Re: kleines netzwerk tool

From: Bernd Walter <ticso(at)cicely12.cicely.de>
Date: Wed, 24 Jan 2007 11:20:44 +0100

On Wed, Jan 24, 2007 at 10:39:58AM +0100, Marian Hettwer wrote:
> Hi Bernd,
>
> On Wed, 24 Jan 2007 10:11:46 +0100, Bernd Walter <ticso(at)cicely12.cicely.de> wrote:
> > On Wed, Jan 24, 2007 at 08:59:12AM +0100, Marian Hettwer wrote:
> >> Hallo Liste,
> >>
> >> ich bin grade auf der Suche nach einem kleinen Tool welches ich
> >> einsetzen kann, um zum Beispiel einen connect auf einen Apachen zu
> >> machen, einen Request abzusetzen, aber dann die entsprechenden
> >> Rückgabewerte des apachen zu ignorieren.
> >> Im speziellen Fall möchte ich einen beliebigen String dem apachen vor
> >> die füße werfen und dann aber ignorieren, daß er die Verbindung
> > beenden
> >> möchte. Sprich die FIN's ignorieren.
> >> telnet reagiert leider aufs FIN und schließt die Verbindung
> >> netcat (nc) ebenfalls :(
> >
> > Nein - die beiden Programme machen das nicht, sondern der Kernel.
> > Jedenfalls teilweise.
> Oha.
>
> > Da die IIRC FIN-Packete auch Daten enthalten können wird es vermutlich
> > auch schwierig die per Packetfilter zu entsorgen.
> Packetfilter ist ein gutes Stichwort... ich müsste doch theoretisch (rein zum testen) FIN Pakete von dem spezifischen Host droppen können...
> Mit pf(4) könnte das vielleicht so aussehen:
>
> drop in on $interface proto tcp from $hostname flags F
>
> Mal gucken ob das tut...

Falls wirklich FIN kommen.

> Leider wird das mit accept_filter / accf_http nix, da die angegriffene Kiste eine Linux Maschine ist :(

So ein Pech aber auch...

> > Klingt für mich eher danach, als wenn sich die Protokolle einfach
> > nur verhacken, also keiner einen Abbau anfordert, ansonsten würde es
> > keinen Sinn ergeben, dass der Apache nach dem Timeout doch noch was
> > erreicht.
> >
> Da hast du recht.
> Aber wie sollte man es sonst erklären.
> Client schickt Request "FOOBAR" an den Apachen.
> Der Apache sagt "BAD REQUEST" und würde dann die Verbindung beenden.
> Das kann man nachstellen in dem man einfach ein "telnet $HOST 80" macht und "FOOBAR" eingibt. Ergebnis: Bad Request und Verbindung zu.

Ja - eigendlich schon, was dafür spricht, dass kein FOOBAR kommt,
jedenfalls keines mit Zeilenumbruch.

> Im Falle der Angreifer steht die Verbindung nach dem Bad Request noch fuer 5 Minuten (Timeout 300) in der Prozessliste.
> hm hm...

Kannst ja den Socket-Zustand problemlos per netstat -an ansehen.
Wenn der Apache die Verbindung auf TCP Ebene beenden will, dann wird
das am state erkennbar sein.

-- 
B.Walter                http://www.bwct.de      http://www.fizon.de
bernd(at)bwct.de           info(at)bwct.de            support(at)fizon.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 24 Jan 2007 - 11:22:23 CET

search this site