---

I loggen fra en sniffer har jeg fundet en forespørgsel på nbns fra
61.179.13.xxx til 255.255.255.255, efterfølgende er der en *masse* pc'er på
det interne net der har svaret tilbage til 61.179.13.xxx.
Svaret ligner noget á la:

Navn Type Status
---------------------------------------------
Pxx <00> UNIQUE Registreret
Bxx <00> GROUP Registreret
Pxx <03> UNIQUE Registreret
Pxx <20> UNIQUE Registreret
Bxx <1E> GROUP Registreret
Mxx <42> GROUP Registreret
Mxx <42> UNIQUE Registreret
SP <03> UNIQUE Registreret

MAC-Adresse = xx-xx-xx-xx-xx-xx

dvs. det ligner et svar på nbtstat-kommandoen...

Det interne netværk kan (burde) ikke nåes fra internettet, da forbindelsen
nåes via en router med dynamisk NAT på.

Hvordan kan forespørgslen fra 61.179.13.xxx nå det interne net???

/Jens Ulrik

---

Jens U. K. wrote:

>Hvordan kan forespørgslen fra 61.179.13.xxx nå det interne net???

På grund af en "source routning".

Du har sikkert hørt om at Internettet er sikret mod et enkelt angreb,
fordi pakker bare kan tage en anden vej uden om det beskadigede område.
Men hvordan ved pakkerne hvilken vej de skal tage?
Det ved routerne. Hver router har en tabel over den smarteste måde at
komme fra sig selv til en anden router på. Men der en mulighed for selv
at specificere hvilken vej man vil have en pakke skal tage. F.eks. for
at teste nogle bestemte routere.
Hvis en person så smider en pakke mod 10.0.12.43 (lad os sige det er en
adresse på dit netværk) med en "route bit" sat til at være din routers
IP, direkte til din router, kommer den ind på netværket og kan så bruges
til at scanne et internt netværk som der åbenbart er sket i dit
tilfælde.

Opgrader din router software eller sæt den option der slår source
routning fra.

--
Nescafe - because your pets deserve the best!

---

Tak for svaret Christian.

"Christian Andersen" <hypvxo28u85zyj001@sneakemail.com> wrote in message
news:3b7d50b9$0$76973$edfadb0f@dspool01.news.tele.dk...
> Jens U. K. wrote:
>
> >Hvordan kan forespørgslen fra 61.179.13.xxx nå det interne net???
>
> På grund af en "source routning".
>
> Du har sikkert hørt om at Internettet er sikret mod et enkelt angreb,
> fordi pakker bare kan tage en anden vej uden om det beskadigede område.
> Men hvordan ved pakkerne hvilken vej de skal tage?
> Det ved routerne. Hver router har en tabel over den smarteste måde at
> komme fra sig selv til en anden router på. Men der en mulighed for selv
> at specificere hvilken vej man vil have en pakke skal tage. F.eks. for
> at teste nogle bestemte routere.
> Hvis en person så smider en pakke mod 10.0.12.43 (lad os sige det er en
> adresse på dit netværk) med en "route bit" sat til at være din routers
> IP, direkte til din router, kommer den ind på netværket og kan så bruges
> til at scanne et internt netværk som der åbenbart er sket i dit
> tilfælde.
>
> Opgrader din router software eller sæt den option der slår source
> routning fra.
>
> --
> Nescafe - because your pets deserve the best!
>

Nu når man snakker om source routning, ringer der nogen klokker... svagt...
meget svagt faktisk!

For at være helt sikker på at jeg forstår spørger jeg om lidt mere:

Er det muligt, via ovennævnte metode, at bruge de services som er til
rådighed på den computer som har den pågældende interne IP-addr... Eks.:
Hvis nu der var installeret en iis-server på den pågældende computer og den
f.eks ikke var opdateret med nye patches og det dermed var muligt at udnytte
en kendt fejl (á la den code red bruger), ville det så være muligt for en
ekstern computer, via ovennævnte scenario, at udnytte fejlen til at opnå
kontrol over computeren?

Har jeg forstået det ret at selv om routeren er sat op til at køre med
dynamisk NAT, som skulle gøre at der *kun* kan startes sessioner fra det
interne net, så kan dette omgås ved at udnytte source routning; og derfra
til at udnytte services på det interne net slet og ret er et spørgsmål om at
vide hvilke services der er tilgængelige på de forskellige interne
IP-addr.?! (som *let* kan findes ved scanning

Det lyder ikke godt!

Er der nogen der tilfældigvis lige ved om en Cisco1600 router har mulighed
for at slå source routning fra?

/Jens Ulrik

---

Jens Ulrik Kjerrumgaard wrote:

>Tak for svaret Christian.

Det var så lidt.

>Er det muligt, via ovennævnte metode, at bruge de services som er til
>rådighed på den computer som har den pågældende interne IP-addr...

Citat fra "TCP/IP Network Administration 2nd Edition" side 109:

"[...] However, the problem with source routes is that they are used by
spoofers. Spoofers are network intruders who pretend to be a system they
are not. For example, a spoofer might pretend to be a computer on one of
your enterprise subnets. By using source routing, the spoofer could
cause your system to route packets off of your enterprise net that you
thought were going to a local system."

Så det kan altså godt lade sig gøre.

>ekstern computer, via ovennævnte scenario, at udnytte fejlen til at opnå
>kontrol over computeren?

Ja.

>Har jeg forstået det ret [...]

>Det lyder ikke godt!

Overhovedet ikke!

>Er der nogen der tilfældigvis lige ved om en Cisco1600 router har mulighed
>for at slå source routning fra?

Desværre

--
Nescafe - because your pets deserve the best!

---

"Christian Andersen" <hypvxo28u85zyj001@sneakemail.com> skrev i en
meddelelse news:3b855c2c$0$248$edfadb0f@dspool01.news.tele.dk...
> >...
> >Er der nogen der tilfældigvis lige ved om en Cisco1600 router har
mulighed
> >for at slå source routning fra?
>
> Desværre
> ...
Tak for den deprimerende oplysning.
Jeg vil nu starte en ny tråd vedr. evt fjernelse af source routing vha. en
pix.

/Jens Ulrik

---

On Thu, 23 Aug 2001 21:11:14 +0200, "Jens Ulrik Kjerrumgaard"
<jk.no@spam.please.developit.dk> wrote:

> Er der nogen der tilfældigvis lige ved om en Cisco1600 router har mulighed
> for at slå source routning fra?

Det kan man. Se på 'no ip source-route'.

-A
--
http://www.hojmark.org/