RSS
 

Posts Tagged ‘Linux’

IPv4 fragmentation bomb? >> Rose and New Dawn Attack

27 Nov

Hi,

da wir zuletzt  in Kommunikationssysteme kurz die Fragmentierung von IPv4 erwähnt haben, und wir dabei auch mögliche Denial of Service Attacks (DoS) aufgedeckt haben, wollte ich das auch mal in der Praxis ausprobieren. Dafür habe ich ein bisschen gesucht und folgendes gefunden.

Rose Attack:

The first attack is fairly simple.  Send the first few bytes of a fragmented packet at offset 0 (More Fragments Bit = 1) and then send a few bytes at the end of a 64k sized packet (More Fragments Bit = 0).  The placement of the last fragment does not have to be at 64k, this is just an attempt to use more memory.

Note that if you send with a random source address then the only way to track down the attack is to trace it hop by hop (router by router) back to the source.

Source port does not matter because the packet has not “moved up the stack” yet, so the stack does not validate that the destination port is even valid.  In some cases all legitimate fragmented packets are denied or impacted (UDP, TCP and ICMP) if you attack a machine in this manner.

When you send enough of these tiny fragments the buffer in the receiving machine fills waiting for the rest of the fragments to arrive.  Legitimate fragmented packets cannot enter the queue because it is already filled, waiting for the fragments that will never arrive.

Some implementations of the IP stack drop “old” fragmented packets that have not completed thus thwarting (to a greater or lesser degree) this attack.

Danach bin ich frisch ans Werk, habe mir die rose.c besorgt, vorher noch die netwib, mit folgenden Abhängigkeiten kompiliert:

Auszug aus http://www.laurentconstantin.com/en/netw/:

Prerequise for Unix :

Zusätzlich habe ich noch die Pakete kernel-source und linux-kernel-headers installiert.

Danach hab ich munter drauf los gelegt und all meine Systeme damit “beschossen”. :-)

Dabei habe ich festgestellt, dass mit dem Rose Attack (siehe Wireshark Screenshots) bei meiner Open SuSE 10.3 Kiste (Kernel 2.6.9-023) und dem Apple MacBook mit Mac OS X  Snow Leopard nichts passiert ist. Diese sind, wie im Artikel erwähnt, dagegen immun.

Dann hab ich es mal auf meinen Router losgelassen, einem D-Link DIR-315. Et Voilá: Dieser ging auch prompt in die Knie, wie man im Screenshot anhand eines Pings sehen kann. Somit konnten keine Anfragen mehr von ihm bearbeitet werden. Auf einem Windows XP mit SP3 und aktuellstem Patchstand habe ich allerdings keinen so guten Erfolg gehabt. Ich konnte lediglich die CPU-Auslastung mit einem der New Dawn Attacken ein bisschen in die Höhe treiben, aber auch nicht allzu sehr.

Understanding IP fragmentation:

 
No Comments

Posted in Allgemein, Studium, Technik

 

Always Backup!

16 Okt

Hi,

wie jeder mittlerweile weiß, sollte man von seinen Daten so gut wie immer ein Backup machen.

Tja, leider hab ich des letztens auch verpennt. Denn als ich den Virtual Server von semox.de von OpenSuSE 10.1 nach 10.3 (ist ja ein Wahnsinns Versionssprung, aber 1und1 braucht immer bis die mal wieder ein paar Images dafür freigeben) migriert habe, hab ich doch glatt ein paar Daten vergessen mit zu übernehmen. Deswegen liefere ich hier eine Liste von Pfaden, die man doch vor solch einer Aktion sichern sollte.

Beispielsweise mit dem Befehl ein Archiv erstellen und dieses dann wegkopieren.

tar -czvf backup.tar.gz verzeichnis/

Und hier nun die Liste für ein Linux SuSE System:

  • /home/* – User Home-Verzeichnis
  • /etc/* – Konfigurationsdateien
  • /srv/www/* – Webserver Verzeichnis
  • /srv/ftp/* – FTP-Server Verzeichnis
  • /var/spool/imap/user/* – User IMAP Mailverzeichnisse
  • /var/lib/imap/* – User IMAP Datenbanken usw.
  • /usr/local/bin/* – Eigene Binarys, Skripte
  • /usr/local/sbin/* – Eigene System Binarys, Skripte
  • MySQL Datenbanken mittels phpMyAdmin
  • Cronjob Tabelle mit crontab -l für jeden wichtigen User
  • Mailgraph DB (/var/lib/mailgraph/mailgraph.rrd und mailgraph_virus.rrd)
  • Spamassassin Bayes DB /var/spamassassin/bayes:

    sa-learn –backup > backup.txt
    sa-learn –restore backup.txt

 
2 Comments

Posted in Technik

 

Spam, Spam, Spam … I DON’T LIKE SPAM! ;-)

22 Mrz

Hi,

hier ein kleines Schmankerl von der Komikergruppe Monty Python zum Thema “Spam”.
Vorsicht: Britischer Humor.

Da ich ja letztes Mal darüber berichtet habe, dass ich meinen virtuellen Server mit SuSE 10.1 installiert habe, möchte ich heute ein bisschen was zu meinem konfigurierten Mailserver posten.

Und zwar verwende ich dabei serverseitig Postfix mit amavisd-new und spamassassin um die Mails zu empfangen, auf Spam und auf Viren zu überprüfen. Außerdem werden die Mails nur angenommen, wenn die Mail den RFC0821 einhält und der sendende Server einen FQDN im helo Kommando absetzt. Der FQDN wird auch gegen einige RBL’s gecheckt ob er von potentiellen Spammern stammt.

reject_rbl_client cbl.abuseat.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client bl.spamcop.net

Ist die Mail schließlich auf Viren und Spam durchgecheckt, wird sie an den IMAP-Server Cyrus weitergegeben, der mittels SIEVE die Mails richtig in meine Fächer einsortiert. Die Guten ins Körbchen (Posteingang), die Schlechten ins Kröpfchen (Spam-Ordner). SIEVE kann aber auch noch sehr viel mehr sortieren. Beispielsweise die Mails von bestimmten Mailinglisten in den dafür bestimmten Ordner. SIEVE konfiguriere ich sehr bequem mit avelsieve, einem Plugin für Squirrelmail, das mir den Zugriff auf meinen IMAP-Server über das Web bereitstellt und auch Urlaubsnachrichten einrichten lässt, wenn ich mal weg sein sollte.

Sollte sich nun doch einmal eine Spam-Mail in meinen Posteingang verirren, so brauche ich sie nur in meinen Learn.Spam Ordner verschieben, und schon lernt Spamassassin über Nacht ein paar neue Spam-Muster und kann sie beim nächsten Mal richtig aussortieren. Ermöglicht wird dies durch sa-learn-cyrus.

Um auch noch eine schöne Auswertung der “rejected, sent, virus und spam” Mails zu bekommen, habe ich ein Perlskript von David Schweikert gefunden, dass genau so etwas macht. Es nennt sich Mailgraph. Meine Statistik könnt ihr unter www.semox.de/cgi-bin/mailgraph.cgi aufrufen.

 
No Comments

Posted in Technik

 

Kurze Downtime…

28 Feb

Hi,

Bohrerwie ihr sicherlich schon bemerkt haben werdet, war www.semox.de kurz down. Der Grund dafür ist eine Betriebssystemumstellung auf meinem vserver XL. Dabei habe ich von SuSE 9.3 auf SuSE 10.1 (64bit) umgestellt. Eigentlich ganz praktisch, nur muss ich jetzt wieder alle Einstellungen vornehmen, soweit ich sie nicht vom Backup einspielen kann, damit ich ein wirklich gutes, schnelles und stabiles System habe. Denn die bereitgestellte Plesk Software ist wirklich sehr systemlastig und meines Erachtens nicht für mich geeignet. Außerdem werden die Website-Informationen nun nicht mehr über eine gesicherte Verbindung ausgeliefert sondern ganz normal über HTTP. Nur spezielle Anwendungen werde ich darüber laufen lassen. Also aktualisiert eure RSS Reader, falls ihr welche habt, mit diesem Link:

feed-icon-14x14.png http://www.semox.de/feed

 
No Comments

Posted in Technik

 

Erfolgreiches RFID Experiment

05 Jan

Hi, heute ist mein bestellter OpenPCD (RFID Reader & Writer) gekommen. Ich hab mich natürlich gleich hingesetzt und das Ding ausprobiert. Hier der Reader:  Er scannt Proximity Integrated Circuit Cards auf der 13,56MHz Frequenz. Wie zum Beispiel Standards wie ISO 14443, ISO 15693 sowie proprietäre Protokolle wie Mifare Classic. Hier gibt es noch zusätzliche Informationen zum Design des OpenPCD: http://www.openpcd.org  Er wird über USB mit dem PC verbunden. Leider ist zur erfolgreichen In-Betriebnahme ein Linux-System von Nöten. Hier ein Link zu einem Wiki der die einzelnen Schritte erläutert: http://wiki.openpcd.org/index.php/Getting_started  Haltet man nun eine solche PICC über den Reader, Abstand max. 10cm und Librfid-0.1.0 wurde richtig compiled… …so wird der RFID Token richtig erkannt:  Richtig geil das Ding!

 
No Comments

Posted in Technik