Re: Mars Attacks 2

1 Mar 2002

      Hallo,

LaBelle Furneaux  writes:
...
...
Hallo,
LaBelle Furneaux  writes:
...
Hallo Ratti und Antje!
Diese Log_Martians  können sicherlich auch Ausdruck von gespooften IPs ,
gespoofte Source-Routed-oder Redirect-Packete  
sein, sie sind in den Kernelparametern in /proc/sys/net/ipv4
implemintiertund sollten stests aktiviert werden mit echo 1 > 
/proc/sys/net/ipv4/log_martians. Die Interpretation allerdingsmacht mir
allerdings  auch zu schaffen, schaut euch mal dieses Logfile 
an:
Martian Log: martian source 217.81.106.29 from 194.25.2.129 on dev ppp0
portsentry: attackalert from 194.25.2.129 .cta....blocked
Also entweder wurde bei mir portsentry falsch konfiguriert, oder diese
Message bedeutet einfach, jemand gibt sich als  
DNS-Server aus und zwar von meinem Provider. Ist sowas möglich ?
Sicherlich
, weil man TCP Sessions hijacken kann, das kann 
sogar jedes Script--Kiddie schaffen. Allerdings könnte auch dieses Tool
port
sentry falsch konfiguriert sein.
Vielleicht sind auch zuviele ICMPs von der Firewall geblockt.
[...]
Wie sehen denn deine Regeln für icmp und für Port 53 aus ?
icmp type 3 sollte in jedem Fall erlaubt werden, da damit wichtige
Informationen übermittelt werden, wie z.B. host unreachable, port
unreachable usw. type 11 übermittelt time exceeded, sollte also auch
erlaubt sein.
[...]
Hallo Dieter!
Nun die TTL exeeded müßen unbedingt als OUTPUT in den Firewallchains
geblockt werden , weil damit so Firewalking verhindert 
werden kann ( also das Durchdringen der firewall, und somit Blick
dahinter...) ansonsten habe ich  die ICMPS , die Du genannt 
hast erlaubt, also source quench, die üblichen echos, nur bei fragmentation
needed und destination unreachable , bin ich mir 
unsicher.Kann man denn nun durch IP-Spoof meinen eigentluichen DNS Server
von meinen Provider faken?, und mir 
vortäuschhen , ich sei mit diesem server verbunden?
Time exeeded sollte als input erlaubt sein, sonst gibt es erhebliche
Probleme mit dem MTA, als output kann es unterbunden werden.

Wenn ein Angreifer dsniff gut handhaben kann, sollte es durchaus
möglich sein, den DNS des Providers zu faken :-(

-Dieter

-- 
Dieter Kluenter  | Systemberatung
Tel:040.64861967 | Fax: 040.64891521
mailto: dkluenter@schevolution.com
http://www.schevolution.com/tour