Panda - ungültige Kombination von TCP-Flags

#0
28.10.2005, 11:35
...neu hier

Beiträge: 3
#1 Hallo an alle hier,
ich habe seit kurzem Panda Platinum 2006 Internet Security auf meinem Rechner.
Leider hab ich noch nicht so wirklich viele Erfahrungen damit.
Jetzt wird mir laufend die Nachricht >ungültige Kombination von TCP-Flags< angezeigt. Weiss jemand was das zu bedeuten hat ?
Ich hab schon etwas rumge-google-t, konnte aber nichts direktes finden.
Mag/kann mir jemand helfen hier ?
Vielen lieben Dank im voraus.
Blüte :-)




Öhm, ich glaub jetzt hab ich doch was gefunden was mich so ein wenig schlauer macht. *g*

Das SYN-Flooding ist ein Angriff, der eine Schwäche im TCP-Protokoll ausnutzt.
TCP ist ein verbindungsorientiertes Protokoll. Daher muss das Protokoll sicherstellen,
dass alle Pakete der Kommunikation auch wirklich beim Partner ankommen.
Aus diesem Grund bestätigen die Kommunikationspartner immer, welche Pakete
sie erhalten haben. Hierzu ist eine spezielle Initialisierung der Verbindung nötig,
das so genannte 3-Wege-Handshake (Abb. 2). Der hier beschriebene Angriff nutzt
genau dieses Handshake aus, um dem Server die Möglichkeit zu nehmen, weitere
Verbindungen von außen einzugehen.
Das 3-Wege-Handshake funktioniert im Groben so: Der Client beginnt mit dem
Verbindungsaufbau, indem er dem Server ein SYN-Paket sendet. Dieses wird dann
vom Server mit einem SYN-ACK-Paket beantwortet. Die Verbindung ist aber erst
dann hergestellt, wenn der Client das SYN-ACK noch mit einem ACK-Paket bestätigt.
Da in einem Netzwerk Verzögerungen auftreten können, muss der Server
sich jede durch ein SYN-Paket initialisierte Verbindungsanfrage solange merken,
bis der Client den Verbindungsaufbau durch sein ACK-Paket bestätigt. Falls dies
nicht geschieht oder zu lange dauert, wird der Verbindungsaufbau durch Erreichen
eines TimeOuts abgebrochen.
Wenn nun also ein Angreifer einen Server mit TCP-Verbindungsanfragen überhäuft,
dabei aber z.B. eine falsche Absendeadresse angibt, so kann kein Verbindungsaufbau
erfolgen. Da das SYN-Paket gefälscht ist, sendet der Opfer-Server ein
SYN-ACK an den Rechner, der die Adresse besitzt, von der das SYN-Paket angeblich
kam. Dieser kann mit dem SYN-ACK aber nichts anfangen, da es zu keinem
seiner Verbindungaufbauversuche gehört, und so ignoriert er das Paket. Das Opfer
wird also vergeblich auf das ACK warten (Abb. 3).

Genauso wie bei mir öfter >Denial of Services< angezeigt wird.

2 Denial of Service (DoS)
Um einen Angriff simulieren zu können, muss man verstanden haben, wie der Angriff
funktioniert. Man sollte dazu sowohl den zeitlichen Ablauf des Angriffs verstanden
haben, als auch die Mechanismen, die im Lauf der Attacke verwendet werden.
Ebenso ist es wichtig, sich das Ziel des Angriffs zu verinnerlichen, also die
beabsichtigten Auswirkungen des Angriffs auf das Opfer.

2.1 Denial-of-Service-Angriff
Eine Denial-of-Service-Attacke (DoS-Attacke) hat zum Ziel, die Verfügbarkeit bestimmter
Dienste eines Opfer-Servers zu stören. Dies wird erreicht, indem man
z.B. den Opferrechner so mit falschen Anfragen auslastet, dass die ordentlichen
Anfragen nicht mehr oder nur noch sehr unzureichend abgearbeitet werden können.
Dabei werden Ressourcen des Opfers wie Speicher oder Prozessor(en) überlastet.
Eine weitere Möglichkeit ist, dass man den Server gar zum Absturz bringt. Auch
dann sind seine Dienste nicht mehr verfügbar.
Die Sicherheit der auf dem Server gelagerten Daten zu untergraben, sei es in
Bezug auf Vertraulichkeit oder Integrität, ist nicht das Ziel von DoS-Angriffen.

Na gut, ich vermute damit hat sich dieses Thema so einigermassen aufgeklärt.
Falls ich falsch liege hier mit meinen Recherchen, kann mich ja jemand aufklären.

Ansonsten machts gut erst mal.
Liebe Grüsse. Blüte
Dieser Beitrag wurde am 28.10.2005 um 12:12 Uhr von Blüte editiert.
Seitenanfang Seitenende
03.11.2005, 15:58
Member

Beiträge: 38
#2 Hi

Zitat

>ungültige Kombination von TCP-Flags<
Dies hat wohl nichts mit Syn Flooding zu tun. Weshalb? Bei einem Syn Flood wird nur ein TCP-Flag gesetz, nämlich das SYN. Da dies nur ein einziges gesetztes Flag ist, handelt es sich nicht um eine Kombination von mehreren Flags.

Bei einem XMAS Port Scan werden alle Flags gesetzt (SYN,ACK,RST,PSH...).

Unteranderem ist SYN Flooding veraltet und nutzlos bei neuen Win OS, was meine Meinung verstärkt, dass du keine Opfer eines Syn-Flood wurdest.

Capture doch mal die Packets und schau welche Flags gesetzt sind!

http://www.ethereal.com/

Lg Joe
__________
www.joebox.org
Joebox a secure Sandbox Application for Windows Vista to analyse the Behaviour of Malware
Dieser Beitrag wurde am 03.11.2005 um 16:01 Uhr von [JoE] editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »