Hoofdcategorieën

[RSS] Index » Nieuws » Pro » Internet » Fout in TCP-protocol kan leiden tot DoS-aanvallen

Fout in TCP-protocol kan leiden tot DoS-aanvallen

Door Wouter Tinus, woensdag 21 april 2004 19:25
Bron: NISCC, submitter: adslgebruikers, views: 18.061

Een zwak punt in het ontwerp van het TCP-protocol kan leiden tot een nieuwe soort DoS-aanvallen, aldus het Engelse National Infrastructure Security Co-ordination Centre (NISCC). Door een TCP-pakket van een valse afzender en een reset-commando te voorzien kunnen willekeurige gebruikers een verbinding tussen twee punten afbreken. Om dit tegen te gaan worden de pakketten in een TCP-datastroom genummerd met 32-bits getallen, zodat een operating systeem in principe makkelijk zou moeten kunnen zien wanneer een pakket buiten de echte stroom valt, en dus genegeerd moet worden. Voorheen werd daarom aangenomen dat deze onvolkomenheid in de praktijk niet tot problemen zou kunnen leiden.

TCP/IP Op CanSecWest 2004 presenteert Paul Watson echter zijn onderzoek "Slipping in the Window: TCP Reset Attacks", waarin hij het tegendeel bewijst. Omdat veel TCP-implementaties in verband met performance ontworpen zijn om een grote range van volgnummers te accepteren is de kans dat een kwaadwillend stuk software een geldig volgnummer raadt, en zijn pakketten dus door de ontvanger geaccepteerd worden, een stuk groter dan eerder werd aangenomen. In principe is iedere applicatie die afhankelijk is van openstaande TCP-verbinding kwetsbaar om op deze manier aangevallen te worden, hoewel het per toepassing verschilt hoeveel schade dat kan aanrichten.

Het NISCC vreest vooral voor aanvallen op routers die gebruikmaken van het Border Gateway Protocol (BGP). Routers gebruiken onderling langdurig openstaande TCP-verbindingen om elkaar via dit protocol op de hoogte te houden van de opbouw en status van het netwerk om zich heen. Als de BGP-sessies worden platgelegd met de beschreven reset-aanval kan de router vreemd gedrag gaan vertonen en mogelijk zelfs tijdelijk offline gaan. Verschillende bekende bedrijven (waaronder Cisco en Juniper) hebben al updates beschikbaar gesteld om hun producten hiertegen te beveiligen. Anderen zijn nog bezig met onderzoeken in hoeverre ze kwetsbaar zijn, en sommige fabrikanten hebben zelfs al trots laten weten dat ze er geen last van hebben.

Volgende 20:10
Vorige 18:33

Categorieën

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 39 reacties zichtbaar390 Neutraal: 39 reacties zichtbaar39+1 Meerwaarde: 19 reacties zichtbaar19+2 Verplicht leesvoer: 11 reacties zichtbaar11
«  1  2  »

Door himlims_, woensdag 21 april 2004 19:28

Score: 0
dit las ik vanochtend al op de site van de telegraaf;
best 'groot' nieuws, vind 't slecht dat t.net hier zo laat mee is. Kan aan mij liggen; maar ik vind dit niet echt bevorderend om een t.net abbo aan te schaffen.
kom maar op met die flaimbait

AMSTERDAM - Er is een serieus lek in het communicatieprotocol ontdekt dat in een meerderheid van de computernetwerken wordt toegepast. Dat zeggen online veiligheidsexperts. De onvolkomenheid is aangetroffen in het zogeheten Transmission Control Protocol (TCP). Computerkrakers zouden het lek in bepaalde omstandigheden kunnen misbruiken om een denial of service (DOS) aanval uit te voeren, waarbij servers of websites door een grote datastroom lam gelegd kunnen worden. Waarschijnlijk heeft het lek weinig gevolgen voor de gemiddelde computergebruiker. Dit schrijft de website PC World.
stond dus hier
snap wel dat t.net niet alles 123 online kan gooien, maar kom op zeg, de telegraaf :X :+

//edit
okay beetje off-topic gelult nu, maar 't schiet me net te binnen dat ik tijdens m'n school opleiding. Niet direct 'hier' van 't probleem wist, maar onze leeraar vertelde hier al over. dat tcp vrij brak en gammel in elkaar zit, wanneer je dit vergelijkt met andere oplossingen.
hoe en wat is 'internet2' eigenlijk? beter?

Door 12013, woensdag 21 april 2004 19:32

Score: 0
Waarom heb je het zelf dan niet gesubmit??

Door MarcelG, woensdag 21 april 2004 19:34

Score: 1
omdat 't al in de telegraaf stond...dan is 't dus geen nieuws meer :P

Door naftebakje, woensdag 21 april 2004 19:33

Score: 0
De post is weg maar daarnet klaagde iemand dat dit bericht maar laat op T.net stond.

Edit: hij is al weer terug.
Scarecrow: mss wachten de posters op bevestiging, en dan nog. T.net is meestal enorm snel met nieuws, dat kan niet altijd zo zijn.
Wat een eenmalig niet snel genoeg bericht volgens jou te maken heeft met een T.net abbo begrijp ik niet.

Door MarcelG, woensdag 21 april 2004 19:36

Score: 0
Nou, T.net is de laatste tijd steeds trager met nieuws. Okay, daar kunnen de members zélf wat aan doen, maar 't neemt niet weg dat 't zo is.
Linspire nieuws stond al lang op nu.nl en Fok!, en UREN later pas op T.net.
En zo zijn er meer voorbeelden te noemen.
Is dus gewoon 'n feit.

Door Tweeke, woensdag 21 april 2004 19:36

Score: 1
Een Quote uit de Tweakers.net nieuws-FAQ:
Tweakers.net kan onmogelijk alle nieuwsberichten als eerste brengen. Algemeen nieuws zul je vaak eerder aantreffen op sites zoals WebWereld en Planet Multimedia, maar omgekeerd zul je de onderwerpen waarin Tweakers.net is gespecialiseerd, zoals hardware productnieuws, op geen enkele andere Nederlandse site tegenkomen, of veel trager en zonder de diepgang die Tweakers.net wél heeft. Bovendien bieden andere Nederlandse nieuwssites geen of minder goede discussiemogelijkheden. Daarom vinden wij het vaak toch nuttig om een artikel te publiceren dat al een dagje oud is.
Had je dat al gelezen :?

Door liberque, vrijdag 23 april 2004 13:39

Score: 1
om maar ff offtopic te blijven:

Ja, dat heb ik gelezen. Echter als je een nieuwtje hoort en je submit dit dan wordt er niks mee gedaan. Pas een aantal dagen later als Webwereld het bv. op zijn site zet dan gooit Tweakers.Net het pas op zijn FP.

Dit is me al een paar keer opgevallen.. het lijkt alsof Tweakers.Net gewoon de eerste niet WILT zijn. Bang verkeerde berichten te posten?

Door boesOne, woensdag 21 april 2004 19:38

Score: 0
Wil je nu dat Tnet algemeen nieuws supersnel gaat serveren of vooral specialistisch nieuws?

Voor algemeen nieuws ga je maar naar de telegraaf :)

Door frank koster, donderdag 22 april 2004 11:05

Score: 0
met ethercap kan dit al 3 jaar oid!

Door El Snorro, woensdag 21 april 2004 19:38

Score: 0
hm, het is toch DDOS (Distributed Denial Of Service)??
Of is dit de nieuwe afkorting... :?

Door genosis, woensdag 21 april 2004 19:39

Score: 1
nee distributed houd in van meerdere aanvallers..

Door Tyrian, woensdag 21 april 2004 19:41

Score: 0
DoS = Denial of Service attack, niet gedistribueerd dus. (point-to-point attack)

Door Structural, woensdag 21 april 2004 19:50

Score: 2
In principe kan dit gebruikt worden in een DDOS attack ja.
Één methode om een DDOS uit te voeren is om een hele berg SYN pakketjes te sturen. SYN vraagt de ontvanger om een nieuwe TCP verbinding op te stellen. Op het moment dat de SYN ontvangen wordt worden er resources geallocceerd voor die verbinding.
Als er dan niks meer gedaan wordt met die nieuwe verbinding worden die resources niet meer vrijegegeven voor een tijd x, waar x de timeout van een TCP verbinding is. Kun je nagaan dat je een server plat kunt leggen als je deze de hele tijd nieuwe verbindingen laat maken.

Deze methode is juist het tegenovergestelde. Je breekt bestaande verbindingen af. Je stuurt een RST en de verbinding wordt greset/verbroken. Behoorlijk vervelend voor applicaties die over een lange tijd één zelfde TCP verbinding gebruiken (bijv: FTP or telnet)

Op zich vind ik dit weer een storm in een glas water. Ergens moet je op een laagste niveau defineren hoe een sessie (lees: verbinding) er uit ziet. Je kunt wel weer alles gaan encrypten zoals recentelijk de trend lijkt te zijn, maar bij grote en snelle data transfers loop je dan HEEL snel tegen performance problemen aan. Dus de encryptie mag ook weer niet te sterk zijn. Daarbij stelt zelfs de huidige encryptie vaak niet veel voor. Ik heb gehoord dat de WLAN encryptie (128 bits) met een dagje rekenen en een gigabyte aan data te kraken is.

Door Olaf van der Spek, woensdag 21 april 2004 20:53

Score: 0
Dus de encryptie mag ook weer niet te sterk zijn. Daarbij stelt zelfs de huidige encryptie vaak niet veel voor. Ik heb gehoord dat de WLAN encryptie (128 bits) met een dagje rekenen en een gigabyte aan data te kraken is.
Dan moet je eens kijken naar 448-bit Blowfish, Twofish of AES. Dan ben je wel wat langer zoet en dit soort algoritmes kan erg snel zijn in hardware.

Door Ariën Clay, woensdag 21 april 2004 19:39

Score: 0
Zeg maar dag tegen het internet nu je er nog bent :D

Door Goldwing1973, woensdag 21 april 2004 19:47

Score: 0
kan de router vreemd gedrag gaan vertonen en mogelijk zelfs tijdelijk offline gaan

M.A.W.

Als je genoeg van die routers tegelijk plat krijgt... Internet offline..

brrrr... eng idee

En dan vraag ik me nog af, het internet zoals we dat nu kennen is in fases steeds groter geworden.
Stel DAT het iemand lukt om 90% plat te krijgen, de apparatuur is er echt niet op berekend / ontworpen om tegelijk weer aan te gaan....

Door ReFleXWolf, donderdag 22 april 2004 00:29

Score: 1
[sarcasm]Ja, zeker een eng idee....[/sarscasm]

Maar het geldt niet voor het internet die we vandaag de dag hebben.... Weet je hoeveel miljarden routers er zijn? Internet plat is dus wel heel overdreven...

Door vinny_142, donderdag 22 april 2004 08:20

Score: 2
" Weet je hoeveel miljarden routers er zijn? "

Nou, geen miljarden in ieder geval. We zijn maar met 5 milljard mensen op de wereld.
Ik denk eerder enkele honderdduizenden, waarvan enkele tienduizenden voor echte zware backbones worden gebruikt.

Door Robby, woensdag 21 april 2004 19:50

Score: 0
Je kan de kans dat je systemen zo worden ge-dos'ed makkelijk verkleinen : zorg gewoon dat je op je BGP sessie authenticatie via MD5 enabled.

Zelfs protocollen die een al relatief veilig zijn doordat ze meestal korte connecties opzetten zoals HTTP kunnen worden beveiligd door de servers simpelweg via HTTPS te draaien.

Door LinuxMan, woensdag 21 april 2004 21:06

Score: 2
Zelfs protocollen die een al relatief veilig zijn doordat ze meestal korte connecties opzetten zoals HTTP kunnen worden beveiligd door de servers simpelweg via HTTPS te draaien.
jezus wat een onzin, http en https gaan beiden over tcp, dus er is nul komma nul verschil...

het enige dat verschil maakt is de voorspelbaarheid van je tcp sequence number en je accepted window size. Dus http op openBSD is vele malen beter dan https op NT om es een extreme te noemen.

Door Beelzebubu, donderdag 22 april 2004 01:19

Score: 2
Je hebt de advisory niet goed gelezen. :). IPSEC is veilig vanwege encryptie. Het verschil tussen HTTPS encryptie en IPSEC encryptie is de layer waarin de encryptie plaats vindt. In IPSEC vind die voor de transport layer plaats (namelijk in de network layer), in HTTPS na de transport layer plaats (namelijk in de applicatie layer). IPSEC is dus al geencrypteerd op het moment van exploit, en dus is het onmogelijk om op dit niveau van de verbinding paketten toe te voegen voor de DoS-style attack. Bij HTTPS is deze layer nog ongeencrypteerd en kun je dus paketten toevoegen en daarmee de connectie resetten, ongeacht of er na dat niveau nog encryptie plaats vindt.

Door Confusion, woensdag 21 april 2004 19:50

Score: 2
Voor dat iedereen moord en brand gaat schreeuwen: het valt mee en wordt door veel bronnen door mensen met onvoldoende verstand van zaken overdreven. Zie de /. draad van gisteren: http://slashdot.org/article.pl?sid=04/04/20/1738217&mode=thread&tid=12 6&tid=128&tid=172&tid=95 en lees vooral de commentaren: er zijn er een aantal die grondig inzicht bieden in het werkelijke probleem.
edit:
Ach, niveautje te hoog gereageerd: dit was als reactie op Scarecrow (die overigens terecht op 0 gemod is (dus misschien niet zichtbaar voor je) bedoeld.
N.B. Ik bedoel dus niet dit artikel, maar bronnen als de Telegraaf.

Door Kwaak, woensdag 21 april 2004 19:51

Score: 0
Laat je BGP router alleen sessies acepteren van zijn peers... en dan valt het probleem best wel mee... of mis ik nu ergens iets??

Door Erkens, woensdag 21 april 2004 20:00

Score: 2
je mist idd iets, immers het gaat hier om het feit dat een willekeurig iemand een verbinding kan verbreken, zoals bijvoorbeeld deze BGP verbindingen.
Om dit te doen moet je zoals het artikel vermelde je afzender faken, dus doen alsof je een router bent die al met hem verbonden is, en je stuurt het verbinding reset commando mee.
Maar om dit te "beveiligen" had men volgnummertjes bedacht, als je dus een geldig nummertje verzint wat zich in de (relatief grote) range zit die geaccepteerd wordt, denk de router dat het van de bekende partij komt, en weg is je verbinding.
Oplossing is dus om die range dusdanig klein te houden, alleen dan krijg je wellicht weer performance problemen.

Door n4m3l355, woensdag 21 april 2004 19:53

Score: 1
hier moet je niet alleen rekening houden met routers maar in het algemeen programma's die afhankelijk zijn avn openstaande tcp connecties, makkelijk te raden ip addressen en poorten. dit wat naar mijn idee eigenlijk al veel langer een bekend probleem is echter hoe het ge-exploit kan worden is dus nog niet zolang bekend om dit daadwerkelijk uit te kunnen voeren.
ik denk dat dit buiten wijzingen in critische hardware dat het ook meer en meer tijd wordt om ipv6 in te voeren. zo doende wordt het toch zowieso moeilijker om ip addressen makkelijk te raden. maar wat altijd lastig zal blijven is hoe je tegen kan gaan om poorten lang open te houden.
ik vraag me af of dit ook bijv. van toepassing is bij msn, icq of bijv. programma's die lmtools gebruiken om licenties over het netwerk te distributeren

Door 0siris, woensdag 21 april 2004 20:19

Score: 0
sommige fabrikanten hebben zelfs al trots laten weten dat ze er geen last van hebben.
Ik zie het al helemaal voor me, ergens in de bokkiewokkie-router-fabriek spreekt de baas hierover met zijn engineer:
"Heej Fat Chin, gebruiken wij het BGP protocol in onze routers?" Fat Chin: "Wat zeg je Ping Lan?BPG? Huh? Wasda?"
Ping Lan: "Oh dasmooi, dan zet ik vast op de site dat onze routers er geen last van hebben" :P

Door The Jester, woensdag 21 april 2004 22:00

Score: 2
...en sommige fabrikanten hebben zelfs al trots laten weten dat ze er geen last van hebben.
En die vertrouw ik dus niet.
Juniper en Cisco zijn hebben samen vrijwel de gehele Ultra-High Bandwidth markt in handen en steken dan ook de meeste centjes in R&D. En dan zouden een paar van de kleinere spelers géén last hebben van fenomeen :?
Lijkt mij van niet, dus...

Door 0siris, woensdag 21 april 2004 22:04

Score: 0
er staat dan ook duidelijk:
Verschillende bekende bedrijven (waaronder Cisco en Juniper) hebben al updates beschikbaar gesteld...

Door Belgar, donderdag 22 april 2004 12:01

Score: 1
Dit is wel mogelijk hoor. Juist omdat cisco en juniper de grote jongens zijn, zijn ze ietwat gevoeliger voor dit probleem. Theoretisch dan. Producten die alleen lagere snelheden kunnen bedienen maken meestal ook gebruik van kleinere windows. Juniper heeft overigens, afgezien van meer BGP updates, geen problemen met crashes door deze bug.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 20:10
Vorige 18:33
VNU Media logo Powered by True

© 1998 - 2008 Tweakers.net - Alle rechten voorbehouden

Uitgever van: