Ping of Death door masked IPs - Privacy en beveiliging

vrijdag 16 februari 2007 16:02

Acties:

Research Before You Buy

Topicstarter

Mijn eerste topique in dit subje

Mijn stage begint goed, er worden op een netwerk dat 'wij' onderhouden Ping of Death aanvallen uitgevoerd door computer 172.16.7.34. Tenminste, volgens de Firewall wel.

Er hebben in het verleden trojans (Small.dds) op de PC gezeten, maar die zijn weg, en na een AVG Spyware scan bleek de PC clean te zijn. Toen wij de PC uit hadden geschakeld kwamen de aanvallen opeens van zijn buurman, 172.16.7.38. Dit bevestigt het vermoeden dat de aanvallen weleens uit een PC kan komen die is gemasked, en IPs gebruikt van PCs die op dat moment aanstaan om zichzelf te verbergen. De aanvallen zijn gericht op de DC in het netwerk. De aanvallen worden intern uitgevoerd, maar vanwaar?

Hoe kan ik erachter komen wie de werkelijke source is? Alle hulp is welkom, vooral aan het einde van de vrijdag

mag ik een kans mijn topic te verbeteren voordat het slotje komt? ik heb weinig ervaring, please bare with me

[ Voor 13% gewijzigd door Gamo op 18-02-2007 11:02 ]

zaterdag 17 februari 2007 11:22

Acties:

Mindsurfer

Ping of death?, bedoel je soms een DoS, of iets met een synflood of tcp flood.

Ping of death is redelijk achterhaald denk ik.

De ping of death was aan het eind van de 20e eeuw een manier om computers plat te leggen. Een ping wordt volgens het protocol verstuurd als een enkel TCP/IP-pakket (met een maximale grootte van 65.536 bytes). Bij een ping of death wordt gebruikgemaakt van de mogelijkheid van TCP/IP om informatie over meerdere pakketten te verdelen, en wordt een grotere ping over meerdere pakketten verstuurd. Besturingssystemen van voor 1998 hielden vaak geen rekening met deze mogelijkheid, en een dergelijke ping veroorzaakte een zogenaamde 'bufferoverloop' die in veel gevallen leidde tot een crash van de computer.

zaterdag 17 februari 2007 16:41

Acties:

alt-92

ye olde farte

Gamo schreef op vrijdag 16 februari 2007 @ 16:02:
Mijn stage begint goed, er worden op een netwerk dat 'wij' onderhouden Ping of Death aanvallen uitgevoerd door computer 172.16.7.34. Tenminste, volgens de Firewall wel.

More likely dat er spoofed IPs worden gebruikt.
verkeer van buitenaf met een 172.16.7.x adres zou noooooit mogen voorkomen, namelijk.

Richt je firewalls eens beter in?
zoals je nu al gemerkt hebt is het grootste probleem niet meer van buiten naar binnen, maar juist interne hosts.
Dat betekent dat je ook uitgaand verkeer hoort te filteren met je ACLs.

Hoe kan ik erachter komen wie de werkelijke source is? Alle hulp is welkom, vooral aan het einde van de vrijdag

is dat 172.16.7.x segment ook daadwerkelijk bij jullie intern in gebruik, of niet?

[ Voor 16% gewijzigd door alt-92 op 17-02-2007 16:44 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 18 februari 2007 11:01

Acties:

Gamo

Research Before You Buy

Topicstarter

Ik was het vergeten te zeggen denk ik, maar inderdaad, .34 en .38 zijn interne clients. De PoD aanvallen gaan allemaal richting de Domain Controller (192.168.1.11 volgens mij).

Het probleem is inderdaad intern, de firewall blokeert de aanval naar de DC, maar dat is niet de juiste oplossing iig.

Ik denk ook dat het IP wordt gespoofed, en alleen actieve IPs worden gebruikt. De vraag is hoe ik erachter kom wélke client werkelijk de aanvallen uitvoert. Daar moet een programma voor zijn te vinden.

Kent iemand iets dergelijks?

zondag 18 februari 2007 12:40

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Automatisch? Ik niet. Maar kijk eens met (bijv) wireshark of er wat interessants is te zien.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zondag 18 februari 2007 12:51

Acties:

GlowMouse

F_J_K schreef op zondag 18 februari 2007 @ 12:40:
Automatisch? Ik niet. Maar kijk eens met (bijv) wireshark of er wat interessants is te zien.

Wireshark inderdaad, en met een beetje geluk komt het MAC-adres wel overeen met dat van een bekende computer. Wanneer dat niets oplevert en je ook via je switches geen belangrijke gegevens uit kunt lezen, denk ik dat je een keer aan het eind van een dag één voor één (een serie) computers uit moet zetten om te kijken of het probleem daarmee ophoudt. Over hoeveel computers in het netwerk gaat het eigenlijk?

zondag 18 februari 2007 21:49

Acties:

Gamo

Research Before You Buy

Topicstarter

Iets van 150+ PCs en een niet al te amateuristische server ruimte. PCs met de hand aan en uitzetten is niet echt reeel. Ik zal Wireshark eens bevinden

Bedankt

maandag 19 februari 2007 14:35

Acties:

Gamo

Research Before You Buy

Topicstarter

Ok, ik heb Wireshark geinstalleerd en ik zoek eigenlijk iemand met ervaring hierin.

Ik heb het nog niet lokaal op de .34 computer geinstalleerd, want dit is een werkstation van een werknemer (ja echt waar) en die is aan het werk (ook waar).

Wanneer ik zelf het programma draai, dan is vrijwel alles wat via het netwerk naar mij toe wordt gestuurd, getagged als 'ZyxtelCom_79' oftwel de Zyxtel Firewall.

Ik denk wanneer ik dit lokaal ga installeren, ik dit ook ga zien, en dus nog niet weet wie de werkelijke pakketten verzender is. Hoe kom ik hier achter? Zijn hier systeembeheerders die ervaring hebben met gespoofde IPs?

dinsdag 20 februari 2007 11:11

Acties:

Gamo

Research Before You Buy

Topicstarter

Na vele uren/dagen onderzoek over PoDs en dergelijke, kan het best een aanval van buiten komen, maar met een intern gespoofed adres.

Ik stel voor om alle interne IP die van buitenaf komen te blokkeren op de firewall. Is dit the way to go, of zijn er betere oplossingen tegen deze aanvallen? Ping uitschakelen is geen optie, vanwege andere netwerk apparaten.

dinsdag 20 februari 2007 11:30

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Kan de Zyxtel niet (voldoende) loggen dan?

Maar standaard verkeer van buiten blokkeren en inbound alleen expliciet bepaalde poorten openzetten voor bepaalde machines, is helemaal niet zo gek. IMHO dan

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 20 februari 2007 11:35

Acties:

Gamo

Research Before You Buy

Topicstarter

Verkeer van buiten, met een intern IP adres bedoel je dan denk ik? En vallen de tunnels in een VPN verbinding, onder WAN rules?

De zyxtel logt het Source adres (.36) en de Destination (Domain Controller) en zegt wat voor aanval het is. Alleen jammer dat het IP gespoofed is. Worden er met IP spoofs ook MAC adressen gespoofed? Als ik dan de MAC van de aanvaller heb gevonden, kan ik die blocken. Maar ergens lijkt mij dit te optimistisch

dinsdag 20 februari 2007 11:50

Acties:

leuk_he

1. Controleer de kabel!

Gamo schreef op dinsdag 20 februari 2007 @ 11:11:
Na vele uren/dagen onderzoek over PoDs en dergelijke, kan het best een aanval van buiten komen, maar met een intern gespoofed adres.

Kan, maar aangezien van buitenaf niet gedetecteerd kan worden dat er binnen een pc is uitgezet is dat onwaarschijnlijk. bovendien is 172.16 .* een rfc 1918 adres dat niet over internet gerouteerd kan worden.

Heb je je sniffer (ken wireshark niet...) kunnen configureren zodat je gezine hebt vanaf welke MAC de PoD komt?

Ik stel voor om alle interne IP die van buitenaf komen te blokkeren op de firewall.

kan geen kwaad om alle rfc 1918 adressen op de router van buiten naar binnen te blocken. als dat al niet standaard is gebeurd.

Is dit the way to go, of zijn er betere oplossingen tegen deze aanvallen? Ping uitschakelen is geen optie, vanwege andere netwerk apparaten.

echte bron vinden? kijk wie dat heeft geinstaleerd en die op zijn flikker geven?

waaruit leid je overingens af dat de server PoD krijgt? recente windows versies kunnen daar gewoon tegen. wat zegt die firewall?

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

dinsdag 20 februari 2007 11:53

Acties:

Gamo

Research Before You Buy

Topicstarter

Zyxtel zegt:
ping of death. ICMP(Echo) Repeated 2
S: 172.16.7.38
D: 172.16.1.12

Er zitten VPN Tunnels door de vestigingen heen, ik zelf zit op een ICT kantoor met een tunnel en ik zie de logs. Ik weet niet hoe ik al het verkeer dat over de tunnels gaat kan sniffen vanaf hier.

Nu is het als volgt ingesteld:
Rule settings:
WLAN1 to LAN
172.16.7.0 ~ 172.16.7.255
Alle ECHO requests droppen

Update:
Aanvallen komen nog steeds. Nu van 172.16.7.34. Kan ik nu concluderen dat het niet van buiten komt, maar ergens van binnen?

[ Voor 14% gewijzigd door Gamo op 20-02-2007 11:55 ]

dinsdag 20 februari 2007 11:56

Acties:

CyBeR

💩

leuk_he schreef op dinsdag 20 februari 2007 @ 11:50:
[...]

bovendien is 172.16 .* een rfc 1918 adres dat niet over internet gerouteerd kan worden.

Alles kan. Het wordt alleen niet gedaan: packets naar rfc1918 adressen zullen nooit het netwerk van je ISP verlaten (en die kunnen ze best intern voor hun routing gebruiken). Maar: packets met rfc1918 afzenderadressen zijn best mogelijk. Nog lang niet elke ISP heeft daar filters voor.

RFC1918-adressen die van je externe interface komen in je firewall blokkeren lijkt mij een buitengewoon uitstekend idee. Er is vrijwel geen enkele mogelijkheid dat dat packets zijn die je wilt ontvangen.

Aanvallen komen nog steeds. Nu van 172.16.7.34. Kan ik nu concluderen dat het niet van buiten komt, maar ergens van binnen?

Alleen a.d.h.v. het MAC-adres . Als dat van je router is komt 't van buiten, anders van binnen. (Er van uitgaande dat je een direct-bereikbare host hebt. Achter NAT zonder forwards is 't kansloos en mag je er van uitgaan dat 't van binnen komt.)

[ Voor 21% gewijzigd door CyBeR op 20-02-2007 11:58 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 20 februari 2007 12:03

Acties:

Gamo

Research Before You Buy

Topicstarter

Op welke manier kan ik de pakketten bekijken die onder de noemer 172.16.7.34 richting de DC gaan. Hier op het kantoor zit ik achter een Firewall, en alles wat binnenkomt op mijn sniffer heeft het IP van de Firewall aangenomen.

Waar zou ik het programma moeten installeren. Het kan best gek, zoals op de PC met dat IP zelf bijvoorbeeld.

dinsdag 20 februari 2007 12:06

Acties:

CyBeR

💩

Op de target host. Anders krijg je die packets niet binnen. De enige uitzonderingen daarop zijn:

• een netwerk met hubs ipv switches (ik hoop niet dat je dat hebt met 150 pc's

)
• een netwerk met switches die port mirroring ondersteunen

In dat laatste geval, stel een mirror van de poort van je DC in op een ongebruikte poort en hang daar een pc aan met een netwerksniffer.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 20 februari 2007 12:24

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Goed punt over het switchen van IP en dat er dus (ook) intern iets fout moet zitten.

Loggen: zie ook de handleiding van Wireshark

Pas op! De helft van deze methoden wil je niet zomaar gebruiken in een draaiend netwerk zolang je niet heel goed weet wat je doet. En dan nog kunnen / gaan de mensen er afhankelijk van de gebruikte methode last van hebben als je niet op past. Een en ander natuurlijk alleen doen als tenminste de netwerkbeheerder er weet van heeft (als jij niet de enige bent).

Gaat het ook 's avonds of in het weekend door en zijn er dan geen mensen aan het werk? Dan zou je het ook met de hand kunnen gaan checken door segment voor segment even af te koppelen om te zien of het opeens ophoudt. En dan in dat verdachte segment of alles loggen (als het maar een paar PC's zijn) of steeds weer de helft blokkeren. Maar op zoek gaan naar het MAC adres van de verstuurder is wellicht handiger

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 20 februari 2007 12:39

Acties:

Gamo

Research Before You Buy

Topicstarter

Ik denk (weet niet helemaal zeker) maar dat de pakketten niet op de target (DC) aankomen, maar tegen worden gehouden door de Zygate ZyWALL. Veel informatie geeft de Firewall niet over de afzender. Ik ga de handleiding bekijken/

Bedankt voor jullie support!

update:
Ik heb inmiddels de handleiding doorgelezen, en het aflezen van de packet info heeft nogal wat voeten in de aarde. Een hub tussen de switch en de DC plaatsen, en daar mijn laptop aanhangen zou het makkelijkste te realiseren zijn denk ik, maar alsnog is het vervelend. En ik weet nieteens of het wel door de Firewall heen komt, de pakketten.

Waren er nog andere manieren om achter het MAC van de zender te komen, naast PCs uitschakelen?

[ Voor 47% gewijzigd door Gamo op 20-02-2007 13:17 ]

dinsdag 20 februari 2007 13:32

Acties:

GlowMouse

Gamo schreef op dinsdag 20 februari 2007 @ 12:39:
Waren er nog andere manieren om achter het MAC van de zender te komen, naast PCs uitschakelen?

Het MAC-adres van de verzender (overigens ook van de ontvanger) staat in het pakketje. Op dit plaatje staat het op de tweede grijze regel rond het midden van het scherm achter Ethernet II.
Heb je eenmaal het MAC-adres, kun je kijken naar legitiem verkeer dat van hetzelfde MAC-adres komt. Hier staat dan het IP-adres bij van de computer die je zoekt. Wanneer het MAC-adres gelijk is aan dat van je default gateway, dan komt het verkeer van buiten.

dinsdag 20 februari 2007 13:41

Acties:

leuk_he

1. Controleer de kabel!

Gamo schreef op dinsdag 20 februari 2007 @ 12:39:
Waren er nog andere manieren om achter het MAC van de zender te komen, naast PCs uitschakelen?

De betreffede tabel in het device bekijken. Geen idee of dat betrouwbaar is.

op een pc kan dat met "arp -a"

wellicht heeft de zyxel ook een mogelijkheid de arp table te bekijken. (via command interface)

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

donderdag 22 februari 2007 15:08

Acties:

Gamo

Research Before You Buy

Topicstarter

Ben ik weder!

We hebben uiteindelijk toch echt alle stekkers uit de lokale hub getrokken, de PC die zat aan te vallen bleek gelukkig toch lokaal te zijn. We hebben hem een vast IP gegeven van .99 en ja hoor, de aanvallen komen nu van .99 xD

HDD geformateerd en Windows eropnieuw opgezet, maar de aanvallen gaan door. Als ik als Admin inlog gebeurde er niks, maar wanneer ik als de gebruiker die bij die PC hoort inlog, dan begint het weer.

Zou het kunnen dat de trojan/bot op het netwerk staat? Er wordt niets geregistreerd verder. Waar zou ik nu kunnen zoeken.. ervaringen?

donderdag 22 februari 2007 15:29

Acties:

Gerrit Jan

Misschien is een een bot oid die wordt opgestart in de gebruiker zijn eigen profiel, kijk het profiel eens na van de gebruiker of maak voor hem een nieuw profiel aan.

donderdag 22 februari 2007 16:23

Acties:

leuk_he

1. Controleer de kabel!

Als je de pc weet te achterhalen dan kun je toch makkelijk de processen bekijken

Beetje logica moet het niet zo moeilijk zijn het proces te achterhalen.

fakete de pc nou zijn ip of verhuisde het ping proces gewoon mee met de gebruiker ?

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

donderdag 22 februari 2007 21:36

Acties:

alt-92

ye olde farte

Gamo schreef op dinsdag 20 februari 2007 @ 11:11:
Ik stel voor om alle interne IP die van buitenaf komen te blokkeren op de firewall. Is dit the way to go, of zijn er betere oplossingen tegen deze aanvallen? Ping uitschakelen is geen optie, vanwege andere netwerk apparaten.

Ik ben het eens met CyBeR.

Da's een van de 5 standaard firewall rules die je hoort te hebben.
Er is geen enkele reden te verzinnen waarom een packet van 172.16.x.x van buitenaf door je firewall zou moeten.

Ondanks dat je nu de oorzaak al lokaal hebt weten vast te stellen

[ Voor 8% gewijzigd door alt-92 op 22-02-2007 21:39 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device