Когда ipfilter получает пакет с ACK битом, без предварительно установленного SYN, программа отметит такой пакет как TCPS_ESTABLISHED в таблице состояний, и когда RESET пакет будет послан обратно системным приложением, программа изменит TTL в таблице состояний к 1 минуте. 

Но если атакующий пошлет пакет с ACK битом и плохой контрольной суммой, ipfilter добавит “ESTABLISHED” сессию в таблицу состояний с таймаутом равным 120 часов, вместо 1 минуты. 

Используя эту методику, атакующий может легко уничтожить сетевое подключение любой системы с установленным ipfilter, за несколько минут! Пример: 

[yiming@security.zz.ha.cn]#hping -s ip.of.spoofedandtrusted.box -A 
ip.of.target.box -p 22 -c 1 -b 
you will immediately see a a long wait ttl of 120 hours, like this 
security.zz.ha.cn,1235 server,22 4/0 tcp 1 40 
119:59:48 

Уязвимость обнаружена в IP Filter 3.4.29-3.4.30.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии