Frage an die Netzwerk-Spezialisten von Christian Seiler, 05.09.2002 21:55

Frage an die Netzwerk-Spezialisten

Christian Seiler 05.09.2002 21:55

software

Hallo,

ich habe eine Frage an die Spezialisten von der
Netzwerk-Front - insbesondere diejenigen, die sich
mit TCP/IP auskennen.

bin zwar kein Spezialist, hab' mich aber mit dem Thema auseinandergesetzt.

Ist es möglich, daß ein ankommender HTTP-Request dem
Apache eine willkürliche IP-Adresse vorgaukelt und
trotzdem irgendwie an eine Antwort kommt?

Die HTTP-Kommunikation auf TCP-Ebene sieht wie folgt aus:

---- immer in TCP -----

Client sendet ein Paket mit dem SYN-Header-Flag (und einer Source-IP)
Der Server sendet ein Paket mit dem SYN/ACK-Header-Flag an die im vorigen Paket vergebene Source-IP zurück
Der Client sendet nochmals ein Paket mit dem ACK-Header-Flag zurück.
---- jetzt HTTP-spezifisch ------
Der Client sendet jetzt sein Paket ohne SYN/ACK/FIN-Headers aber mit den Anfrage-Daten z.B. "GET blablabla HTTP/1.1 etc."
Der Server antwortet jetzt mit einem Paket mit dem ACK-Flag.
------ hier wird jetzt auf dem Server der Request bearbeitet -----
(der Rest ist uninteressant, da nur Daten zurückgeliefert werden)

Der IP-Faker müsste also mindestens 3 Pakete faken. Man muss jetzt aber wissen, dass jedes TCP/IP-Paket einen Zähler enthält, der mit einer Zufallszahl initialisiert wird. Da der Angreifer den Zähler des Servers nicht kennt (da er das erst im ersten Antwortpaket erfahren kann, welches aber nicht an ihn geschickt wird, da die gefakete IP nicht seine ist) dann muss er sie raten. Das ist möglich jedoch extrem unwarscheinlich. Aber: Wenn er den Counter einmal erraten hat (der wird jedes Paket hochgezählt), dann stehen ihm für _diese_ Verbindung Tür und Tor offen. Er kann jedoch nur Anfragen absetzten, aber keine Daten empfangen, da die Pakete nicht an ihn gerichtet sind.

Lange Rede, kurzer Sinn: Da gzip_cnc dazu dient, Daten _zurück_zuliefern, ist es nicht möglich.

_Wenn_ es nämlich nicht möglich ist, die IP-Adresse
des Servers, auf welchem gzip_cnc installiert ist,
bei Zugriffen 'von außen' zu fälschen, dann läßt
sich der direkte URL-Zugriff auf das Skript zunageln:
(.htaccess im Installationsverzeichnis des Skripts)

<FilesMatch gzip_cnc.pl>
order deny,allow
deny from all
allow from meine.eigene.ip.adresse
</FilesMatch>

Ja - das würde funktionieren.

Grüße,

Christian

Beitrag melden

– Informationen zu den Bewertungsregeln

SELFHTML Forum - Ergänzung zur Dokumentation Übersicht

Christian Seiler: Frage an die Netzwerk-Spezialisten

Beitrag lesen

Frage an die Netzwerk-Spezialisten

!!! gzip_cnc: Security-Warnung !!!

RTFM

Frage an die Netzwerk-Spezialisten

IPs manipulierbar (Nachtrag)

... gnlpfts ... gzip_cnc 1.11, code review please