4f 44 59 3e 3c 2f 48 <P> r.. </ BODY> </ H

01b0 54 4d 4c 3e 0a 00 03 00 07 LM> ... ..

Quindi la risposta alla domanda dell'attaccante, "si trova il file sul server, viene risolta in ogni pacchetto del server impostato sul client dopo i pacchetti di ripristino sono stati emessi?. Ora la domanda diventa, l'attaccante ha fatto vedere queste informazioni?

Quando il pacchetto è stato inviato a ripristinare l'attaccante, il reset dovuto uccidere la sessione TCP. Questo significa che quando questo dati sono arrivati, la porta di ricezione (TCP/26922) avrebbe dovuto essere in uno stato chiuso. Se questo fosse stato vero, infatti, mi sarei aspettato di vedere un reset / ACK di ritorno dal sistema dell'attaccante che ci dice che TCP/26922 è ormai chiuso. Non vediamo mai i pacchetti.

Allora perché non ha la stretta porta remota? Il pacchetto di reset è valido, quindi dovrebbe aver ucciso la sessione. Un attaccante esperto deve essere eseguito uno sniffer in background durante l'esecuzione il loro attacco. E 'possibile che l'attaccante avrebbe capito cosa stava succedendo e semplicemente creato una regola del firewall sul proprio sistema di attacco filtrando tutti i pacchetti di reset in entrata. Questo avrebbe permesso loro strumento per continuare a funzionare. Anche senza il filtro del firewall packet sniffer loro dovrebbe contenere le risposte che cercano. Quindi c'è una probabilità molto buona l'attaccante ha capito quello che siamo vulnerabili, nonostante il fatto che un NIPS è la protezione della rete.

Perché il server Web ignorare il pacchetto di reset?

La nostra domanda finale è perché il server Web di ignorare il pacchetto di ripristino inviati dal NIPS. Questo sta causando due problemi:

• Le informazioni l'attaccante ha voluto continua a fuoriuscire
• Se l'attaccante fa sonde di più file, avrebbero potuto riempire la tabella di sessione sul server Web

Il secondo elemento è una specie di paura, perché sarebbe in realtà il NIPS causando l'attacco DoS da solo uccidendo una parte della connessione in modo corretto. Quindi, anche se siamo stati patchati e aggiornati, cambio fornitore abbiamo pagato soldi per finirebbe per uccidere il nostro server web. Gee Odio quando spendo soldi per DoS me stesso.

Diamo un'altra occhiata a quei pacchetti di reset:

tshark-n-r challenge1.cap frame.number == 6 o frame.number == 7

6 0.031319 12.33.247.4 -> 148.78.247.10 TCP 80> 26922 [RST, ACK] Seq = 1 Ack = 222 Win = 0 Len = 0

7 0.031385 148.78.247.10 -> 12.33.247.4 TCP [TCP ACK segmento perso] 26922> 80 [RST, ACK] Seq = 1 Ack = 222 Win = 0 Len = 0

Si noti che tshark ci dice pacchetto 7 è un segmento perso. In altre parole, tshark ci sta dicendo che il numero di sequenza TCP non è all'interno della finestra l'host si aspetta. Uno sguardo alla sequenza di numeri e riconoscere spiega perché. I valori sono identici a quelli nel pacchetto 6. Si può ricordare l'ultimo messaggio da quel pacchetto 6 e 7, ha avuto anche lo stesso valore ID IP (45.298).

Così sembra che qui è quello che è successo:

• Client ha inviato un attacco HTTP al nostro server Web
• NIPS rilevato l'attacco
• NIPS inviato un reset TCP valido per l'attaccante di terminare la sessione
• NIPS scambiato la fonte e gli indirizzi IP di destinazione del pacchetto, ricalcolato il CRC, e quindi inviato il reset stesso al server Web
• Web server ignora il reset perché non contiene un numero accettabile sequenza

Si può essere se stessi chiedendo: "Come ha fatto il venditore mancare a questo?". La mia ipotesi migliore è che il venditore correva alcuni attacchi simulati, lo strumento di attacco non li visualizzare i file vulnerabili, in modo che assume tutto funzionava OK. In altre parole, non è mai un venditore che ha creato un prodotto per proteggere le reti sul filo preso la briga di guardare a ciò che il loro prodotto è stato effettivamente facendo sul filo. Hummm ...

Bonus domanda

OK, se ci si diverte con questo, ecco una domanda bonus di risposta che definitivamente dimostrare la vostra uber-geek stato sulla cima della piramide segreto:

Supponiamo di mettere un firewall stateful inspection tra questa sottorete e l'attaccante. Sarà l'attaccante ancora in grado di vedere le risposte con un packet sniffer?

Io dopo la risposta la prossima settimana.

Nel mio ultimo post abbiamo individuato che il sistema client in esecuzione era probabilmente una sorta di strumento di rilevare noti per essere i file vulnerabili. Dobbiamo ancora spiegare i pacchetti ripristino tuttavia, così come perché il server è stato li ignora.

Al momento non so nemmeno dove questo cattura dei pacchetti è stata presa in relazione ai due punti finali. Io vado a correre tshark utilizzando il "T-campi" passare alla stampa le informazioni TTL. Analizzando il TTL, dovremmo essere in grado di determinare dove siamo sniffing in relazione al client e il server. Ho anche intenzione di stampare gli ID di IP per vedere se ci sono anomalie in ordine pacchetto.

Ecco il comando e l'output:

tshark-r-T challenge1.cap campi-e frame.number-e ip.src-e tcp.srcport-e ip.ttl-e ip.id

1 148.78.247.10 26922 49 0x2a6b

2 12.33.247.4 80 64 0 × 0000

3 148.78.247.10 26922 49 0x2a95

4 148.78.247.10 26922 49 0x2a96

5 12.33.247.4 80 64 0 × 3743

6 12.33.247.4 80 255 0xb0f2

7 148.78.247.10 26922 255 0xb0f2

8 12.33.247.4 80 64 0 × 3744

9 12.33.247.4 80 64 0 × 3745

10 12.33.247.4 80 64 0 × 3746

11 12.33.247.4 80 64 0 × 3747

12 12.33.247.4 80 64 0 × 3748

13 12.33.247.4 80 64 0 × 3749

12.33.247.4 14 80 64 0x374a

12.33.247.4 15 80 64 0x374b

12.33.247.4 16 80 64 0x374c

12.33.247.4 17 80 64 0x374d

148.78.247.10 è il client. Sappiamo che in quanto ha iniziato la sessione e la sua comunicazione con una porta in alto sorgente. 12.33.247.10 è il nostro server HTTP la comunicazione dalla porta 80.

Nel pacchetto 1 vediamo il cliente ha un TTL di 49. La partita più vicina TTL di partenza per un sistema operativo noto è 64, quindi questo ci dice il cliente è un Linux, UNIX, Mac o un sistema seduto 15 hop lontano. Nel pacchetto 2 vediamo il server con un valore TTL di 64 anni, quindi deve essere uno dei sistemi operativi già citato seduto sulla rete locale. Quindi, siamo sulla stesso dominio di collisione come server, ma seduto 15 hop lontano dal client.

C'è un problema però. Guardate i pacchetti 6 e 7. Qui vediamo il TTL di entrambi i sistemi di cambio a 255. Un sistema operativo non cambierà mai è TTL durante una sessione, quindi questo sembra estremamente sospetto. Inoltre, abbiamo già stabilito che il cliente è seduto 15 hop lontano da noi. 255 è il valore più grande possibile TTL come il campo TTL è solo un singolo byte (byte 8 nell'intestazione IP). Così, anche se l'indirizzo IP sorgente sostiene di essere il client remoto, non c'è modo che il pacchetto potrebbe aver avuto origine da nessuna parte, ma dalla rete locale. Se il pacchetto aveva attraversato uno o più router, il valore TTL sarebbe minore.

Le informazioni ID IP non sembra giusto neanche. Nei primi tre pacchetti dal client si veda l'IP ID valori 0x2a6b (10.859), 0x2a95 (10.901), e 0x2a96 (10.902). Questo ci dice il cliente è eventualmente utilizzando un +1 ID incrementale IP, noi non abbiamo visto 42 della pacchetti tra il primo e il secondo pacchetto trasmesso. L'ID prossima IP si vede dal client è 0xb0f2 (45.298). OK, a meno che non abbiamo perso oltre 34.000 pacchetti, questo ID IP non jive.

Nota precedente analisi sarebbe solo teorica se non fosse per i valori incoerenti TTL. Con solo tre pacchetti da guardare, non possiamo identificare con precisione l'incremento IP ID. E 'anche possibile, ma altamente improbabile, che l'incremento ID IP è completamente casuale e il sistema è capitato di assegnare due ID incrementale IP, una dopo l'altra. Ancora, unire il TTL e di dati identificativi IP insieme e indicano che questo pacchetto finale non poteva aver avuto origine dallo stesso sistema.

Abbiamo dati identificativi più IP dal server con cui lavorare, quindi diamo un'occhiata a questo. Gli ID sono:

• 0 (0)
• 0 × 3743 (14147)
• 0xb0f2 (45298)
• 0 × 3744 (14148)
• 0 × 3745 (14149)
• 0 × 3746 (14150)
• 0 × 3747 (14151)
• 0 × 3748 (14152)
• 0 × 3749 (14153)
• 0x374a (14154)
• 0x374b (14155)
• 0x374c (14156)
• 0x374d (14157)

Date un'occhiata al terzo l'ID IP elencati, che viene dal pacchetto 6 nella traccia. Si noti che tutti gli ID altro IP sono incrementali +1, ma questo ID IP non gli appartiene. Infatti possiamo dimostrare che gli incrementi del server è l'IP ID di +1 e che non vi è modo questo pacchetto originato dal server.

Humm. Mi chiedo se questi pacchetti sospetti linea con il reset strano che abbiamo visto:

tshark-r-T challenge1.cap campi-e frame.number-e ip.src-e tcp.srcport-e ip.ttl-e ip.id-e tcp.flags.reset

1 148.78.247.10 26922 49 0x2a6b 0

2 12.33.247.4 80 64 0 × 0000 0

3 148.78.247.10 26922 49 0x2a95 0

4 148.78.247.10 26922 49 0x2a96 0

5 12.33.247.4 80 64 0 × 3743 0

6 12.33.247.4 80 255 0xb0f2 1

7 148.78.247.10 26922 255 0xb0f2 1

8 12.33.247.4 80 64 0 × 3744 0

9 12.33.247.4 80 64 0 × 3745 0

10 12.33.247.4 80 64 0 × 3746 0

11 12.33.247.4 80 64 0 × 3747 0

12 12.33.247.4 80 64 0 × 3748 0

13 12.33.247.4 80 64 0 × 3749 0

12.33.247.4 14 80 64 0x374a 0

12.33.247.4 15 80 64 0x374b 0

12.33.247.4 16 80 64 0x374c 0

12.33.247.4 17 80 64 0x374d 0

Ah ah! Quindi, se guardiamo i pacchetti con lo strano TTL e valori ID IP, questi sono stati i pacchetti di reset strano inviati durante la sessione.

Sembra a me come un terzo sistema sta saltando nella conversazione, al fine di trasmettere i pacchetti di reset. Dal momento che questi strani pacchetti hanno un TTL di 255, sappiamo che devono essere sullo stesso dominio di collisione, come dove siamo sniffing. Dal momento che è sulla stesso dominio di collisione, le informazioni di intestazione Ethernet potrebbe essere utile:

tshark-r-T challenge1.cap campi-e frame.number-e eth-e tcp.flags.reset

1 Ethernet II, Src: HewlettP_ea: 20: ab (0:50:08 b: EA: 20: ab), Dst: DellComp_20: 7d: e3 (00: b0: d0: 20:07 d: e3) 0

2 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 d: e3), Dst: HewlettP_ea: 20: ab (0:50:08 b: EA: 20: ab) 0

3 Ethernet II, Src: HewlettP_ea: 20: ab (0:50:08 b: EA: 20: ab), Dst: DellComp_20: 7d: e3 (00: b0: d0: 20:07 d: e3) 0

4 Ethernet II, Src: HewlettP_ea: 20: ab (0:50:08 b: EA: 20: ab), Dst: DellComp_20: 7d: e3 (00: b0: d0: 20:07 d: e3) 0

5 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 d: e3), Dst: HewlettP_ea: 20: ab (0:50:08 b: EA: 20: ab) 0

6 Ethernet II, Src: D-Link_8f: e0: 0c (00:50: ba: 8f: e0: 0c), Dst: HewlettP_ea: 20: ab (0:50:08 b: EA: 20: ab) 1

7 Ethernet II, Src: D-Link_8f: e0: 0c (00:50: ba: 8f: e0: 0c), Dst: DellComp_20: 7d: e3 (00: b0: d0: 20:07 d: e3) 1

8 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 d: e3), Dst: HewlettP_ea: 20: ab (0:50:08 b: EA: 20: ab) 0

9 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 d: e3), Dst: HewlettP_ea: 20: ab (0:50:08 b: EA: 20: ab) 0

10 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 d: e3), Dst: HewlettP_ea: 20: ab (0:50:08 b: EA: 20: ab) 0

11 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 d: e3), Dst: HewlettP_ea: 20: ab (0:50:08 b: EA: 20: ab) 0

12 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 d: e3), Dst: HewlettP_ea: 20: ab (0:50:08 b: EA: 20: ab) 0

13 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 d: e3), Dst: HewlettP_ea: 20: ab (0:50:08 b: EA: 20: ab) 0

14 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 d: e3), Dst: HewlettP_ea: 20: ab (0:50:08 b: EA: 20: ab) 0

15 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 d: e3), Dst: HewlettP_ea: 20: ab (0:50:08 b: EA: 20: ab) 0

16 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 d: e3), Dst: HewlettP_ea: 20: ab (0:50:08 b: EA: 20: ab) 0

17 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:07 d: e3), Dst: HewlettP_ea: 20: ab (0:50:08 b: EA: 20: ab) 0

Così, quando il cliente arriva da Internet, passa attraverso un sistema di HP in qualità sia un router o un firewall. Il nostro server Web è in esecuzione su hardware Dell. Nota nostro ripristina (pacchetti di 6 e 7) sono entrambi vengono generati dallo stesso sistema utilizzando una scheda di rete D-Link.

Allora perché il D-Link cercare di terminare la sessione? Ciò è avvenuto solo dopo che il cliente ha inviato la richiesta di file sospetti. Sembra a me come il D-Link è in realtà un unico affinato sistema di prevenzione delle intrusioni (IPS). Quando viene rilevato un attacco, l'IPS tentativi di prevenire l'attacco da parte la trasmissione dei pacchetti riportato a entrambe le estremità della connessione.

Ma abbiamo ancora alcune domande senza risposta. È stato l'attacco di successo e perché il server sembrano ignorare il tentativo IPS di uccidere la sessione?

A sua volta, alla prossima puntata per scoprirlo.