Windows XP Service Pack 2 "halb offene" Verbindungen

#1 Hallo,

ich habe mir mal Gedanken zu der neuen Beschraenkung fuer
"halb-offene" Verbindungen beim Servicepack 2 gemacht.

Gedankenspiel:
SP2 beschraenkt die Anzahl der halb offenen Verbindungen waehrend des
Three-Way-Handshake auf 10. Wenn man nun als boeser Bube ein
SYN-Flooding Angriff auf ein solches System startet wuerde dieser
recht schnell zum Erfolg fuehren. Man initiiert einen
Three-Way-Handshake mit einer gefaelschten IP Adresse. Der
Zielcomputer sendet in der zweiten Phase des Handshakes ein SYN-ACK
an die gefaelschte IP Adresse die ja keine Verbindung aufbauen will.
Dadurch kommt es zu einer halb-offenen Verbindung am Zielsystem.

Wenn man nun mehrere dieser falschen Verbindungsaufbaue einleiten
wuerde koennte das XP System nach einer Zeit keine neuen Verbindungen
mehr annehmen da die Beschraenkung von 10 halb-offenen Verbindungen
schon erreicht ist. Damit haette man einen erfolgreichen DoS Angriff
durchgefuehrt.

Ist die Idee richtig oder gibt es da einen Denkfehler?

mfg
martin
__________
"First they ignore you..., Then they laugh at you..., Then they fight you..., Then you WIN." -M.K. Gandhi

#2 Moin Martin.

Eine SYN-Flooding Attacke sollte genau *deswegen* ins Leere laufen. Da max. 10 simultane nicht etablierte
Verbindungen erlaubt sind, besteht keine Gefahr, dass der Host aufgrund der Netzlast und CPU Ausnutzung
in die Knie geht.

Bei einer konkreten SYN-Attacke werden also 10 Anfragen beantwortet, die restlichen, abzuarbeiteten Anfragen
werden vom OS gequeued und erstmal "in den Hintergrund" gestellt. Dadurch soll lt. MS sichergestellt werden,
dass das System nicht ausgelastet wird und der Benutzer weiterhin problemlos mit diesem arbeiten kann.

Gegenüber einem ungepatchten (oder mit einer schlechten PFW ausgestatteten) System, welches um's Verrecken
versucht, *alle* eingehenden Anfragen *sofort* zu etablieren, sollte die Restriktion vom SP 2 hier greifen.

Gruß,

Sepia

#3 Moin

Ich meine ja auch nicht das das System wegen der Netz- oder Systemlast zum erliegen kommt sondern wegen der Restriktion der XP-Netzwerkkonfiguration.

User A surft durchs Web wodurch viele (HTTP) Verbindungen per Handshake korrekt initiiert und etabliert werden. Wenn nun der Angreifer ein SYN-Flooding mit gefakter IP-Adresse startet wird das System von User A 10 Anfragen entgegennehmen und diese nicht etablieren koennen da ja die IP gefaelscht ist. soweit ich weiss wird eine gewisse Zeitspanne gewartet bis der Verbindungsversuch abgebrochen wird. Waehrend dieser Zeitspann koennen keine neuen Handshakes durchgefuehrt werden da diese ja auch eine "halb-offene" Verbindung darstellen. Ergo koennen keine weiteren Anfragen vom User angenommen werden -> Er "steckt fest" und bekommt z.B. keine Webseiten mehr angezeigt.

Wie du schon richtig sagtest werden weitere Anfragen in den Hintergrund gestellt, aber wenn der Angreifer tausende von Anfragen stellt wird diese Warteliste mit seinen Anfragen gefuellt und die "richtigen" Anfragen kommen nur noch sehr langsam vorran.

Folglich bringt auch die Warteschlange von XP da wenig (falls der Angriff durchfuehrbar ist).

mfg
martin
__________
"First they ignore you..., Then they laugh at you..., Then they fight you..., Then you WIN." -M.K. Gandhi

#4

Zitat

[..]Waehrend dieser Zeitspann koennen keine neuen Handshakes durchgefuehrt werden da diese ja auch eine "halb-offene" Verbindung darstellen. Ergo koennen keine weiteren Anfragen vom User angenommen werden -> Er "steckt fest" und bekommt z.B. keine Webseiten mehr angezeigt.

Nicht ganz. Hier greift das 'Feature' des durch das SP2 modifizierten TCP/IP Stacks: Der User soll trotz der 'Blockade'
(egal ob durch SYN-Flooding oder Würmer hergestellt) in der Lage sein, aus dem Internet geeignete Gegenmassnahmen
in Form von Software downzuloaden. So zumindest die Intention von MS bzgl. der Problematik und die Interpretation von
Heise [1].

Wie die besagten 10 halb offenen Connections zustande kommen, ist ja übrigens sekundär. Ob per SYN-Flooding, einer nicht mehr
erreichbaren Quelle aus dem P2P Netz oder einem Port-Scanner, welcher nicht existente Hosts abfragt.
Bei beiden letztgenannten Variationen sind zwar Probleme in bezug auf erhöhte Latenzzeit bekannt (oder schlechterer DL-
Geschwindigkeit im P2P Netz), allerdings 'läuft' TCP/IP immer noch.
Aufgrund dessen gehe ich einfach mal davon aus, dass das besagte Limit von 10 simultanen halb offenen Verbindungen
zwar auch nicht das Gelbe vom Ei ist, jedoch einer SYN Attacke trotzen sollte.


[1] http://www.heise.de/newsticker/meldung/49536


Gruß,

Sepia

#5 Also wirkliche Beweise das der geaenderte Stack von XP mit sowas klarkommt existieren nicht?

Wenn man eine technische Erklaerung von MS haette wie sich das System bei einem solchen Zustand verhaelt wuerde ich das ja akzeptieren, aber auf das dahergebrabbel von MS-Marketingleuten gebe ich nicht sehr viel. Laut denen wird Windows ja auch mit jeder Version besser, stabiler, kompfortabler und ist ja sowieso das beste und tollste OS auf der Welt. ;)

Im Heise-Artikel steht ja das diese Anfragen langsamer abgearbeitet werden. Zwar haette ein Angriff nicht die komplette Lahmlegung des Netzwerkverkehrs zur Folge aber zumindest koennte man das System ausbremsen.

mfg
martin

// edit:
"Zusätzliche, noch nicht weiter spezifizierte Mechanismen..." wenn ich sowas schon lese...
__________
"First they ignore you..., Then they laugh at you..., Then they fight you..., Then you WIN." -M.K. Gandhi

#6

Zitat

Überschreitet die Zahl der halboffenen TCP-Verbindungen, die gleichzeitig auf eine Bestätigung des Gegenübers warten, einen bestimmten Wert, erhält der Anwender die Fehlermeldung: "EventID 4226: TCP/IP hat das Sicherheitslimit erreicht,

Hört sich für mich so an, dass ich die Verbindungen aufbauen muss. Außerdem dürfte es nur Probleme geben wenn man einen Server betreibt, da die Verbindungen sonst nur mit fin(oder war es rst) quitiert werden.
Werde mal versuchen es ganze mit Nmap zu testen.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#7 Martin schrieb:

Zitat

Also wirkliche Beweise das der geaenderte Stack von XP mit sowas klarkommt existieren nicht?

Wenn man 'klarkommt' jetzt so definiert, dass XP nicht den Dienst verweigert und nur noch in einer Stasis schwelgt
könnte man das Pferd auch von hinten aufzäumen.
Es existieren bis dato auch keine Äusserungen von Benutzern, deren XPscher Stack mit 10 halb offenen Verbindungen belegt
ist, die behaupten, ihr System hängt vollkommen.

These 1: Sollte dem wirklich so sein, hätte man mittlerweile irgendwas darüber gehört/gelesen. Immerhin wurde besagtes
Feature auch in den Betas des SP2 implementiert.

These 2: Da P2P User von Schwierigkeiten aber *nicht* von einem 'hängenden System sprechen, diese Leute also de facto
das Symptom bereits erlebt haben, kann man auch davon ausgehen, dass der worst case ein schleppenderes System
ist. Keinesfalls jedoch ein 'hängendes' OS.

These 3: Ich kann und will es mir nicht vorstellen, dass XP aufgrund solch simpler "10 halb offener Verbindungs-Problematik"
*komplett* abraucht.

Zitat

Wenn man eine technische Erklaerung von MS haette wie sich das System bei einem solchen Zustand verhaelt[..]

Daran hätte ich auch Interesse.

Bleibt also die Frage, wie schleppend ist 'schleppend'? Ich vermute jetzt einfach mal, dass das Problem möglicherweise
zu heiß gekocht wird(?) Ansonsten hätte man wahrscheinlich auch Berichte wie "Surfen unmöglich mit SP2 wenn 10 usw."
gelesen. Imho.

Spunki schrieb:

Zitat

Werde mal versuchen es ganze mit Nmap zu testen.

Gute Idee. Berichte mal bitte bei Zeiten...

Gruß,

Sepia