kiváncsi vagyok hogy mennyire találtak újdonságot, ez amit eddig publikáltak meg a beszélgetésben elhangzik bennem rég ismert bajokat sejtettnek fel, több publikáció és PoC volt rá 2000 tájékán.
Fyodor is ( nmap ) írt róla egy érdekes elemzést a múlthéten.
A lényeg hogy bizonyos módszerekkel fellehet zabálni a célpont erőforrásait ( buffer, kernel timer, etc ) és ezek régóta ismert alap problémák
küldesz egy raw SYN packetet a célpont felé userlandből, a cél válaszól egy SYN/ACK-el, nos mivel raw packetot küldtél el userlandből ezért az OS nemfogja érteni a SYN/ACKet így RST packetel válasszól, viszont ezt a RST packetet nemengeded ki ( tűzfal ), helyette generálsz egy ACK packetet a meglévő infokból, SYN + SYN/ACK (ISN) packet rendelkezésre áll, ezáltal totál legítim ACKet lehet visszaküldeni.
Nos innentől a kapcsolat validálva lett, és a cél OS már allokálja is neki az erőforrásokat, state bejegyzés stb ahogy kell.
Ezt még lehet fokozni, pl ha web szerver a célpont, olyan packetokat generálsz hogy pl file-t kérsz a servertől, természetesen ekkor ennek is erőforrásokat allokál a cél( bekerül a bufferbe az éppen átvitelre váró darab ) ezeket is elutasitod, ígyhát nemtudja felszabaditani megintcsak az erőforrásokat , valamit belekezd az újraküldésbe ((re-transmit)éljen a TCP ), milliónyi lehetőség.
Egy mai komolyabb tűzfallal sikeresen fel lehet venni a harcot: network quota, syndefender, re-transmit watcher etc
Fyodor írása:
http://insecure.org/stf/tcp-dos-attack-explained.html
régi hasznos infok:
http://seclists.org/bugtraq/2000/Apr/0152.html
http://www.security-express.com/archives/win2ksecadvice/2000-q4/0105.ht…
illetve TCP/IP rfc + doksik :-)
mindemellett meglátjuk hogy tényleg mire jutottak mit találtak...