[HaBo]

Net7Gothic

Anzeige

Hallo Leute!!

Ich habe folgendes Problem

Ein guter Kumpel von mir hat ein Tool gecodet das es ermöglicht Firewalls zum Absturz zu bringen. Dazu wird auch noch die Verbindung zum Internet blockiert.

Folgend Firewalls waren nicht Resistent dagegen:

Blackice, NIS, Zonearlam,

Atguard hatte den Angriff 10 min standgehalten.

Nun wollte dieser Kumpel mich nun Rätseln lassen wie das Prog. funzt.

Folgendes passiert wenn ich Atguard laufen ließ.

Assistent öffnete Port 1 wird angesprochen
Reaktion von mir (blocked)

Port 3..... wir angesprochen usw.
natürlich immer mit (blocked) reagiert...

Meine IP war ihm bekannt (hab ich ihm ja auch gesagt

Folgende Proggis liefen nebenbei: MIRC


Frage: Hat jemand Erfahrung damit gemacht?
Für mich sieht es eher nach Portflodder aus oder sowas. Es wundert mich nur, das die Firewall solch einen Portangriff nicht standhält. Habe sogar Portblockierende Tools benutzt.(hat nichts genützt).

Wie kann man solch einen Angriff etwas entgegensetzen? Und weiß jemand wie solch ein Angriff funzt. Damit ich ein Antitool coden kann. ?(

boppy

Sagst du uns noch welches Betriebssystem du benutzt? und sonst lief nichts nebenbei!? kein ICQ, AIM oder sowas?! NUR und ausschließlich mIRC?

Rushjo

@Net7Gothic

Nach Deinen Beschreibungen würde ich mal tippen,
das Programm, wie Du schon selber gesagt hast, die
Firewall killt, indem es einfach systematisch Ports
zu öffnen versucht, die die Firewall natürlich blockt,
bis die Firewall zusammen bricht!! Irgendwann ist ein-
fach die Menge der zu blockierenden Portts zu groß,
dann bricht die Firewall zusammen!
An dieser Stelle würde mich mal interessieren, ob der
Task-Manager dann sagt, "Anwendung reagiert nicht"
oder ob er garnichts sagt und die Anwendung im
Task-Manager einfach nicht mehr vorhanden ist?
Das Dein Internet nicht mehr funktioniert, liegt
wahrscheinlich einfach an der Tatsache, das das
Programm auch den Port 80 (HTTP) anspricht, der
wird dann einfach in einer "Standard-Reaktion"
durch die D-FW geblockt, womit auch die Communi-
kation mit dem Internet wegbricht! mIRC hingegen
müsste länger funktionieren, da es höhere Ports nutzt
und das Programm sicherlich die Port systematisch von
unten beginnend die Ports anspricht!

MfG Rushjo

antcool

Kann es auch nicht möglich sein das das Betriebssytem/Firewall bei ihrgend einem Port schlapp macht wenn es zulange und mit zu vielen Daten bombadiert wird??? Bei Windoof weiss man nie!!

Tec

@Net7Gothic
kann man das tool irgendwo runterladen?

Net7Gothic

Hi Leute

Also ich benutze Win98, das hatte ich vergessen zu erwähnen. Alle neuesten Sicherheitsupdates wurden installiert.
Zun Thema Mirc, dadurch habe ich ja erst mitbekommen das die Verbindung zum Internet verloren ging. (Diconnect).

Ich versuche mal das Toll aus ihm rauszuleiern, er sagte das es noch in der Testphase sei ,mal sehen was ich tun kann.

Was mir allerdings noch aufgefallen ist, im Statusfenster von Atguard war noch eine einzige Verbindung vorhanden und zwar Port 6667 Application mIrc.
Obwohl die Verbindung weg war. In der Iconleiste rechts unten diese 2 Netwerkmonitore, dort hat der obere nur noch grün geleuchtet. Der untere war tod.
Bei erneuter Einwahl zu meinem Provider ohne den Rechner neu zu starten gab es eine offensichtlich funktionierende Verbindung jedoch hing diese sich auch gleich wieder auf.
Ich vermute das es ein Bug in der Winsock.dll sein könnte denn wie kann sich diese Verbindung aufhängen wenn mir von meinen Provider eine neue Ip zugewiesen wird.
Jetzt mal zum Taskmanager, im Sinne (Anwendung reagiert nicht), is keine der Firewalls abgestürzt. Alle ließen sich normal beenden doch mit ihnen im Hintergrund ließen sich keine weiteren Programme starten. Es gab auch keinerlei Fehlermeldung.(zb. zu wenig Speicher ect.).

boppy

Zu win98 habe ich noch das Maximal Connection Problem im angebot. Das hat zwar wenig mit der dfw zu tun, ist aber auch ein problem, welches von EDonkey bekannt sein sollte. vielleicht stellt er mehrere Verbindungen her, bis windows sie nicht mehr verwalten kann (prob ist bekannt!)

DelumaX

Ich denke das dass Tool auf einer Schwachstelle der genannten Firewalls beruht, die die DoS-Attacken überhaupt erst möglich machen. Und zwar hört es sich für mich so an als wenn dein Kumpel einen Portscan durchführt. Die DFW speert daraufhin die IP von der der Portscan kommt für eine bestimmte zeit. Sprich zu dieser IP ist keinerlei Verbindung mehr möglich.

Wahrscheinlich hat dein Kumpel nun einen Portscanner gecodet, oder aus dem Netz gesaugt, der eine IP-Spoofing Funktion besitzt (wobei er das Spoofing auch anders durchführen könnte). Er scannt also deine Ports mit einer vorgetäuschten IP. Wenn er nun also z.B. die IP von dem DNS-Server deines Providers vortäuscht kappt deine DFW daraufhin für einen bestimmten Zeitraum die Verbindung zu diesem. Und schon klappt das surfen nicht mehr.

Probier mal folgendes gebe die IP deines DNS-Servers etc. definitiv frei und schau dann mal ob sein Prog immer noch funktioniert...!?! cu

P.S. Das sollten alle DFW-User tun

Net7Gothic

DelumaX

Welches Protokoll??
Folgende Einstellungen habe ich.

UDP: SingleSevice any Domain

Du meinst das ich die DNS Outbound noch folgende Protokolle hinzufügen soll, TCP und ICMP :any Service??

Na ich werds ma probieren! Ich sag Bescheid wenns geholfen hat )

DelumaX

Nee um Gottes Willen, damit reißt du noch mehr auf.

Du sollst die IP des DNS-Servers defenitiv freigeben. Die IP findest du unter W2k in den Verbindugsdetails, unter W98 gibt es glaube ich ein Tool imWindowsverzeichnis. Heißt glaube ich IPconfg oder so ähnlich. Beim Rosa Riesen wäre es z.B. 217.5.98.67.

Die IP gibst du dann generell frei. Darunter setze eine "Blocke alles" Regel... Weisst du was ich mein?? cu

TheEvilOne

In welcher Sprache hat er das Tool eigentlich programmiert ?

Net7Gothic

Soweit ich weiß kann hat er es in Visual Basic gecodet.

Ähm worin liegt der Sinn deiner Frage TheEvilOne
?( ?( ?(

Das soll nicht böse gemeint sein. Bin nur neugierig

derBlubb

Hi,

Visual was?? - scheint ja eine mächtige
Programmiersprache zu sein lol
Frag doch noch mal genauer nach

bye

Net7Gothic

Ja Visual Basic... )

Armitage

Es ist tatsaechlich "sehr" leicht einen Firewall "killen".
Handelt es sich um einen Desktop Firewall wie Atguard
so bracht man tatsaechlich nur eine große Anzahl an connections aufzubauen.
Irrwitzigerweise wird da geblock, wo es auch nichts zu blocken gibt, da normalerweise auf Winsen keine Serverdienste laufen.

Viele Desktop FWs blocken die Ports und melden das dem "Angreifer" auch zurueck (port 23 blocked). Und das kostet einmal perfommance und zum anderen "verraet" man sich ja schon.
Intelligente FW oder Packetfilter (unter Linux kann man z.B. solche Regeln selber mit ipchains erstellen).
Mit der DENY Option einer FW registriert man das Packet und verwirft es (der scanner bekommt hoechstens ein host not found).
Ein anderer Weg ist es, die Logfiles ueberquellen zu lassen (sofern der FW mitloggt) so stellt der FW ebenfalls seinen Dienst "bei Zeiten" ein..

Wenn Du tiefergehende Infos ueber FWs haben willst empfehle ich Dir (unbedingt )

http://www.little-idiot.de

und darauf das Firewall Handbook.

have phun..

:wq!