07.08
iLho Hitter
Over the past few years TCP sequence number prediction attacks have become a real threat against unprotected networks, taking advantage of the inherent trust relationships present in many network installations. TCP sequence number prediction attacks have most commonly been implemented by opening a series of connections to the target host, and attempting to predict the sequence number which will be used next. Many operating systems have Selama beberapa tahun terakhir serangan TCP nomor urut prediksi telah menjadi ancaman nyata terhadap jaringan yang tidak dilindungi, mengambil keuntungan dari hubungan kepercayaan yang melekat hadir dalam instalasi jaringan banyak serangan TCP nomor urutan prediksi miliki. Paling sering diimplementasikan dengan membuka serangkaian koneksi ke host target, dan mencoba untuk memprediksi nomor urutan yang akan digunakan berikutnya Banyak sistem operasi.
therefore attempted to solve this problem by implementing a method of generating sequence numbers in unpredictable fashions. This method does not solve the problem. Oleh karena itu mencoba untuk memecahkan masalah ini dengan menerapkan metode menghasilkan nomor urut dalam mode terduga. Metode ini tidak memecahkan masalah.
therefore attempted to solve this problem by implementing a method of generating sequence numbers in unpredictable fashions. This method does not solve the problem. Oleh karena itu mencoba untuk memecahkan masalah ini dengan menerapkan metode menghasilkan nomor urut dalam mode terduga. Metode ini tidak memecahkan masalah.
This advisory introduces an alternative method of obtaining the initial sequence number from some common trusted services. The attack presented here does not require the attacker to open multiple connections, or flood a port on the trusted host to complete the attack. The only requirement is that penasehat ini memperkenalkan metode alternatif untuk memperoleh nomor urut awal dari beberapa layanan terpercaya umum Serangan disajikan di sini tidak memerlukan penyerang untuk membuka beberapa sambungan, atau banjir port pada host dipercaya untuk menyelesaikan serangan.. Satu-satunya persyaratan adalah bahwa
source routed packets can be injected into the target network with fake source addresses. paket source routed dapat disuntikkan ke dalam jaringan target dengan alamat sumber palsu.
source routed packets can be injected into the target network with fake source addresses. paket source routed dapat disuntikkan ke dalam jaringan target dengan alamat sumber palsu.
This advisory assumes that the reader already has an understanding of how TCP sequence number prediction attacks are implemented. penasehat ini mengasumsikan bahwa pembaca sudah memiliki pemahaman tentang bagaimana serangan TCP nomor urut prediksi diimplementasikan.
The impact of this advisory is greatly diminished due to the large number of organizations which block source routed packets and packets with addresses inside of their networks. Therefore we present the information as more of a 'heads up' message for the technically inclined, and to re-iterate that Dampak dari penasihat ini sangat berkurang akibat banyaknya organisasi yang paket source routed blok dan paket dengan alamat dalam jaringan mereka. Oleh karena itu kami menyajikan informasi sebagai lebih dari sebuah 'kepala up' pesan untuk cenderung teknis, dan kembali iterasi yang
the randomization of TCP sequence numbers is not an effective solution dengan pengacakan nomor urutan TCP bukan merupakan solusi yang efektif
against this attack. terhadap serangan ini.
the randomization of TCP sequence numbers is not an effective solution dengan pengacakan nomor urutan TCP bukan merupakan solusi yang efektif
against this attack. terhadap serangan ini.
Technical Details Rincian Teknis
~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~
The problem occurs when particular network daemons accept connections with source routing enabled, and proceed to disable any source routing options on the connection. The connection is allowed to continue, however the reverse route is no longer used. An example attack can launched against the in.rshd daemon, which on most systems will retrieve the socket options Masalah terjadi ketika daemon jaringan tertentu menerima koneksi dengan sumber routing diaktifkan, dan lanjutkan untuk menonaktifkan routing pilihan pada sambungan sambungan ini dibiarkan berlanjut,. namun rute sebaliknya tidak lagi digunakan. Sebuah serangan contoh dapat diluncurkan melawan di rshd daemon., yang pada kebanyakan sistem akan mengambil pilihan soket
via getsockopt() and then turn off any dangerous options via setsockopt(). melalui getsockopt () dan kemudian mematikan opsi apapun yang berbahaya melalui setsockopt ().
via getsockopt() and then turn off any dangerous options via setsockopt(). melalui getsockopt () dan kemudian mematikan opsi apapun yang berbahaya melalui setsockopt ().
An example attack follows. Serangan contoh berikut.
Host A is the trusted host Host A adalah trusted host
Host B is the target host Host B adalah host target
Host C is the attacker Host C adalah penyerang
Host B is the target host Host B adalah host target
Host C is the attacker Host C adalah penyerang
Host C initiates a source routed connection to in.rshd on host B, pretending Host C source routed memulai sambungan ke in.rshd pada host B, berpura-pura
to be host A. untuk menjadi tuan rumah A.
to be host A. untuk menjadi tuan rumah A.
Host C spoofing Host A <SYN> –> Host B in.rshd Host Host spoofing C <SYN> A -> Host B in.rshd
Host B receives the initial SYN packet, creates a new PCB (protocol control block) and associates the route with the PCB. Host B responds, using the reverse route, sending back a SYN/ACK with the sequence number. Host B menerima paket SYN awal, membuat PCB baru (protokol blok kontrol) dan asosiasi rute dengan Host B PCB. Merespon, menggunakan rute sebaliknya, mengirimkan kembali SYN / ACK dengan nomor urut.
Host C spoofing Host A <– <SYN/ACK> Host B in.rshd Host Host spoofing C <A - <SYN/ACK> Host B in.rshd
Host C responds, still spoofing host A, acknowledging the sequence number. Host C merespon, masih spoofing Sebuah host, mengakui nomor urut. Source routing options are not required on this packet. Source routing opsi tidak diperlukan pada paket ini.
Host C spoofing Host A <ACK> –> Host B in.rshd Host Host spoofing C <ACK> A -> Host B in.rshd
We now have an established connection, the accept() call completes, and control is now passed to the in.rshd daemon. The daemon now does IP options checking and determines that we have initiated a source routed connection. The daemon now turns off this option, and any packets sent Kami sekarang memiliki koneksi terbentuk, menerima () panggilan selesai, dan kontrol sekarang dilewatkan ke in.rshd daemon daemon sekarang tidak memeriksa IP pilihan dan. Menentukan bahwa kita telah melakukan koneksi source routed. Daemon sekarang putaran batal pilihan, dan setiap paket yang dikirim
thereafter will be sent to the real host A, no longer using the reverse route which we have specified. Normally this would be safe, however the attacking host now knows what the next sequence number will be. Knowing this sequence number, we can now send a spoofed packet without the source seterusnya akan dikirim ke host A nyata, tidak lagi menggunakan rute sebaliknya yang kita telah ditentukan. Biasanya ini akan aman, namun tuan rumah menyerang sekarang tahu apa nomor urutan berikutnya akan Mengetahui nomor urutan, kita sekarang dapat dikirim. paket palsu tanpa sumber
routing options enabled, pretending to originate from Host A, and our command will be executed. pilihan routing diaktifkan, berpura-pura berasal dari Host A, dan perintah kita akan dieksekusi.
thereafter will be sent to the real host A, no longer using the reverse route which we have specified. Normally this would be safe, however the attacking host now knows what the next sequence number will be. Knowing this sequence number, we can now send a spoofed packet without the source seterusnya akan dikirim ke host A nyata, tidak lagi menggunakan rute sebaliknya yang kita telah ditentukan. Biasanya ini akan aman, namun tuan rumah menyerang sekarang tahu apa nomor urutan berikutnya akan Mengetahui nomor urutan, kita sekarang dapat dikirim. paket palsu tanpa sumber
routing options enabled, pretending to originate from Host A, and our command will be executed. pilihan routing diaktifkan, berpura-pura berasal dari Host A, dan perintah kita akan dieksekusi.
In some conditions the flooding of a port on the real host A is required if larger ammounts of data are sent, to prevent the real host A from responding with an RST. This is not required in most cases when performing this attack against in.rshd due to the small ammount of data transmitted. Dalam beberapa kondisi banjir di pelabuhan pada host yang sebenarnya diperlukan jika ammounts lebih besar data yang dikirim, untuk mencegah host yang sebenarnya A dari merespon dengan RST. Hal ini tidak diperlukan dalam kebanyakan kasus ketika melakukan serangan ini terhadap in.rshd karena sejumlah kecil data yang dikirimkan.
It should be noted that the sequence number is obtained before accept() has returned and that this cannot be prevented without turning off source routing in the kernel. Perlu dicatat bahwa nomor urut diperoleh sebelum menerima () telah kembali dan bahwa hal ini tidak dapat dicegah tanpa mematikan routing di kernel.
As a side note, we're very lucky that TCP only associates a source route with a PCB when the initial SYN is received. If it accepted and changed the ip options at any point during a connection, more exotic attacks may be possible. Sebagai catatan, kami sangat beruntung bahwa TCP hanya asosiasi rute sumber dengan sebuah PCB ketika SYN awal diterima. Jika diterima dan mengubah pilihan ip pada setiap saat selama sambungan berlangsung, lebih serangan eksotik mungkin. These could include hijacking connections across the internet without playing a man in the middle attack and being able to bypass IP options checking imposed by daemons using getsockopt(). Luckily *BSD based TCP/IP stacks will not do this, however it would be interesting to examine other implementations. Ini dapat mencakup pembajakan koneksi di internet tanpa seorang pria bermain di tengah serangan dan mampu melewati opsi IP pemeriksaan yang dikenakan oleh daemon menggunakan getsockopt () Untungnya * BSD berbasis TCP / IP stack tidak. Akan melakukan hal ini, namun akan menarik untuk memeriksa implementasi lainnya.
Impact Dampak
~~~~~~ ~~~~
~~~~~~ ~~~~
The impact of this attack is similar to the more complex TCP sequence number prediction attack, yet it involves fewer steps, and does not require us to 'guess' the sequence number. This allows an attacker to execute arbitrary commands as root, depending on the configuration of the target Dampak dari serangan ini mirip dengan serangan yang lebih kompleks prediksi urutan nomor TCP, namun melibatkan langkah lebih sedikit, dan tidak memerlukan kita untuk 'menebak' nomor urutan ini memungkinkan. Penyerang untuk mengeksekusi perintah sewenang-wenang sebagai root, tergantung pada konfigurasi dari target
system. It is required that trust is present here, as an example, the use of .rhosts or hosts.equiv files. sistem. Hal ini diperlukan bahwa kepercayaan adalah hadir di sini, sebagai contoh, penggunaan. rhosts atau file hosts.equiv.
system. It is required that trust is present here, as an example, the use of .rhosts or hosts.equiv files. sistem. Hal ini diperlukan bahwa kepercayaan adalah hadir di sini, sebagai contoh, penggunaan. rhosts atau file hosts.equiv.
Solutions Solusi
~~~~~~~~~ ~~~~~~~
~~~~~~~~~ ~~~~~~~
The ideal solution to this problem is to have any services which rely on IP based authentication drop the connection completely when initially detecting that source routed options are present. Network administrators and users can take precautions to prevent users outside of their network from taking advantage of this problem. The solutions are hopefully already either implemented or being implemented. Solusi ideal untuk masalah ini adalah untuk memiliki layanan yang mengandalkan pada drop otentikasi berbasis IP sambungan sepenuhnya ketika awalnya mendeteksi bahwa sumber pilihan routed hadir. Administrator jaringan dan pengguna dapat mengambil tindakan pencegahan untuk mencegah pengguna di luar jaringan mereka mengambil keuntungan dari hal ini Masalahnya solusi. yang mudah-mudahan sudah baik dilaksanakan atau sedang dilaksanakan.
1. 1. Block any source routed connections into your networks Blok sumber routed koneksi ke jaringan Anda
2. 2. Block any packets with internal based address from entering your network. Memblokir setiap paket dengan alamat internal berbasis masuk jaringan Anda.
2. 2. Block any packets with internal based address from entering your network. Memblokir setiap paket dengan alamat internal berbasis masuk jaringan Anda.
Network administrators should be aware that these attacks can easily be launched from behind filtering routers and firewalls. Internet service providers and corporations should ensure that internal users cannot launch the described attacks. The precautions suggested above should be implemented Administrator jaringan harus menyadari bahwa serangan ini dengan mudah dapat diluncurkan dari belakang filtering router dan firewall. penyedia layanan Internet dan perusahaan harus memastikan bahwa pengguna internal tidak dapat meluncurkan serangan dijelaskan. Tindakan yang disarankan di atas harus dilaksanakan
to protect internal networks. untuk melindungi jaringan internal.
to protect internal networks. untuk melindungi jaringan internal.
Example code to correctly process source routed packets is presented here as an example. Please let us know if there are any problems with it. Contoh kode dengan benar proses paket source routed yang disajikan di sini sebagai contoh. Harap beritahu kami jika ada masalah dengan hal itu. This code has been tested on BSD based operating systems. Kode ini telah diuji pada sistem operasi berbasis BSD.
u_char optbuf[BUFSIZ/3]; u_char optbuf [BUFSIZ / 3];
int optsize = sizeof(optbuf), ipproto, i; optsize int = sizeof (optbuf), ipproto, i;
struct protoent *ip; struct ip * protoent;
int optsize = sizeof(optbuf), ipproto, i; optsize int = sizeof (optbuf), ipproto, i;
struct protoent *ip; struct ip * protoent;
if ((ip = getprotobyname(“ip”)) != NULL) if ((ip = getprotobyname ("ip"))! = NULL)
ipproto = ip->p_proto; ipproto = ip-> p_proto;
else lain
ipproto = IPPROTO_IP; ipproto = IPPROTO_IP;
if (!getsockopt(0, ipproto, IP_OPTIONS, (char *)optbuf, &optsize) && if (getsockopt (! 0, ipproto, IP_OPTIONS, (char *) optbuf, & optsize) & &
optsize != 0) { optsize = 0)! {
for (i = 0; i < optsize; ) { untuk (i = 0; i <optsize;) {
u_char c = optbuf[i]; c u_char = optbuf [i];
if (c == IPOPT_LSRR || c == IPOPT_SSRR) if (c == IPOPT_LSRR | | c == IPOPT_SSRR)
exit(1); exit (1);
if (c == IPOPT_EOL) if (c == IPOPT_EOL)
break; break;
i += (c == IPOPT_NOP) ? i + = (c == IPOPT_NOP)? 1 : optbuf[i+1]; 1: optbuf [i +1];
} }
} }
ipproto = ip->p_proto; ipproto = ip-> p_proto;
else lain
ipproto = IPPROTO_IP; ipproto = IPPROTO_IP;
if (!getsockopt(0, ipproto, IP_OPTIONS, (char *)optbuf, &optsize) && if (getsockopt (! 0, ipproto, IP_OPTIONS, (char *) optbuf, & optsize) & &
optsize != 0) { optsize = 0)! {
for (i = 0; i < optsize; ) { untuk (i = 0; i <optsize;) {
u_char c = optbuf[i]; c u_char = optbuf [i];
if (c == IPOPT_LSRR || c == IPOPT_SSRR) if (c == IPOPT_LSRR | | c == IPOPT_SSRR)
exit(1); exit (1);
if (c == IPOPT_EOL) if (c == IPOPT_EOL)
break; break;
i += (c == IPOPT_NOP) ? i + = (c == IPOPT_NOP)? 1 : optbuf[i+1]; 1: optbuf [i +1];
} }
} }
One critical concern is in the case where TCP wrappers are being used. If a user is relying on TCP wrappers, the above fix should be incorporated into fix_options.c. The problem being that TCP wrappers itself does not close the connection, however removes the options via setsockopt(). In this case when control is passed to in.rshd, it will never see any options present, and the connection will remain open (even if in.rshd has the above patch incorporated). An option to completely drop source routed connections will hopefully be provided in the next release of TCP wrappers. The other option Salah satu perhatian penting adalah dalam hal mana TCP wrapper yang digunakan. Jika user mengandalkan TCP wrappers, memperbaiki di atas harus dimasukkan ke dalam fix_options.c. Masalahnya adalah bahwa TCP wrappers sendiri tidak menutup sambungan, namun menghilangkan pilihan melalui setsockopt (). Dalam hal ini ketika kontrol akan diteruskan ke in.rshd, itu tidak akan melihat pilihan ini, dan koneksi akan tetap terbuka (bahkan jika in.rshd memiliki patch di atas dimasukkan). Sebuah opsi untuk benar-benar drop source routed koneksi diharapkan akan disediakan pada rilis berikutnya TCP wrappers. Pilihan lainnya
is to undefine KILL_IP_OPTIONS, which appears to be undefined by default. adalah untuk tidakmenandai KILL_IP_OPTIONS, yang tampaknya tidak terdefinisi secara default. This passes through IP options and allows the called daemon to handle them accordingly. Ini melewati opsi IP dan memungkinkan daemon dipanggil untuk menangani mereka sesuai.
[eminimall] [Eminimall]
Disabling Source Routing Menonaktifkan Sumber Routing
~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~
is to undefine KILL_IP_OPTIONS, which appears to be undefined by default. adalah untuk tidakmenandai KILL_IP_OPTIONS, yang tampaknya tidak terdefinisi secara default. This passes through IP options and allows the called daemon to handle them accordingly. Ini melewati opsi IP dan memungkinkan daemon dipanggil untuk menangani mereka sesuai.
[eminimall] [Eminimall]
Disabling Source Routing Menonaktifkan Sumber Routing
~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~
We believe the following information to be accurate, however it is not guaranteed. Kami percaya bahwa informasi berikut harus akurat, namun tidak dijamin.
— Cisco - Cisco
To have the router discard any datagram containing an IP source route option issue the following command: Untuk memiliki router membuang datagram berisi IP sumber rute pilihan perintah berikut:
no ip source-route ada sumber ip-route
This is a global configuration option. Ini adalah opsi konfigurasi global.
— NetBSD - NetBSD
Versions of NetBSD prior to 1.2 did not provide the capability for disabling source routing. Other versions ship with source routing ENABLED by default. NetBSD versi sebelum 1.2 tidak memberikan kemampuan untuk menonaktifkan sumber routing. Versi lain kapal dengan routing ENABLED secara default. We do not know of a way to prevent NetBSD from accepting source routed packets. Kita tidak tahu cara untuk mencegah NetBSD dari menerima paket source routed.
NetBSD systems, however, can be configured to prevent the forwarding of packets when acting as a gateway. sistem NetBSD, bagaimanapun, dapat dikonfigurasi untuk mencegah penyampaian paket saat bertindak sebagai gateway.
NetBSD systems, however, can be configured to prevent the forwarding of packets when acting as a gateway. sistem NetBSD, bagaimanapun, dapat dikonfigurasi untuk mencegah penyampaian paket saat bertindak sebagai gateway.
To determine whether forwarding of source routed packets is enabled, issue the following command: Untuk menentukan apakah penyampaian paket source routed diaktifkan, mengeluarkan perintah berikut:
# sysctl net.inet.ip.forwarding # Net.inet.ip.forwarding sysctl
# sysctl net.inet.ip.forwsrcrt # Net.inet.ip.forwsrcrt sysctl
# sysctl net.inet.ip.forwsrcrt # Net.inet.ip.forwsrcrt sysctl
The response will be either 0 or 1, 0 meaning off, and 1 meaning it is on. Tanggapan akan 0 atau 1, 0 berarti off, dan 1 artinya ada di.
Forwarding of source routed packets can be turned off via: Penyampaian paket source routed dapat dimatikan melalui:
# sysctl -w net.inet.ip.forwsrcrt=0 # Sysctl-w net.inet.ip.forwsrcrt = 0
Forwarding of all packets in general can turned off via: Penyampaian semua paket pada umumnya dapat dimatikan melalui:
# sysctl -w net.inet.ip.forwarding=0 # Sysctl-w net.inet.ip.forwarding = 0
— BSD/OS - BSD / OS
BSDI has made a patch availible for rshd, rlogind, tcpd and nfsd. This patch is availible at: BSDI telah membuat sebuah patch availible untuk rshd, rlogind, tcpd dan nfsd Patch ini availible di.:
ftp://ftp.bsdi.com/bsdi/patches/patches-2.1 ftp://ftp.bsdi.com/bsdi/patches/patches-2.1
OR via their patches email server <patches@bsdi.com> ATAU melalui email mereka <patches@bsdi.com> patch server
The patch number is Nomor patch
U210-037 (normal version) U210-037 (versi normal)
D210-037 (domestic version for sites running kerberized version) D210-037 (versi domestik untuk situs menjalankan versi kerberized)
U210-037 (normal version) U210-037 (versi normal)
D210-037 (domestic version for sites running kerberized version) D210-037 (versi domestik untuk situs menjalankan versi kerberized)
BSD/OS 2.1 has source routing disabled by default BSD / OS 2.1 memiliki sumber routing dinonaktifkan secara default
Previous versions ship with source routing ENABLED by default. As far as we know, BSD/OS cannot be configured to drop source routed packets destined for itself, however can be configured to prevent the forwarding of such packets when acting as a gateway. Versi sebelumnya kapal dengan routing ENABLED secara default. Sejauh yang kita ketahui, BSD / OS tidak dapat dikonfigurasi untuk drop paket source routed ditakdirkan untuk dirinya sendiri, namun dapat dikonfigurasi untuk mencegah penyampaian paket tersebut ketika bertindak sebagai gateway.
To determine whether forwarding of source routed packets is enabled, issue the following command: Untuk menentukan apakah penyampaian paket source routed diaktifkan, mengeluarkan perintah berikut:
# sysctl net.inet.ip.forwarding # Net.inet.ip.forwarding sysctl
# sysctl net.inet.ip.forwsrcrt # Net.inet.ip.forwsrcrt sysctl
# sysctl net.inet.ip.forwsrcrt # Net.inet.ip.forwsrcrt sysctl
The response will be either 0 or 1, 0 meaning off, and 1 meaning it is on. Tanggapan akan 0 atau 1, 0 berarti off, dan 1 artinya ada di.
Forwarding of source routed packets can be turned off via: Penyampaian paket source routed dapat dimatikan melalui:
# sysctl -w net.inet.ip.forwsrcrt=0 # Sysctl-w net.inet.ip.forwsrcrt = 0
Forwarding of all packets in general can turned off via: Penyampaian semua paket pada umumnya dapat dimatikan melalui:
# sysctl -w net.inet.ip.forwarding=0 # Sysctl-w net.inet.ip.forwarding = 0
— OpenBSD - OpenBSD
Ships with source routing turned off by default. To determine whether source routing is enabled, the following command can be issued: Kapal dengan sumber routing dimatikan secara default Untuk menentukan apakah routing diaktifkan, perintah berikut dapat diterbitkan.:
# sysctl net.inet.ip.sourceroute # Net.inet.ip.sourceroute sysctl
The response will be either 0 or 1, 0 meaning that source routing is off, and 1 meaning it is on. If source routing has been turned on, turn off via: Tanggapan akan 0 atau 1, 0 berarti bahwa routing tidak aktif, dan 1 berarti ada di Jika routing telah diaktifkan, matikan melalui.:
# sysctl -w net.inet.ip.sourceroute=0 # Sysctl-w net.inet.ip.sourceroute = 0
This will prevent OpenBSD from forwarding and accepting any source routed packets. Hal ini akan mencegah OpenBSD dari forwarding dan menerima sumber routed paket.
— FreeBSD - FreeBSD
Ships with source routing turned off by default. To determine whether source routing is enabled, the following command can be issued: Kapal dengan sumber routing dimatikan secara default Untuk menentukan apakah routing diaktifkan, perintah berikut dapat diterbitkan.:
# sysctl net.inet.ip.sourceroute # Net.inet.ip.sourceroute sysctl
The response will be either 0 or 1, 0 meaning that source routing is off, and 1 meaning it is on. If source routing has been turned on, turn off via: Tanggapan akan 0 atau 1, 0 berarti bahwa routing tidak aktif, dan 1 berarti ada di Jika routing telah diaktifkan, matikan melalui.:
# sysctl -w net.inet.ip.sourceroute=0 # Sysctl-w net.inet.ip.sourceroute = 0
— Linux - Linux
Linux by default has source routing disabled in the kernel. Linux secara default memiliki routing dinonaktifkan di kernel.
— Solaris 2.x - Solaris 2.x
Ships with source routing enabled by default. Solaris 2.5.1 is one of the few commercial operating systems that does have unpredictable sequence numbers, which does not help in this attack. Kapal dengan sumber routing diaktifkan secara default. Solaris 2.5.1 adalah salah satu dari beberapa sistem operasi komersial yang tidak memiliki nomor urut tidak terduga, yang tidak membantu dalam serangan ini.
We know of no method to prevent Solaris from accepting source routed connections, however, Solaris systems acting as gateways can be prevented from forwarding any source routed packets via the following commands: Kami tahu tidak ada metode untuk mencegah Solaris dari source routed menerima koneksi, bagaimanapun, sistem Solaris bertindak sebagai gateway dapat dicegah dari forwarding sumber paket routed melalui perintah berikut:
# ndd -set /dev/ip ip_forward_src_routed 0 # NDD-set / dev / ip ip_forward_src_routed 0
You can prevent forwarding of all packets via: Anda dapat mencegah penyampaian semua paket melalui:
# ndd -set /dev/ip ip_forwarding 0 # NDD-set / dev / ip ip_forwarding 0
These commands can be added to /etc/rc2.d/S69inet to take effect at bootup. Perintah-perintah ini dapat ditambahkan ke / etc/rc2.d/S69inet akan berlaku pada bootup.
— SunOS 4.x - SunOS 4.x
We know of no method to prevent SunOS from accepting source routed connections, however a patch is availible to prevent SunOS systems from forwarding source routed packets. Kami tahu tidak ada metode untuk mencegah SunOS dari menerima koneksi source routed, tetapi patch adalah availible untuk mencegah sistem SunOS dari source routed paket forwarding.
This patch is availible at: Patch ini availible di:
ftp://ftp.secnet.com/pub/patches/source-routing-patch.tar.gz ftp://ftp.secnet.com/pub/patches/source-routing-patch.tar.gz
To configure SunOS to prevent forwarding of all packets, the following command can be issued: Untuk mengkonfigurasi SunOS untuk mencegah penyampaian semua paket, perintah berikut dapat diterbitkan:
# echo “ip_forwarding/w 0″ | adb -k -w /vmunix /dev/mem # Echo "ip_forwarding / w 0" | adb-k-w / vmunix / dev / mem
# echo “ip_forwarding?w 0″ | adb -k -w /vmunix /dev/mem # Echo "ip_forwarding w 0?" | Adb-k-w / vmunix / dev / mem
# echo “ip_forwarding?w 0″ | adb -k -w /vmunix /dev/mem # Echo "ip_forwarding w 0?" | Adb-k-w / vmunix / dev / mem
The first command turns off packet forwarding in /dev/mem, the second in /vmunix. Perintah pertama mematikan forwarding paket di / dev / mem, kedua di / vmunix.
— HP-UX - HP-UX
HP-UX does not appear to have options for configuring an HP-UX system to prevent accepting or forwarding of source routed packets. HP-UX has IP forwarding turned on by default and should be turned off if acting as a firewall. To determine whether IP forwarding is currently on, the following HP-UX tampaknya tidak memiliki pilihan untuk mengkonfigurasi sistem HP-UX untuk mencegah menerima atau penyampaian paket source routed HP-UX IP forwarding telah diaktifkan secara default. Dan harus dimatikan jika bertindak sebagai firewall. Untuk menentukan apakah IP forwarding saat ini, berikut
command can be issued: perintah dapat diterbitkan:
command can be issued: perintah dapat diterbitkan:
# adb /hp-ux # Adb / hp-ux
ipforwarding?X <- user input ipforwarding X <-? input pengguna
ipforwarding: ipforwarding:
ipforwarding: 1 ipforwarding: 1
# #
ipforwarding?X <- user input ipforwarding X <-? input pengguna
ipforwarding: ipforwarding:
ipforwarding: 1 ipforwarding: 1
# #
A response of 1 indicates IP forwarding is ON, 0 indicates off. HP-UX can be configured to prevent the forwarding of any packets via the following commands: Respon dari 1 menunjukkan IP forwarding ON, 0 menunjukkan off HP-UX dapat dikonfigurasi untuk mencegah penyampaian setiap paket melalui perintah berikut.:
# adb -w /hp-ux /dev/kmem # Adb-w / hp-ux / dev / kmem
ipforwarding/W 0 ipforwarding / W 0
ipforwarding?W 0 ipforwarding? W 0
^D ^ D
# #
ipforwarding/W 0 ipforwarding / W 0
ipforwarding?W 0 ipforwarding? W 0
^D ^ D
# #
— AIX - AIX
AIX cannot be configured to discard source routed packets destined for itself, however can be configured to prevent the forwarding of source routed packets. AIX tidak dapat dikonfigurasi untuk membuang paket-paket source routed ditakdirkan untuk dirinya sendiri, namun dapat dikonfigurasi untuk mencegah penyampaian paket source routed. IP forwarding and forwarding of source routed packets specifically can be turned off under AIX via the following commands: IP forwarding dan penyampaian paket source routed khusus dapat dimatikan bawah AIX melalui perintah berikut:
To turn off forwarding of all packets: Untuk menonaktifkan penyampaian semua paket:
# /usr/sbin/no -o ipforwarding=0 # / Usr / sbin / tidak-o ipforwarding = 0
To turn off forwarding of source routed packets: Untuk menonaktifkan penyampaian paket source routed:
# /usr/sbin/no -o nonlocsrcroute=0 # / Usr / sbin / tidak-o nonlocsrcroute = 0
Note that these commands should be added to /etc/rc.net Perhatikan bahwa perintah ini harus ditambahkan ke / etc / rc.net
If shutting off source routing is not possible and you are still using services which rely on IP address authentication, they should be disabled immediately (in.rshd, in.rlogind). in.rlogind is safe if .rhosts and Jika mematikan routing tidak mungkin dan anda masih menggunakan jasa yang mengandalkan otentikasi alamat IP, mereka harus dinonaktifkan segera (in.rshd, in.rlogind) in.rlogind aman jika. Rhosts dan.
/etc/hosts.equiv are not used. / Etc / hosts.equiv tidak digunakan.
/etc/hosts.equiv are not used. / Etc / hosts.equiv tidak digunakan.
0 komentar:
Posting Komentar