Когда ipfilter получает пакет с ACK битом, без предварительно установленного SYN, программа отметит такой пакет как TCPS_ESTABLISHED в таблице состояний, и когда RESET пакет будет послан обратно системным приложением, программа изменит TTL в таблице состояний к 1 минуте.
Но если атакующий пошлет пакет с ACK битом и плохой контрольной суммой, ipfilter добавит “ESTABLISHED” сессию в таблицу состояний с таймаутом равным 120 часов, вместо 1 минуты.
Используя эту методику, атакующий может легко уничтожить сетевое подключение любой системы с установленным ipfilter, за несколько минут! Пример:
[yiming@security.zz.ha.cn]#hping -s ip.of.spoofedandtrusted.box -A
ip.of.target.box -p 22 -c 1 -b
you will immediately see a a long wait ttl of 120 hours, like this
security.zz.ha.cn,1235 server,22 4/0 tcp 1 40
119:59:48
Уязвимость обнаружена в IP Filter 3.4.29-3.4.30.
