FTP- und Sharscan !?

[nebula]

hi all !

War am Wochenende auf einer LAN und hab dort das Netzwerk ein bisschen durchgestöbert.
Soweit so gut !
Ich hatte nichts böses im Sinn als ich ein Programm names "Share Scan" ausprobierte -> sucht nach Windows-Freigaben !
Nach ca. 1 Stunde als ich die Windowsfreigaben durch hatte kam mir die Idee nach FTP-Servern zu suchen.
Die Switches dort wurden gerade neu gestartet wegen kompletter Überlastung des Netzwerkes.

Anmerkung: An der Netzwerkauslastung war ich bis zu diesem Zeitpunkt nicht
schuld *gg* , sondern angeblich der "ms32.blast" !
Außerdem hat das Netzwerk schon gesponnen bevor ich Share Scan verwendete und außerdem war ich mit Share Scan nicht der einzige.

Gut, Switches wieder online... Netzwerk funzt wieder (die haben übrigens einen Techniker rufen müssen dafür) !
Starte ein Programm das nach FTP Servern sucht (Range: 192.168.0.0 - 255.255.255.255) !
Keine 5 Minuten später eine Meldung durch die Lautsprecher :
"Wer ist der Benutzer mit dem Namen sowieso ! Er verursacht allein schon den halben Broadcast ! "

Hab mich natürlich gleich gemeldet und versprochen das Programm abzustellen !

Meine Frage:
Wie funktioniert so ein Programm eigentlich ?
Das sendet wahrscheinlich doch nur einen Ping an die Adresse und wartet auf Antwort !?
Kann so ein Programm wirklich das ganze Netzwerk fertig machen ?

Infos zu den Switches : http://www.singulanity.net -> unter Equipment


Wünsch allen HABO'lern noch einen guten Rutsch !!

mfg N3BuL@

 

[Airboy]

Bei so vielen IPs sind das nicht eben wenige Pings... Bei einfachen DoS-Attacken pflastert man das Ziel auch nur mit lauter grossen Pings zu.

 

[LordCyrix]

also wenn ich mich recht erinnere, kann man ein Ping-Paket wohl bis zu 4096 Byte groß werden lassen. Das wären dann also 4 KB. Man berichtige mich bitte wenn das nicht stimmt.

Share Scan sagt mir zwar nichts, wohl aber xSharez. Das Dumme daran ist nur, das heutzutage kaum noch jemand nen Win9x Rechner betreibt. Somit sind die Freigaben und Windows nicht mehr allzu häufig gesäht.

 

[derhesse]

Allein durch die Millionen von ARP Anfragen, die durch so eine Suche über diese Range gestartet werden, kann man die Switches total zum zusammenbrechen bringen. Die Verbindungsversuche zu ungültigen IP-Adressen tuen das übrige. Solche Programme sind auf unseren LANs grundsätzlich verboten, wer so etwas startet wird sofort vom Netz getrennt. Das macht den anderen, die zocken wollen nicht grade Spaß.

Der Hesse

 

[Dr. Mario]

leecher!

stell dir mal vor du spiels cs und wirst die ganze zeit angepingt .....
haben schon recht ...
auf lans soll gespielt werden!!!

 

[DelumaX]

Das sendet wahrscheinlich doch nur einen Ping an die Adresse und wartet auf Antwort !?

Der ICMP-Request würde lediglich aussagen das der Rechner vorhanden ist. Um einen FTP-Server festzustellen wird eine Verbindung zum Port 21 aufgebaut (unterschiedlichste Methoden). Die meisten Scanner pingen vorher die IP an um nicht umsonst eine ganze Portrange abzuscannen, was ich jeoch bei einem Programm das einen einzelnen Port scannt für Unsinn halte.

Kann so ein Programm wirklich das ganze Netzwerk fertig machen ?

Im Normalfall nicht!! Du hast jedoch einen entscheidenen Fehler gemacht. Du hast nämlich die Netzwerk- bzw. Broadcastadresse angegeben was anscheinend zu einem Broadcaststurm geführt hat. Der Scanner scheint nicht sauber programmiert da er eine derartige Range im Normalfall ablehenen sollte bzw. zumindest nachfragen müsste (den sie wussten nicht was sie tun).

lso wenn ich mich recht erinnere, kann man ein Ping-Paket wohl bis zu 4096 Byte groß werden lassen. Das wären dann also 4 KB. Man berichtige mich bitte wenn das nicht stimmt.

Wenn wir von Paketen ohne Fragmentierung und Header (IP ohne Optionsfeld+ICMP=28 Byte) ausgehen:

Internet generell: 1472 Byte
Mit PPPoE Header (DSL): 1464 Byte

Generell würden sich Pakete mit 65507 Bytes verschicken lassen. Jedoch wird das ganze durch die maximale grösse von 1500 Bytes eines Ethernet Frame Datenfeldes begrenzt.

Desweiteren gibt es OS-Grenzen bei der Erzeugung mit normalen Pingversionen:

Linux/Unix: 65468 Byte + Header (ist in neueren Ping Versionen imho auf 65467 Byte reduziert worden)
W2k: 65500 Byte inkl. Header (ältere Versionen haben durch nicht Überprüfung der Paketgrösse einen Ping of Death mit Boardmitteln ermöglicht ;o) ).

Allein durch die Millionen von ARP Anfragen, die durch so eine Suche über diese Range gestartet werden, kann man die Switches total zum zusammenbrechen bringen.

Normalerweise sollte das ganze nicht im ARP-Flooding enden, aber wer weiss was dieser Scanner da veranstaltet hat...

stell dir mal vor du spiels cs und wirst die ganze zeit angepingt ...

Wenn dich jemand "normal" anpingt wirst du davon nichts merken...