Was sind kurze Fragmente?

#1 Hallo User!

Habe in meinen Outpost Firewall logs einen Angriff angezeigt bekommen, bei dem als Art des Angriffs "Kurze Fragmente" angegeben war.

Habe schon bei Google geschaut, aber noch nix gefunden dazu!

Was hat dies genau zu bedeuten???

Gruss Alex

#2

Zitat

Tiny-Fragment-Attack

Ziel dieser Attacke ist es, durch geschickte Fragmentierung von IP-Pakten Filterregeln eines Paketfilters zu umgehen. Dieser Angriff ist in [RFC-1858] detailiert beschrieben. Dabei versucht der Angreifer, seine Nutzdaten (z.B. TCP-Pakete) in so kleine Fragmente zu zerlegen, daß ein statischer Paketfilter seine Regeln bezüglich des TCP-Headers nicht mehr anwenden kann. Paketfilter, die nur das erste Fragment untersuchen, könnten Beispielsweise dadurch ausgetrickst werden, daß man im ersten Fragment nur einen Teil des TCP-Headers ablegt, z.B. nur den Source Port, Destination Port und die Sequence Number. Im zweiten Fragment werden die restlichen TCP-Header Informationen (ACK-Bit, Flags usw.) abgelegt. Kann das erste Fragment den Filter passieren, so könnte ein Angreifer eine eingehende TCP-Verbindung z.B. TELNET durch den Filter schleusen 2.2, da die Information, ob es sich um das erste Paket (ACK-Bit nicht gesetzt) einer TCP-Verbindung handelt oder nicht, im zweiten Fragment enthalten ist, was aber von vielen Paketfiltersystemen nicht mehr geprüft wird.
( http://www.klaus.camelot.de/dip/node22.html )

Wenn die Firewall das Paket geblockt hat, dann ist alles in Ordnung.
Ich könnte mir auch vorstellen, dass es sich um ein harmloses Paket gehandelt hat, das nur zufällig zu klein war und deshalb geblockt wurde.
__________
Wenn jeder an sich selbst denkt, ist an alle gedacht.

#3 Der Vorfall kam innerhalb von ner Stunde zwei mal vor. War eine IP aus Australien. Und wenn es angezeigt wird wirds ja sicher auch geblockt worden sein.