Firewall Killertool

[Net7Gothic]

Hallo Leute!!

Ich habe folgendes Problem

Ein guter Kumpel von mir hat ein Tool gecodet das es ermöglicht Firewalls zum Absturz zu bringen. Dazu wird auch noch die Verbindung zum Internet blockiert.

Folgend Firewalls waren nicht Resistent dagegen:

Blackice, NIS, Zonearlam,

Atguard hatte den Angriff 10 min standgehalten.

Nun wollte dieser Kumpel mich nun Rätseln lassen wie das Prog. funzt.

Folgendes passiert wenn ich Atguard laufen ließ.

Assistent öffnete Port 1 wird angesprochen
Reaktion von mir (blocked)

Port 3..... wir angesprochen usw.
natürlich immer mit (blocked) reagiert...

Meine IP war ihm bekannt (hab ich ihm ja auch gesagt

Folgende Proggis liefen nebenbei: MIRC


Frage: Hat jemand Erfahrung damit gemacht?
Für mich sieht es eher nach Portflodder aus oder sowas. Es wundert mich nur, das die Firewall solch einen Portangriff nicht standhält. Habe sogar Portblockierende Tools benutzt.(hat nichts genützt).

Wie kann man solch einen Angriff etwas entgegensetzen? Und weiß jemand wie solch ein Angriff funzt. Damit ich ein Antitool coden kann. ?(

 

[boppy]

Sagst du uns noch welches Betriebssystem du benutzt? und sonst lief nichts nebenbei!? kein ICQ, AIM oder sowas?! NUR und ausschließlich mIRC?

 

[Rushjo]

@Net7Gothic

Nach Deinen Beschreibungen würde ich mal tippen,
das Programm, wie Du schon selber gesagt hast, die
Firewall killt, indem es einfach systematisch Ports
zu öffnen versucht, die die Firewall natürlich blockt,
bis die Firewall zusammen bricht!! Irgendwann ist ein-
fach die Menge der zu blockierenden Portts zu groß,
dann bricht die Firewall zusammen!
An dieser Stelle würde mich mal interessieren, ob der
Task-Manager dann sagt, "Anwendung reagiert nicht"
oder ob er garnichts sagt und die Anwendung im
Task-Manager einfach nicht mehr vorhanden ist?
Das Dein Internet nicht mehr funktioniert, liegt
wahrscheinlich einfach an der Tatsache, das das
Programm auch den Port 80 (HTTP) anspricht, der
wird dann einfach in einer "Standard-Reaktion"
durch die D-FW geblockt, womit auch die Communi-
kation mit dem Internet wegbricht! mIRC hingegen
müsste länger funktionieren, da es höhere Ports nutzt
und das Programm sicherlich die Port systematisch von
unten beginnend die Ports anspricht!

MfG Rushjo

 

[antcool]

Kann es auch nicht möglich sein das das Betriebssytem/Firewall bei ihrgend einem Port schlapp macht wenn es zulange und mit zu vielen Daten bombadiert wird??? Bei Windoof weiss man nie!!

 

[Tec]

@Net7Gothic
kann man das tool irgendwo runterladen?

 

[Net7Gothic]

Hi Leute

Also ich benutze Win98, das hatte ich vergessen zu erwähnen. Alle neuesten Sicherheitsupdates wurden installiert.
Zun Thema Mirc, dadurch habe ich ja erst mitbekommen das die Verbindung zum Internet verloren ging. (Diconnect).

Ich versuche mal das Toll aus ihm rauszuleiern, er sagte das es noch in der Testphase sei ,mal sehen was ich tun kann.

Was mir allerdings noch aufgefallen ist, im Statusfenster von Atguard war noch eine einzige Verbindung vorhanden und zwar Port 6667 Application mIrc.
Obwohl die Verbindung weg war. In der Iconleiste rechts unten diese 2 Netwerkmonitore, dort hat der obere nur noch grün geleuchtet. Der untere war tod.
Bei erneuter Einwahl zu meinem Provider ohne den Rechner neu zu starten gab es eine offensichtlich funktionierende Verbindung jedoch hing diese sich auch gleich wieder auf.
Ich vermute das es ein Bug in der Winsock.dll sein könnte denn wie kann sich diese Verbindung aufhängen wenn mir von meinen Provider eine neue Ip zugewiesen wird.
Jetzt mal zum Taskmanager, im Sinne (Anwendung reagiert nicht), is keine der Firewalls abgestürzt. Alle ließen sich normal beenden doch mit ihnen im Hintergrund ließen sich keine weiteren Programme starten. Es gab auch keinerlei Fehlermeldung.(zb. zu wenig Speicher ect.).

 

[boppy]

Zu win98 habe ich noch das Maximal Connection Problem im angebot. Das hat zwar wenig mit der dfw zu tun, ist aber auch ein problem, welches von EDonkey bekannt sein sollte. vielleicht stellt er mehrere Verbindungen her, bis windows sie nicht mehr verwalten kann (prob ist bekannt!)

 

[DelumaX]

Ich denke das dass Tool auf einer Schwachstelle der genannten Firewalls beruht, die die DoS-Attacken überhaupt erst möglich machen. Und zwar hört es sich für mich so an als wenn dein Kumpel einen Portscan durchführt. Die DFW speert daraufhin die IP von der der Portscan kommt für eine bestimmte zeit. Sprich zu dieser IP ist keinerlei Verbindung mehr möglich.

Wahrscheinlich hat dein Kumpel nun einen Portscanner gecodet, oder aus dem Netz gesaugt, der eine IP-Spoofing Funktion besitzt (wobei er das Spoofing auch anders durchführen könnte). Er scannt also deine Ports mit einer vorgetäuschten IP. Wenn er nun also z.B. die IP von dem DNS-Server deines Providers vortäuscht kappt deine DFW daraufhin für einen bestimmten Zeitraum die Verbindung zu diesem. Und schon klappt das surfen nicht mehr.

Probier mal folgendes gebe die IP deines DNS-Servers etc. definitiv frei und schau dann mal ob sein Prog immer noch funktioniert...!?! cu

P.S. Das sollten alle DFW-User tun

 

[Net7Gothic]

DelumaX

Welches Protokoll??
Folgende Einstellungen habe ich.

UDP: SingleSevice any Domain

Du meinst das ich die DNS Outbound noch folgende Protokolle hinzufügen soll, TCP und ICMP :any Service??

Na ich werds ma probieren! Ich sag Bescheid wenns geholfen hat )

 

[DelumaX]

Nee um Gottes Willen, damit reißt du noch mehr auf.

Du sollst die IP des DNS-Servers defenitiv freigeben. Die IP findest du unter W2k in den Verbindugsdetails, unter W98 gibt es glaube ich ein Tool imWindowsverzeichnis. Heißt glaube ich IPconfg oder so ähnlich. Beim Rosa Riesen wäre es z.B. 217.5.98.67.

Die IP gibst du dann generell frei. Darunter setze eine "Blocke alles" Regel... Weisst du was ich mein?? cu

 

[TheEvilOne]

In welcher Sprache hat er das Tool eigentlich programmiert ?

 

[Net7Gothic]

Soweit ich weiß kann hat er es in Visual Basic gecodet.

Ähm worin liegt der Sinn deiner Frage TheEvilOne
?( ?( ?(

Das soll nicht böse gemeint sein. Bin nur neugierig

 

[derBlubb]

Hi,

Visual was?? - scheint ja eine mächtige
Programmiersprache zu sein lol
Frag doch noch mal genauer nach

bye

 

[Net7Gothic]

Visual was?? - scheint ja eine mächtige
Programmiersprache zu sein lol
Frag doch noch mal genauer nach

Ja Visual Basic... )

 

[Armitage]

@Gothic

Es ist tatsaechlich "sehr" leicht einen Firewall "killen".
Handelt es sich um einen Desktop Firewall wie Atguard
so bracht man tatsaechlich nur eine große Anzahl an connections aufzubauen.
Irrwitzigerweise wird da geblock, wo es auch nichts zu blocken gibt, da normalerweise auf Winsen keine Serverdienste laufen.

Viele Desktop FWs blocken die Ports und melden das dem "Angreifer" auch zurueck (port 23 blocked). Und das kostet einmal perfommance und zum anderen "verraet" man sich ja schon.
Intelligente FW oder Packetfilter (unter Linux kann man z.B. solche Regeln selber mit ipchains erstellen).
Mit der DENY Option einer FW registriert man das Packet und verwirft es (der scanner bekommt hoechstens ein host not found).
Ein anderer Weg ist es, die Logfiles ueberquellen zu lassen (sofern der FW mitloggt) so stellt der FW ebenfalls seinen Dienst "bei Zeiten" ein..

Wenn Du tiefergehende Infos ueber FWs haben willst empfehle ich Dir (unbedingt )

http://www.little-idiot.de

und darauf das Firewall Handbook.

have phun..

:wq!

 

[Mark_2]

zhnujm

Original von seth
......und zum anderen "verraet" man sich ja schon.

Hm, ich bin ich grade durch Zufall reingeraten 8o , aber ich habe zu dem Thema dann noch mal eine Folgefrage:

Ist es nicht eigentlich so, daß der letzte Gateway
entscheidet, ob er die IP kennt oder nicht und dann
auch die Anfrage weiterleitet (wenn bekannt) oder
eben zurückmeldet , daß diese IP (z. Zt.) nicht vorhanden ist ?

In dem Fall wäre eine tables/chains-gedroppte Anfrage
doch ebenso höchstverdächtig , weil ein timeout kommt ? X(

Wer weiß es jetzt genau ? ?(

 

[Tec]

was meinste mit "gateway" - etwa die anwendung/anwendungsebene welche die ankommenden tcp-anfragen bearbeitet?

 

[calamari]

Also einen Firewallkiller der local funktioniert ist einfach zu proggen (siehe senna spy trojan generator)
aber remote ?
uff da bin ich überfragt
haben die firewalls nicht auch einen port offen (Systemport) , da könnte man eine DoS attacke durchführen
Wenn man GoZilla oder so laufen hat dann nützt die Firewall nichts (ihr wißt ja Trojaner)

 

[Tec]

haben die firewalls nicht auch einen port offen (Systemport)

soviel ich weis nicht. must halt mal so ein produkt installieren und dann nachsehen ob was offen ist.

Wenn man GoZilla oder so laufen hat dann nützt die Firewall nichts (ihr wißt ja Trojaner)

die taugen auch so nix. schau mal hier !

 

[Armitage]

@Mark_2

Sicher, Du hast Recht.
Aber was laesst Dich als Angreifer (mal rein hypothetisch) eher veranlassen es woanders zu probieren...ein BLOCKED oder ein timeout...

Und der allgemeine "Level of skills" ist bei den kiddies, die wild irgendwelche Adressbereiche scannen eh im unteren Bereich anzusiedeln...

Wer Plan hat, wird natuerlich erkennen (oder wenigstens vermuten) ob da nicht eventuelle Filterregeln im Spiel sind....


:wq