banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Hỏi về ICMP attack - Blind connection-reset attack  XML
  [Question]   Hỏi về ICMP attack - Blind connection-reset attack 13/01/2010 11:22:04 (+0700) | #1 | 203087
darkwizard136
Member

[Minus]    0    [Plus]
Joined: 04/01/2007 04:45:54
Messages: 2
Offline
[Profile] [PM]
Chào các bạn,

Mình đang thực hành về ICMP attacks được mô tả tại đây
Code:
http://tools.ietf.org/html/draft-ietf-tcpm-icmp-attacks-07

Trong đó tác giả có mô tả về Blind connection-reset attack bằng cách gửi các gói tin ICMP thông báo hard error (type 3 code 2, 3, 4) đến 1 trong 2 đầu của 1 kết nối TCP. Khi TCP nhận được 1 ICMP kiểu này thì sẽ reset kết nối TCP. Tác giả có cung cấp tools để thực hiện attack và ví dụ tại
Code:
http://www.gont.com.ar/tools/icmp-attacks/

Mình làm theo thì các gói ICMP được gửi đến client nhưng kết nối TCP không bị reset như được nói trong RFC1122.

Mình không biết tại sao, mong mọi người giúp đỡ.

[Up] [Print Copy]
  [Question]   Hỏi về ICMP attack - Blind connection-reset attack 14/01/2010 06:41:22 (+0700) | #2 | 203146
Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
darkwizard136,

Bạn dựa vào đâu để biết connection có bị reset hay không? Bạn có network dump khi đang chạy thử cái tool kia không?

khoai
[Up] [Print Copy]
  [Question]   Hỏi về ICMP attack - Blind connection-reset attack 15/01/2010 11:58:30 (+0700) | #3 | 203255
darkwizard136
Member

[Minus]    0    [Plus]
Joined: 04/01/2007 04:45:54
Messages: 2
Offline
[Profile] [PM]
Mình có dùng tcmpdump và wireshark để theo dõi connection. Khi connection bị reset thì sẽ có một gói tin tương tự như sau:
Code:
22:21:03.380717 10.0.0.1.3270 > 192.168.0.1.80: R [tcp sum ok] 4174694923:4174694923(0) win 0 (ttl 118, id 23180)


Mình nghĩ có thể sequence number của ICMP không phù hợp nhưng mình chưa tìm ra sequence number như thế nào để phù hợp.
[Up] [Print Copy]
  [Question]   Hỏi về ICMP attack - Blind connection-reset attack 25/01/2010 10:26:11 (+0700) | #4 | 203844
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]

darkwizard136 wrote:
Mình có dùng tcmpdump và wireshark để theo dõi connection. Khi connection bị reset thì sẽ có một gói tin tương tự như sau:
Code:
22:21:03.380717 10.0.0.1.3270 > 192.168.0.1.80: R [tcp sum ok] 4174694923:4174694923(0) win 0 (ttl 118, id 23180)


Mình nghĩ có thể sequence number của ICMP không phù hợp nhưng mình chưa tìm ra sequence number như thế nào để phù hợp.  


Hi, hôm nay mới thấy topic này, cũng khá thú vị.

seq trong unreach ICMP phải nằm giữa snd_una và snd_nxt trong tcp socket của bên bị tấn công, vì một lí do hiển nhiên rằng đây là một unreach ICMP.

Thân mến.
Mind your thought.
[Up] [Print Copy]
  [Question]   Hỏi về ICMP attack - Blind connection-reset attack 25/01/2010 14:06:55 (+0700) | #5 | 203854
[Avatar]
rickb
Reseacher

Joined: 27/01/2007 17:47:27
Messages: 200
Offline
[Profile] [PM] [Yahoo!]

StarGhost wrote:

darkwizard136 wrote:
Mình có dùng tcmpdump và wireshark để theo dõi connection. Khi connection bị reset thì sẽ có một gói tin tương tự như sau:
Code:
22:21:03.380717 10.0.0.1.3270 > 192.168.0.1.80: R [tcp sum ok] 4174694923:4174694923(0) win 0 (ttl 118, id 23180)


Mình nghĩ có thể sequence number của ICMP không phù hợp nhưng mình chưa tìm ra sequence number như thế nào để phù hợp.  


Hi, hôm nay mới thấy topic này, cũng khá thú vị.

seq trong unreach ICMP phải nằm giữa snd_una và snd_nxt trong tcp socket của bên bị tấn công, vì một lí do hiển nhiên rằng đây là một unreach ICMP.

Thân mến. 


Hi StarGhost,

Bạn có thể explain kỹ hơn về khái niệm "unreach ICMP" mà bạn đề cập ko ?

Thân,
[Up] [Print Copy]
  [Question]   Hỏi về ICMP attack - Blind connection-reset attack 26/01/2010 00:07:51 (+0700) | #6 | 203880
Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
rickb,

Thì cái ICMP error type 3 là destination unreachable type. Còn network, host, hay port unreachable thì còn tùy cái code.

Mấy cái ICMP error thường thì sẽ include thêm IP header và 8 bytes của UDP hoặc TCP header nữa. Cụ thể với TCP thì nó sẽ có IP header + Src Port + Dst Port và sequence number. Ý StarGhost nói cái sequence number này phải là một trong các sequence number của một TCP socket mà darkwizard phải tấn công.

Khoai có coi qua cái source code để tấn công thì thấy là TCP sequence number được randomized, hoặc là được nhập từ argument. Như vậy rất có bắt chính xác được sequence number nào thích hợp. Nếu là blind attack thì chỉ có cách bruteforce với hy vọng là may mắn thì trúng được một connection nào đó. Còn nếu darkwizard muốn thử trong LAN thì tốt nhất là viết một sniffer rồi sử dụng IP + 8bytes TCP header tóm được trong network thì sẽ chính xác hơn.

khoai
[Up] [Print Copy]
  [Question]   Hỏi về ICMP attack - Blind connection-reset attack 26/01/2010 09:02:08 (+0700) | #7 | 203894
[Avatar]
rickb
Reseacher

Joined: 27/01/2007 17:47:27
Messages: 200
Offline
[Profile] [PM] [Yahoo!]

Mr.Khoai wrote:
rickb,

Thì cái ICMP error type 3 là destination unreachable type. Còn network, host, hay port unreachable thì còn tùy cái code.

Mấy cái ICMP error thường thì sẽ include thêm IP header và 8 bytes của UDP hoặc TCP header nữa. Cụ thể với TCP thì nó sẽ có IP header + Src Port + Dst Port và sequence number. Ý StarGhost nói cái sequence number này phải là một trong các sequence number của một TCP socket mà darkwizard phải tấn công.

Khoai có coi qua cái source code để tấn công thì thấy là TCP sequence number được randomized, hoặc là được nhập từ argument. Như vậy rất có bắt chính xác được sequence number nào thích hợp. Nếu là blind attack thì chỉ có cách bruteforce với hy vọng là may mắn thì trúng được một connection nào đó. Còn nếu darkwizard muốn thử trong LAN thì tốt nhất là viết một sniffer rồi sử dụng IP + 8bytes TCP header tóm được trong network thì sẽ chính xác hơn.

khoai 


À, ra vậy, tưởng có khái niệm mới mình chưa biết smilie thanx lão Khoai

Thân,
[Up] [Print Copy]
  [Question]   Hỏi về ICMP attack - Blind connection-reset attack 27/01/2010 23:28:30 (+0700) | #8 | 204026
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]
Mấy hôm nay bận quá, bây giờ mới mày mò tiếp được.

@Mr.Khoai: nice explanation.

@all: thực ra cái điều kiện mình nói ở trên là dành cho Linux (2.6.25.x onward), còn các dòng Windows hay Unix thì mình không chắc. Trên thực tế, để thực hiện được cuộc tấn công vào một Linux box là điều rất khó, vì network application nạn nhân chạy trên Linux đó còn phải set IP_RECVERR option cho INET socket mà nó sử dụng. Mà điều này tùy thuộc vào từng application, chứ không phải tùy thuộc vào Linux kernel nữa, bởi vì kernel bản thân nó không bao giờ tự nhiên đụng đến option này. VD: Linux openSSH không set option này (và hiển nhiên không bị tấn công).
Mind your thought.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|