IP-Fragmentierung

C

caffeine

Guest
Nabend zusammen,

Ich hab etwas Verständnisprobleme mit der IP-Fragmentierung, vielleicht kann da jemand etwas Licht ins Dunkle bringen.

IP-Fragmentierung : = Wenn ein IP-Datagramm erzeugt wird, dass größer ist als die MTU erlaubt (Maximum Transmission Unit), so wird es auf mehrere physikalische Datenblöcke verteilt.

1.) Tiny-Fragment-Attack:
Ein IP-Datagramm werde fragmentiert in Fragment 1 und Fragment 2.
Fragment 1 beinhaltet die ersten 8 Byte, was genau dem TCP Header entspricht.
Der Rest ist in in Fragment 2, sprich die eigentliche TCP Anfrage.Da aber von IP strikt nur Fragment 1 geprüft wird, kommt aufgrund von Fragment 2 die TCP-Verbindung zu Stande.
Das Filtern des ersten Fragments (Fragment Offset gleich 0) bestimmt also die Regel, die auf die anderen (mit Fragment Offset gleich 1) angewandt wird, ohne jede weitere Art der Kontrolle. Bei der Zusammensetzung auf der IP-Ebene im Zielrechner wird so die Verbindungsanfrage wieder aufgebaut und an die TCP-Ebene geleitet. Die Verbindung kommt dann trotz des IP-Filters zustande.

2.) Overlapping-Fragment-Attack:
Baut auf die gleiche Weise wie beim Tiny-Fragment-Attack die TCP-Verbindung, durch Umgehung des IP-Filters mittels geschickter Fragmentierung, auf aber das Fragment 2 überschreibt das Fragment 1 ab dem 8. Byte an.

Jetzt zu meiner Frage:
Ich verstehe nicht was ein Overlapping-Fragment-Attack bringen soll.Was bringt es mit Fragment 2 Fragment 1 zu überschreiben ? Ich kann die Methodik vom Tiny-Fragment-Attack völlig nachvollziehen, aber die Overlapping eher weniger.

Kann jemand erklären was dieser Unterschied bringen soll oder kann ?

Meine Quelle dazu falls es jemanden interessiert: lf282, SystemAdministration: Angriffe von außen

Vielen Dank und schönen Abend, caffeine
 
Hey,

erinnert mich irgendwie an Teardrop Angriffe..

Naja so wie ich das verstanden habe ist es letztendlich nur eine abgewandelte Form vom Tiny-Fragment-Angriff. Nur das halt hier darauf gesetzt wird, dass das erste Paket überschrieben wird und nicht einfach nur der Filter dadurch umgangen wird, dass nur das erste Paket geprüft wird. Vermute mal(sicher bin ich da halt nicht) dass die Router-Hersteller halt das mit den Tiny-Fragment-Angriffen sehr schnell in neueren Produkten/Softwareupdates unterbunden haben. Und dadurch ging man dazu über, dass erste immer wieder zu überschreiben.

Weiß nicht ob verständlich geworden ist was ich meinte?

Grüße

IanG
 
Hey,

erinnert mich irgendwie an Teardrop Angriffe..

Naja so wie ich das verstanden habe ist es letztendlich nur eine abgewandelte Form vom Tiny-Fragment-Angriff. Nur das halt hier darauf gesetzt wird, dass das erste Paket überschrieben wird und nicht einfach nur der Filter dadurch umgangen wird, dass nur das erste Paket geprüft wird. Vermute mal(sicher bin ich da halt nicht) dass die Router-Hersteller halt das mit den Tiny-Fragment-Angriffen sehr schnell in neueren Produkten/Softwareupdates unterbunden haben. Und dadurch ging man dazu über, dass erste immer wieder zu überschreiben.

Weiß nicht ob verständlich geworden ist was ich meinte?

Grüße

IanG

Hmm, wenn die aber Tiny-Fragment-Angriffe gefixt haben, funktionieren auch die Overlapping-Fragment-Angriffe auch nicht weil die auf genau die gleiche Weise den IP-Filter umgehen.Ich verstehe den eigentlichen Sinn des -überschreibens- nicht.

vG caffeine
 
Eigentlich ganz einfach...

Ein Server erlaubt von außen auf Port 80, aber blockiert von außer die Verbindung auf 22.
Ein komplettes Paket wird geteilt in zwei Fragmentierungen.


Das erste stellt eine Verbindung auf Port 80
Das zweite überschreibt das Port aus dem ersten Teil auf 22.

Da laut RFC Richtlinien negative Offsets überschreiben kann man nach der Genehmigung der Sitzung das Port auf 22 überschreiben.

Solche Mechanismen lohnen sich bei Systemen mit Firewallregeln.

Hoffe, dass ich es kurz, knapp und deutlich erklären konnte.
 
Eigentlich ganz einfach...

Ein Server erlaubt von außen auf Port 80, aber blockiert von außer die Verbindung auf 22.
Ein komplettes Paket wird geteilt in zwei Fragmentierungen.


Das erste stellt eine Verbindung auf Port 80
Das zweite überschreibt das Port aus dem ersten Teil auf 22.

Da laut RFC Richtlinien negative Offsets überschreiben kann man nach der Genehmigung der Sitzung das Port auf 22 überschreiben.

Solche Mechanismen lohnen sich bei Systemen mit Firewallregeln.

Hoffe, dass ich es kurz, knapp und deutlich erklären konnte.

Achsoo, alles klar vielen Dank :D Das macht Sinn ! :thumb_up:
 
Zurück
Oben