C
caffeine
Guest
Nabend zusammen,
Ich hab etwas Verständnisprobleme mit der IP-Fragmentierung, vielleicht kann da jemand etwas Licht ins Dunkle bringen.
IP-Fragmentierung : = Wenn ein IP-Datagramm erzeugt wird, dass größer ist als die MTU erlaubt (Maximum Transmission Unit), so wird es auf mehrere physikalische Datenblöcke verteilt.
1.) Tiny-Fragment-Attack:
Ein IP-Datagramm werde fragmentiert in Fragment 1 und Fragment 2.
Fragment 1 beinhaltet die ersten 8 Byte, was genau dem TCP Header entspricht.
Der Rest ist in in Fragment 2, sprich die eigentliche TCP Anfrage.Da aber von IP strikt nur Fragment 1 geprüft wird, kommt aufgrund von Fragment 2 die TCP-Verbindung zu Stande.
Das Filtern des ersten Fragments (Fragment Offset gleich 0) bestimmt also die Regel, die auf die anderen (mit Fragment Offset gleich 1) angewandt wird, ohne jede weitere Art der Kontrolle. Bei der Zusammensetzung auf der IP-Ebene im Zielrechner wird so die Verbindungsanfrage wieder aufgebaut und an die TCP-Ebene geleitet. Die Verbindung kommt dann trotz des IP-Filters zustande.
2.) Overlapping-Fragment-Attack:
Baut auf die gleiche Weise wie beim Tiny-Fragment-Attack die TCP-Verbindung, durch Umgehung des IP-Filters mittels geschickter Fragmentierung, auf aber das Fragment 2 überschreibt das Fragment 1 ab dem 8. Byte an.
Jetzt zu meiner Frage:
Ich verstehe nicht was ein Overlapping-Fragment-Attack bringen soll.Was bringt es mit Fragment 2 Fragment 1 zu überschreiben ? Ich kann die Methodik vom Tiny-Fragment-Attack völlig nachvollziehen, aber die Overlapping eher weniger.
Kann jemand erklären was dieser Unterschied bringen soll oder kann ?
Meine Quelle dazu falls es jemanden interessiert: lf282, SystemAdministration: Angriffe von außen
Vielen Dank und schönen Abend, caffeine
Ich hab etwas Verständnisprobleme mit der IP-Fragmentierung, vielleicht kann da jemand etwas Licht ins Dunkle bringen.
IP-Fragmentierung : = Wenn ein IP-Datagramm erzeugt wird, dass größer ist als die MTU erlaubt (Maximum Transmission Unit), so wird es auf mehrere physikalische Datenblöcke verteilt.
1.) Tiny-Fragment-Attack:
Ein IP-Datagramm werde fragmentiert in Fragment 1 und Fragment 2.
Fragment 1 beinhaltet die ersten 8 Byte, was genau dem TCP Header entspricht.
Der Rest ist in in Fragment 2, sprich die eigentliche TCP Anfrage.Da aber von IP strikt nur Fragment 1 geprüft wird, kommt aufgrund von Fragment 2 die TCP-Verbindung zu Stande.
Das Filtern des ersten Fragments (Fragment Offset gleich 0) bestimmt also die Regel, die auf die anderen (mit Fragment Offset gleich 1) angewandt wird, ohne jede weitere Art der Kontrolle. Bei der Zusammensetzung auf der IP-Ebene im Zielrechner wird so die Verbindungsanfrage wieder aufgebaut und an die TCP-Ebene geleitet. Die Verbindung kommt dann trotz des IP-Filters zustande.
2.) Overlapping-Fragment-Attack:
Baut auf die gleiche Weise wie beim Tiny-Fragment-Attack die TCP-Verbindung, durch Umgehung des IP-Filters mittels geschickter Fragmentierung, auf aber das Fragment 2 überschreibt das Fragment 1 ab dem 8. Byte an.
Jetzt zu meiner Frage:
Ich verstehe nicht was ein Overlapping-Fragment-Attack bringen soll.Was bringt es mit Fragment 2 Fragment 1 zu überschreiben ? Ich kann die Methodik vom Tiny-Fragment-Attack völlig nachvollziehen, aber die Overlapping eher weniger.
Kann jemand erklären was dieser Unterschied bringen soll oder kann ?
Meine Quelle dazu falls es jemanden interessiert: lf282, SystemAdministration: Angriffe von außen
Vielen Dank und schönen Abend, caffeine