|
Nach der im WebInterface angezeigten Kurzbeschreibung
werden TCP-Pakete mit irregulären Flags geblockt, wenn man diese Option
aktiviert. Unter Keep State habe ich erklärt, wie eine Verbindung unter TCP
zustande kommt (3-way-handshake: 1. Paket mit SYN-Flag - 2. Paket mit
SYN+ACK-Flag - 3. Paket mit ACK-Flag). Leider können Angreifer Datenpakete
so manipulieren, dass darin Flag-Kombinationen enthalten sind, die im
Protokoll nicht vorgesehen sind. Wenn die Firewall auf diese Pakete nicht richtig
reagiert, kann ein solcher Scan benutzt werden, um das angegriffene System
auszuforschen. So kann man z.B. Pakete erzeugen, in deren TCP-Header
überhaupt kein oder umgekehrt alle Flags gesetzt sind. Ein geschlossener
Port sendet als Antwort ein Paket mit gesetzten RST+ACK-Flags (der Empfang
des Paketes wird bestätigt, gleichzeitig wird die Verbindung sofort abgebrochen).
Ein offener Port antwortet nicht und verwirft diese ,verbogenen'
Pakete. Der Angreifer hat auf einfache Weise einen offenen Port gefunden.
Auch bei dieser Option der Router-Firewall scheint es mit etwas merkwürdig,
sie im ,DoS defense setup' unterzubringen, weil der Angriff eher der Ausforschung
dient und nicht einfach nur den angegriffenen Server lahm legen will
(letzteres wäre eher die Folge einer etwas zu intensiven ,Suche').
|
