[Rika]

Wie Dejan Levaja auf Securityfocus vermeldet ist sowohl Windows XP SP2 als auch Windows Server 2003 anfällig für einen sehr alten und eigentlich schon längst beseitigten Fehler im TCP/IP-Stack, der einen Absturz des Rechners ermöglicht. Dieser Klassiker namens LAND basiert auf einer Race Condition bei der Verarbeitung eines TCP-SYN-Packetes mit gleiche(r/m) Absender- und Empfängeradresse sowie -Port.

Um's kurz zusammenzufassen:
- Wer keine Dienste anbietet ist nicht davon betroffen.
- Kaum eine Personal Firewall kann den Angriff erkennen, schützen kann davor gar keine.
- Richtige Firewalls schützen davor.
- Router sollten davor schützen
- Das Problem hat nicht allzugroße Tragweite, da die meisten ISPs Ingress-Filterung betreiben. Gefährlich werden damit eigentlich nur noch Rechner im gleichen Netz, also meist in lokaler Umgebung bei schlechter Routerkonfiguration.
- In einem nichtvertrauenswürdigen LAN könnte man durchaus ein Problem damit haben.
- Ebenfalls Abhilfe schafft, obwohl etwas komplizierter, scheinbar auch eine Härtung des TCP/IP-Stacks.

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]
"DisableIPSourceRouting"=dword:00000002
"IPEnableRouter"=dword:00000000
"SynAttackProtect"=dword:00000002
"EnableSecurityFilters"=dword:00000001

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPFilterDriver\Parameters]
"EnableFragmentChecking"=dword:00000001

Dieser Beitrag wurde von Rika bearbeitet: 07. März 2005 - 20:38

[Graumagier]

Zitat

- Router sollten davor schützen

Sollten? Welche Voraussetzungen müssen dafür vorhanden sein?

Aber irgendwie komisch, so simpel und so effektiv. Sicher lustig auf LANs

Achja und wegen den LAND-Paketen, bei der Beschreibung steht

Zitat

Sending TCP packet with SYN flag set, source and destination IP address and source
and destination port as of destination machine, results in 15-30 seconds DoS condition.

Source- und Destination-IP --> klar
Source- und Destination-Port --> Was für ein Port? Welcher Dienst muss auf dem Port lauschen? Oder ist das egal, da es ein Problem des Stacks ist?

Dieser Beitrag wurde von Graumagier bearbeitet: 07. März 2005 - 20:35

[Rika]

Zitat

Sollten? Welche Voraussetzungen müssen dafür vorhanden sein?

Nichtvollständige Verblödung der Programmierer der Firmware.

Zitat

Aber irgendwie komisch, so simpel und so effektiv.

Naja, dank lsasser.c und dcomtest.c nix neues. Mir scheint auch daß die die Zeiten von Ping of Death, Teardrop, WinNuke und Smurf nicht so recht miterlebt hast.

Zitat

Was für ein Port? Welcher Dienst muss auf dem Port lauschen? Oder ist das egal, da es ein Problem des Stacks ist?

Es muss irgendein Dienst auf diesem Port lauschen.

[Graumagier]

Zitat

Mir scheint auch daß die die Zeiten von Ping of Death, Teardrop, WinNuke und Smurf nicht so recht miterlebt hast.

Ich habe ja nicht behauptet, dass es nicht andere, ebenso einfache Möglichkeiten gibt. Mich überrascht es nur immer wieder

[Major König]

Gut, ich verstehe nicht viel davon aber welcher Dienst könnte das sein? Denn sonst ist die Aussage ein wenig Oberflächlich denn alle Dienste kann man ja schlecht abschalten. Ist das Script von Dir Rika? Gibt es etwas was man beachten muss wenn man das Script ausführt? Was ist, wenn das Script Nachteile bringt, wie kann man das wieder Rückgängig machen?

Dieser Beitrag wurde von Major König bearbeitet: 07. März 2005 - 20:50

[Graumagier]

Zitat

Gut, ich verstehe nicht viel davon aber wlecher Dienst könnte das sein?

Egal. Der Fehler liegt im TCP/IP-Stack von Windows.

Zitat

Gibt es etwas was man beachten muss wenn man das Script ausführt?

Die Registry-Einträge? Ich denke nicht.

Zitat

Was ist, wenn das Script Nachteile bringt, wie kann man das wieder Rückgängig machen?

Die alten Werte aufschreiben und bei Bedarf wieder eintragen.

[Major König]

Höö?

Habe es noch nicht ausgeführt aber diese beiden Einträge gibt es bei mir garnicht.

"DisableIPSourceRouting"=dword:00000002
"SynAttackProtect"=dword:00000002

Dann würde es wohl helfen, dass ich bei Problemen diese Einträge wieder komplett lösche Richtig?

[Graumagier]

Zitat

Dann würde es wohl helfen, dass ich bei Problemen diese Einträge wieder komplett lösche Richtig?

Ja.

[Major König]

Danke

[Major König]

@ Rika

Vielleicht solltest Du in deinem Script noch

Windows Registry Editor Version 5.00

hinzufügen damit das auch funktioniert. Konnte es erst nicht ausführen weil:

Die angegebene Datei (tcp.reg) ist keine Registrierungsdatei: "Registrierungsdateien können nur innerhalb des Registrierungs-Editors importiert werden".

[theoutsider]

@ Major König

Das was Rika gepastet hat ist doch gar kein Skript?!

[Major König]

Mit "Windows Registry Editor Version 5.00" ist es schon einer es sei denn man macht sich die Mühe und tippt alles selber ein und erstellt die DWORDS. Das geht doch dann viel einfacher wenn man es als Script ausführt.

[smartie2004]

hmm, Dejan Levaja empfiehlt selber die Windows Firewall auf Workstations zu benutzen, und was fällt sofort auf ? Genau, das ist ein Nullchecker, weiss
er doch nicht wie einige hier im Forum, dass das a. ja gar keine Firewall ist und b. selbst wenns eine wäre, würd sie ja nix nützen.

[Graumagier]

Zitat

Genau, das ist ein Nullchecker, weiss
er doch nicht wie einige hier im Forum, dass das a. ja gar keine Firewall ist und b. selbst wenns eine wäre, würd sie ja nix nützen.

Dejan Levaja ist mit Sicherheit kein "Nullchecker". Der "Windows-Interne Paketfilter", um es mal so auszudrücken, ist eine der bekannten Möglichkeiten zur Symptombekämpfung, ebenso wie das von Rika vorgeschlagene Hardening des TCP/IP-Stacks, auch wenn dieses etwas weiter geht. An den Ursachen kann nur Microsoft was ändern.