In mijn laatste bericht hadden we vastgesteld dat de trace-bestand een sessie waar een enkele geslepen netwerk op basis van intrusion prevention-systeem had geprobeerd om een ​​aanval van een HTTP-client stoppen om een ​​webserver bevatte. We concludeerden dat de klant gegevens op te vragen zag er nogal verdacht, en bleek een derde systeem (de NIP's) verantwoordelijk was voor de reset-pakketten die tijdens de sessie.

In dit bericht moeten we nog twee vragen te beantwoorden:

1. Was de aanval succesvol?
2. Waarom heeft de webserver voorbij aan het TCP-reset pakket verzonden door de NIPS?

Was de aanval succesvol?

De aanvaller was op zoek te identificeren wanneer het bestand "startstop.html" was gelegen in het "Administrator" directory. Laten we eens een kijkje nemen bij een van de pakketjes verstuurd naar de aanvaller na de reset-pakketten zijn verzonden:

tshark-n-r challenge1.cap-x frame.number == 11

11 0.711825 12.33.247.4 -> 148.78.247.10 TCP [TCP doorgifte] [TCP-segment van een opnieuw gemonteerd PDU]

0000 00 50 8b ea 20 ab 00 b0 d0 20 7d e3 08 00 45 00. P.. .... } ... E.

0010 01 a7 37 47 40 00 40 06 73 0c 8b 21 f7 04 94 4e .. 7G @. @. S..! ... N

0020 f7 0a 00 50 69 2a 3a 88 39 cd 6a 97 b9 4c 80 19 ... Pi *:.. 0,9 j. L..

0030 19 20 8c d4 00 00 01 01 08 0a 3d 76 0E d3 00 ec. ... ... ..= V ....

0040 48 4b 48 54 54 50 2f 31 2e 31 20 34 30 34 20 4e HKHTTP/1.1 404 N

0050 6f 74 20 46 6f 75 6e 64 0d 0a 44 61 74 65 3a Gevonden 20 ot .. Datum:

0060 54 75 65 2c 20 32 35 20 4a 75 6e 20 32 30 30 32 dinsd. De 25 juni 2002

0070 20 30 30 3a 33 34 3a 35 38 20 47 54 4d 0d 0a 53 00:34:58 GMT .. S

0080 65 72 76 65 72 3a 20 41 70 61 63 68 65 0d 0a 43 erver: Apache .. C

0090 6f 6e 6e 65 63 74 69 6f 6e 3a 20 63 6c 6f 73 65 onnection: close

00a0 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 .. Content-Type:

00b0 74 65 78 74 2f 68 74 6d 6c 3b 20 63 68 61 72 73 text / html; chars

00c0 65 74 3d 69 73 6f 2d 38 38 35 39 2d 31 0d 0a 0d et = iso-8859-1 ...

00d0 0a 3c 21 44 4f 43 54 59 50 45 20 48 54 4d 4c 20. <! DOCTYPE HTML

00e0 50 55 42 4c 49 43 20 22 2d 2f 2f 49 45 54 46 2f PUBLIC "- / / IETF /

00f0 2f 44 54 44 20 48 54 4d 4c 20 32 2e 30 2f 2f 45 / DTD HTML 2.0 / / E

0100 4e 22 3e 0a 3c 48 54 4d 4c 3e 3c 48 45 41 44 3e N ">. <HTML> <HEAD>

0110 0a 3c 54 49 54 4c 45 3e 34 30 34 20 4e 6f 74 20. <TITLE> 404 Niet

0120 46 75 6f 6e 64 2f 3c 54 49 54 4c 45 3e 0a 3c 2f Found </ TITLE>. </

0130 48 45 41 44 3e 3c 42 4f 44 59 3e 0a 3c 48 31 3e HEAD> <BODY>. <H1>

0140 4e 6f 74 20 46 6f 75 6e 64 2f 3c 48 31 3e 0a 54 niet gevonden </ H1>. T

0150 68 65 20 72 65 71 75 65 73 74 65 64 20 55 52 4c hij verzocht URL

0160 20 2f 63 66 69 64 65 2f 41 64 6d 69 6e 69 73 74 / CFIDE / administ

0170 72 61 74 6f 72 2f 73 74 61 72 74 73 74 6f 70 2e configurator / StartStop.

0180 68 74 6d 6c 20 77 61 73 20 6e 6f 74 20 66 6f 75 html was niet fou

0190 6e 64 20 6f 6e 20 74 68 69 73 20 73 65 72 76 65 e op dit dienen

01a0 72 2e 3c 50 3e 0a 3c 2f 42 4f 44 59 3e 3c 2f 48 r. <P>. </ BODY> </ H

01b0 54 4d 4c 3e 0a 00 03 00 07 TML> ... ..

Dus het antwoord op de vraag van de aanvaller: "Is het bestand op de server, wordt beantwoord in elk pakket de server in te stellen aan de klant na de reset packets werden uitgegeven?. Nu wordt de vraag, heeft de aanvaller zien deze informatie?

Toen de reset pakket is verzonden naar de aanvaller, moet de reset hebben gedood de TCP-sessie. Dit betekent dat wanneer deze gegevens aankwam, de ontvangende poort (TCP/26922) moeten zijn in een gesloten toestand. Had dit in feite waar was, zou ik verwachten te zien een reset / ACK terug te komen van de aanvaller het systeem ons te vertellen dat TCP/26922 nu gesloten is. We hebben nooit zien die pakketjes.

Dus waarom niet de externe poort sluiten? De reset pakket is geldig, dus het zou gedood hebben de sessie. Een savvy aanvaller gaat een packet sniffer op de achtergrond tijdens het uitvoeren van hun aanval. Het is mogelijk dat de aanvaller zou hebben bedacht wat er gaande was en eenvoudig creëerde een firewall beslist over de aanval systeem filteren van alle inkomende pakketten opnieuw in te stellen. Dit zou hebben toegestaan ​​hun instrument te blijven functioneren. Zelfs zonder de firewall filter hun packet sniffer zouden de antwoorden die ze zoeken bevatten. Dus er is een zeer goede kans van de aanvaller heeft bedacht wat we zijn kwetsbaar voor, ondanks het feit een NIPS is het netwerk te beschermen.

Waarom heeft de webserver te negeren de reset-pakket?

Onze laatste vraag is waarom heeft de webserver te negeren op de reset-pakket verzonden door de NIPS. Dit veroorzaakt twee problemen:

• De info van de aanvaller wilde blijft lekken
• Als de aanvaller niet meerdere bestanden sondes, konden ze vullen de sessie tabel op de webserver

Het tweede item is een soort van eng, want het zou eigenlijk de NIPS waardoor de DoS-aanval worden slechts door het doden van een kant van de verbinding naar behoren. Dus zelfs als we gepatcht en up-to-date, vendor gear betaalden we geld voor zou uiteindelijk het doden van onze webserver. Gee Ik haat het als ik geld uitgeven voor DoS mezelf.

Laten we nog eens kijken naar die reset packets:

tshark-n-r challenge1.cap frame.number == 6 of 7 frame.number ==

6 0.031319 12.33.247.4 -> 148.78.247.10 TCP 80> 26922 [RST, ACK] Seq = 1 Ack = 222 Win = 0 Len = 0

7 0.031385 148.78.247.10 -> 12.33.247.4 TCP [TCP ACKed verloren segment] 26922> 80 [RST, ACK] Seq = 1 Ack = 222 Win = 0 Len = 0

Merk op dat tshark vertelt ons pakket 7 is een verloren segment. Met andere woorden, is tshark vertelt ons dat de TCP sequence nummer niet binnen het venster van de gastheer wordt verwacht. Een blik op de volgorde en erkennen nummers legt uit waarom. De waarden zijn identiek aan die in pakket 6. Misschien herinner je je van de laatste post die packet 6 en 7 ook dezelfde IP ID waarde (45.298) had.

Dus het lijkt erop dat hier is wat er gebeurde:

• Client stuurde een HTTP-aanval op onze web-server
• NIPS ontdekt de aanval
• NIPS stuurde een geldige TCP teruggezet naar de aanvaller om de sessie te doden
• NIPS ruilde de bron en doel-IP-adressen in het pakket, herberekend de CRC's, en vervolgens verzonden op dezelfde resetten naar de webserver
• Webserver negeert de reset, want het bevat geen aanvaardbare volgnummer

Je vraagt ​​je misschien af, "Hoe is de leverancier miss this?". Mijn beste gok is dat de verkoper een aantal gesimuleerde aanvallen liepen, de aanval gereedschap niet laten zien kwetsbare bestanden, zodat ze nam alles was OK werken. Met andere woorden, een leverancier die een product gecreëerd om netwerken te beschermen op de draad nooit de moeite genomen om te kijken naar wat hun product was eigenlijk aan het doen op de draad. Hummm ...

Bonusvraag

OK, als je plezier hebt met deze, hier is een bonus vraag om te beantwoorden die definitief zal je uber-nerd-status te tonen op de top van de geheime piramide:

Veronderstel dat we plaatsen een stateful inspection firewall tussen deze subnet en de aanvaller. Zal de aanvaller nog steeds in staat zijn om de antwoorden met een packet sniffer zien?

Ik kom na het antwoord volgende week.

In mijn laatste bericht hebben we vastgesteld dat het client-systeem was waarschijnlijk een soort van hulpmiddel om sonde voor het bekend is dat kwetsbare bestanden draaien. We moeten nog wel uit te leggen op de reset-pakketten, evenals de reden waarom de server was ze te negeren.

Op dit moment hebben we weten niet eens waar dit packet capture werd genomen in verband met de twee eindpunten. Ik ga tshark uitgevoerd met de "-T-gebieden"-schakelaar af te drukken van de TTL informatie. Door het analyseren van de TTLS, moeten we in staat om te bepalen waar we snuffelen in relatie tot de client en de server. Ik ben ook ter perse gaan van de IP-id's om te zien of er sprake is van afwijkingen in het pakket te bestellen.

Hier is de opdracht en de output:

tshark-r challenge1.cap-T-gebieden-e frame.number-e-e ip.src tcp.srcport-e-e ip.ttl ip.id

1 148.78.247.10 26922 49 0x2a6b

2 12.33.247.4 80 64 0 × 0000

3 148.78.247.10 26922 49 0x2a95

4 148.78.247.10 26922 49 0x2a96

5 12.33.247.4 80 64 0 × 3743

6 12.33.247.4 80 255 0xb0f2

7 148.78.247.10 26922 255 0xb0f2

8 12.33.247.4 80 64 0 × 3744

9 12.33.247.4 80 64 0 × 3745

10 12.33.247.4 80 64 0 × 3746

11 12.33.247.4 80 64 0 × 3747

12 12.33.247.4 80 64 0 × 3748

13 12.33.247.4 80 64 0 × 3749

14 12.33.247.4 80 64 0x374a

15 12.33.247.4 80 64 0x374b

16 12.33.247.4 80 64 0x374c

17 12.33.247.4 80 64 0x374d

148.78.247.10 is de opdrachtgever. We weten dat omdat het initiatief van de sessie en de communicatie met behulp van een hogere bron poort. 12.33.247.10 is onze HTTP-server communicatie van de haven 80.

In pakket 1 zien we de klant heeft een TTL van 49. De dichtstbijzijnde start TTL match voor een bekende besturingssysteem is 64, dus dit geeft ons de klant is een Linux-, UNIX-of Mac-systeem vergadering 15 hops weg. In pakket 2 zien we de server met een TTL-waarde van 64, dus het moet een van de eerder genoemde besturingssystemen zitten op het lokale netwerk. Dus, we zijn op dezelfde botsing domein als de server, maar zat 15 hop uit de buurt van de klant.

Er is echter een probleem. Kijk naar packets 6 en 7. Hier zien we de TTL van beide systemen te veranderen naar 255. Een besturingssysteem zal nooit het TTL veranderen tijdens een sessie, dus dit ziet er zeer verdacht. Verder hebben we al vastgesteld dat de klant is 15 hop zit bij ons vandaan. 255 is de grootst mogelijke TTL-waarde als de TTL veld slechts een enkele byte (byte 8 in de IP-header). Dus zelfs als de bron IP-adres beweert de remote client, is er geen manier dat pakket kan overal, maar vanaf het lokale netwerk zijn ontstaan. Als het pakket waren overgestoken een of meer routers, zou de TTL-waarde lager zijn.

Het IP-ID informatie ziet er niet goed zijn. In de eerste drie pakketten van de client zien we de IP ID waarden 0x2a6b (10.859), 0x2a95 (10.901), en 0x2a96 (10.902). Dit vertelt ons de klant is mogelijk met behulp van een +1 incrementele IP ID, we gewoon niet zien 42 van de pakketten tussen de verzonden eerste en tweede pakket. De volgende IP ID zien we vanuit de klant is 0xb0f2 (45.298). OK, tenzij wij misten meer dan 34.000 pakketten, dit IP-ID niet jive.

Let op de bovenstaande analyse zou slechts theoretisch, ware het niet voor de inconsistente TTL waarden. Met slechts drie pakketten om naar te kijken, kunnen we niet precies identificeren van de IP ID te verhogen. Het is ook mogelijk, maar zeer zeer onwaarschijnlijk, dat het IP ID toename is volledig willekeurig en het systeem toevallig twee incrementele IP-id's, een direct na de ander toe te wijzen. Nog steeds, combineren de TTL-en IP-ID-informatie bij elkaar en zij geven aan dat dit laatste pakket niet kon zijn ontstaan ​​uit hetzelfde systeem.

We hebben meer IP ID gegevens van de server om mee te werken, dus laten we eens kijken naar dat. De id's zijn:

• 0 (0)
• 0 × 3743 (14147)
• 0xb0f2 (45298)
• 0 × 3744 (14148)
• 0 × 3745 (14149)
• 0 × 3746 (14150)
• 0 × 3747 (14.151)
• 0 × 3748 (14152)
• 0 × 3749 (14153)
• 0x374a (14154)
• 0x374b (14155)
• 0x374c (14156)
• 0x374d (14157)

Neem een ​​kijkje op de derde lijst IP ID, dat is van packet 6 in het trace. Merk op dat alle andere IP-id's zijn incrementeel +1, maar dit IP ID hoort niet. In feite kunnen we laten zien dat de server stappen is het IP ID met +1 en dat er geen manier is dit pakket afkomstig van de server.

Humm. Ik vraag me af of deze verdachte pakketjes line-up met de vreemde zet zagen we:

tshark-r challenge1.cap-T-gebieden-e-e frame.number ip.src-e-e tcp.srcport ip.ttl-e-e ip.id tcp.flags.reset

1 148.78.247.10 26922 49 0x2a6b 0

2 12.33.247.4 80 64 0 × 0000 0

3 148.78.247.10 26922 49 0x2a95 0

4 148.78.247.10 26922 49 0x2a96 0

5 12.33.247.4 80 64 0 × 3743 0

6 12.33.247.4 80 255 0xb0f2 een

7 148.78.247.10 26922 255 0xb0f2 een

8 12.33.247.4 80 64 0 × 3744 0

9 12.33.247.4 80 64 0 × 3745 0

10 12.33.247.4 80 64 0 × 3746 0

11 12.33.247.4 80 64 0 × 3747 0

12 12.33.247.4 80 64 0 × 3748 0

13 12.33.247.4 80 64 0 × 3749 0

14 12.33.247.4 80 64 0 0x374a

15 12.33.247.4 80 64 0 0x374b

16 12.33.247.4 80 64 0 0x374c

17 12.33.247.4 80 64 0 0x374d

Ah ha! Dus als we kijken naar de pakketjes met de vreemde TTL en IP ID waarden, dit waren de vreemde reset pakketten die worden verzonden tijdens de sessie.

Het lijkt mij zoals sommige derde systeem is springen in het gesprek om de reset-pakketten te verzenden. Aangezien deze vreemde pakketjes hebben een TTL van 255, we weten dat het moet zich op dezelfde botsing domein als waar we zijn snuiven. Aangezien het zich op dezelfde botsing domein, kan de Ethernet-header informatie nuttig zijn:

tshark-r challenge1.cap-T-gebieden-e-e frame.number eth-e tcp.flags.reset

1 Ethernet II, Src: HewlettP_ea: 20: ab (00:50:08 b: ea: 20: ab), Dst: DellComp_20: 7d: e3 (00: b0: d0: 20:7 d: e3) 0

2 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:7 d: e3), Dst: HewlettP_ea: 20: ab (00:50:08 b: ea: 20: ab) 0

3 Ethernet II, Src: HewlettP_ea: 20: ab (00:50:08 b: ea: 20: ab), Dst: DellComp_20: 7d: e3 (00: b0: d0: 20:7 d: e3) 0

4 Ethernet II, Src: HewlettP_ea: 20: ab (00:50:08 b: ea: 20: ab), Dst: DellComp_20: 7d: e3 (00: b0: d0: 20:7 d: e3) 0

5 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:7 d: e3), Dst: HewlettP_ea: 20: ab (00:50:08 b: ea: 20: ab) 0

6 Ethernet II, Src: D-Link_8f: E0: 0C (0u50: ba: 8f: E0: 0 ° C), Dst: HewlettP_ea: 20: ab (00:50:08 b: ea: 20: ab) 1

7 Ethernet II, Src: D-Link_8f: E0: 0C (0u50: ba: 8f: E0: 0 ° C), Dst: DellComp_20: 7d: e3 (00: b0: d0: 20:7 d: e3) 1

8 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:7 d: e3), Dst: HewlettP_ea: 20: ab (00:50:08 b: ea: 20: ab) 0

9 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:7 d: e3), Dst: HewlettP_ea: 20: ab (00:50:08 b: ea: 20: ab) 0

10 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:7 d: e3), Dst: HewlettP_ea: 20: ab (00:50:08 b: ea: 20: ab) 0

11 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:7 d: e3), Dst: HewlettP_ea: 20: ab (00:50:08 b: ea: 20: ab) 0

12 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:7 d: e3), Dst: HewlettP_ea: 20: ab (00:50:08 b: ea: 20: ab) 0

13 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:7 d: e3), Dst: HewlettP_ea: 20: ab (00:50:08 b: ea: 20: ab) 0

14 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:7 d: e3), Dst: HewlettP_ea: 20: ab (00:50:08 b: ea: 20: ab) 0

15 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:7 d: e3), Dst: HewlettP_ea: 20: ab (00:50:08 b: ea: 20: ab) 0

16 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:7 d: e3), Dst: HewlettP_ea: 20: ab (00:50:08 b: ea: 20: ab) 0

17 Ethernet II, Src: DellComp_20: 7d: e3 (00: b0: d0: 20:7 d: e3), Dst: HewlettP_ea: 20: ab (00:50:08 b: ea: 20: ab) 0

Dus als de klant komt van het internet, het door een HP-systeem als ofwel een router of een firewall. Onze webserver wordt uitgevoerd op Dell-hardware. Let op onze reset (pakketten 6 en 7) zijn beide wordt gegenereerd door hetzelfde systeem met behulp van een D-Link NIC.

Dus waarom heeft de D-Link systeem te proberen om de sessie te doden? Dit gebeurde net nadat de opdrachtgever stuurde het verdachte bestand te vragen. Het lijkt mij als de D-Link systeem is eigenlijk een geslepen intrusion prevention system (IPS). Wanneer een aanval wordt gedetecteerd, de IPS pogingen om de aanval te voorkomen door het verzenden van reset-pakketten naar beide uiteinden van de verbinding.

Maar we hebben nog een aantal onbeantwoorde vragen. Was de aanval succesvol en waarom heeft de server verschijnen om de IPS's poging om de sessie te doden negeren?

Draai in de volgende episode uit te vinden.