Hallo,
Würde hier gerne eure Meinung hören:
Hier bei uns in Österreich erfolgt der Verbindungaufbau bei den tpyischen privaten oder small-business ADSL Zugängen auf eine Art und Weise, die anderen vieleicht etwas misteriös erscheinen mag.
Üblichwerweise bekommt man ein ADSL Modem der Firma Alcatel, dieses hat die IP 10.0.0.138. Man muss dann eine PPTP Verbindung auf das Modem aufbauen und bekommt dann die öffentliche IP durch diesen (ich nenns mal so) "Tunnel" zugewiesen.
Leute mit Einzelplatzrechner - ohne Router machen das per PPTP-VPN Verbindung im DFÜ-Netzwerk, die anderen suchen sich einen Router aus, der das ganze beherscht.
Die Lancom Produkte beherschen diese Art des Verbindungsaufbaus - bei Verwendung des Setup-Assistenten und Angabe des Landes Österreich wird das ganze sogar schon recht gut vorbereitet eingeleitet.
Es scheint mir aber, als würde es bei der den Firewall-Ereignissen dann zu einer Fehlinterpretation kommen - siehe Screenshot anbei. Man beachte die Quell-Adressen.
Da es sich um einen Screenshot von einem Kunden mit fixer IP handelt, habe ich die Zieladresse ein wenig verfremdet.
Wir würdet ihr diese "Angriffe" von 127.0.0.1 interpretieren?
Was weiters ein wenig schade ist:
Bei dieser Art des Verbindungsaufbaus bekommt man im Lanmonitor weder die WAN-IP die zugewiesen wurde, noch sonst irgendwelche andere interessanten Parameter (die man bei Plain Ethernet zb. durchaus angezeigt bekommt) angezeigt.
PPTP WAN-seitig und Firewall Ereignisanzeige
Moderator: Lancom-Systems Moderatoren
PPTP WAN-seitig und Firewall Ereignisanzeige
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Liebe Grüße,
michael
michael
Hi tbc233
Der "normale" LAND-Angriff versendet ein Paket in dem die Absenderadresse gleich der Empfängeradresse ist. Der Empfänger lehnt das Paket ab und schickt ein TCP-Reset an den Absender zurück. Da aber die Absenderadresse gleich der Empfängeradresse ist, schickt sich das Opfer er dieses Pakt selbst zu. Wenn nun der TCP-Stack fehlerhaft implementiert ist, dann lehnt das Opfer dieses Paket ebenfalls wieder mit einem TCP-Reset ab, das es sich selber schickt. Die Folge davon ist, daß der TCP-Stack 100% Rechenlast mit dem ständigen zusenden dieses TCP-Reset Pakets erzeugt.
Da nun Personal-Firewalls diese Form des Angriffs kennen und schon vorher abblocken, sind die "bösen Jungs" auf die Idee gekommen, in der Absendeadresse des Pakets nicht die Adresse des Opfers einzusetzen sondern die sog. Loopback-Adresse (127.0.0.1), was u.U. zur Folge hat, daß die personal Firewall das Paket passieren läßt und der Angriff somit wieder erfolgreich ist.
Gruß
Backslash
Das ist mitnichten eine Fehlinterpretation der Firewall.Es scheint mir aber, als würde es bei der den Firewall-Ereignissen dann zu einer Fehlinterpretation kommen - siehe Screenshot anbei. Man beachte die Quell-Adressen.
Da es sich um einen Screenshot von einem Kunden mit fixer IP handelt, habe ich die Zieladresse ein wenig verfremdet.
Das ist vielmehr eine neue Variante des sog. LAND-Angriffs. (Obwohl so neu ist diese Variante auch nicht mehr...)Wir würdet ihr diese "Angriffe" von 127.0.0.1 interpretieren?
Der "normale" LAND-Angriff versendet ein Paket in dem die Absenderadresse gleich der Empfängeradresse ist. Der Empfänger lehnt das Paket ab und schickt ein TCP-Reset an den Absender zurück. Da aber die Absenderadresse gleich der Empfängeradresse ist, schickt sich das Opfer er dieses Pakt selbst zu. Wenn nun der TCP-Stack fehlerhaft implementiert ist, dann lehnt das Opfer dieses Paket ebenfalls wieder mit einem TCP-Reset ab, das es sich selber schickt. Die Folge davon ist, daß der TCP-Stack 100% Rechenlast mit dem ständigen zusenden dieses TCP-Reset Pakets erzeugt.
Da nun Personal-Firewalls diese Form des Angriffs kennen und schon vorher abblocken, sind die "bösen Jungs" auf die Idee gekommen, in der Absendeadresse des Pakets nicht die Adresse des Opfers einzusetzen sondern die sog. Loopback-Adresse (127.0.0.1), was u.U. zur Folge hat, daß die personal Firewall das Paket passieren läßt und der Angriff somit wieder erfolgreich ist.
Gruß
Backslash
Danke für deine Antwort,
Ich kam vor allem auch deswegen auf die Idee von einer Fehlinterpretation zu spreche, weil ich eigentlich fast nur solche Angrife im Protkolle vorfinde und ich zb. bei einem anderen Kunden eine Zyxel Zywall im Einsatz habe, die natürlich ebenfalls solcherlei Ereignise anzeigt, allerdings nie von der Loopback Adresse sondern von regulären IPs.
Ich kam vor allem auch deswegen auf die Idee von einer Fehlinterpretation zu spreche, weil ich eigentlich fast nur solche Angrife im Protkolle vorfinde und ich zb. bei einem anderen Kunden eine Zyxel Zywall im Einsatz habe, die natürlich ebenfalls solcherlei Ereignise anzeigt, allerdings nie von der Loopback Adresse sondern von regulären IPs.
Liebe Grüße,
michael
michael
Hi tbc233
Gruß
Backslash
Dann gehört auch die Zywall zu den überlistbaren Firewalls, denn sie hat es offenbar nicht gemerkt und die Pakete einfach durchgelassen.Ich kam vor allem auch deswegen auf die Idee von einer Fehlinterpretation zu spreche, weil ich eigentlich fast nur solche Angrife im Protkolle vorfinde und ich zb. bei einem anderen Kunden eine Zyxel Zywall im Einsatz habe, die natürlich ebenfalls solcherlei Ereignise anzeigt, allerdings nie von der Loopback Adresse sondern von regulären IPs.
Gruß
Backslash