Frage an die IT-Profis

[[SoE]tvzwirner]

Ein Bekannter von mir hat folgendes Problem/folgende Frage, wobei ich sagen muss, dass ich selber NULL Ahnung davon hab und deshalb die Frage hier mal so poste, wie er es mir aufgetragen hat:

"Wie muss ich mir ein IP-Datagramm mit fragmentiertem TCP-Header vorstellen? Und wie kann sowas geroutet werden? "

Kann mir da wer weiterhelfen oder paar Infos geben ??

Gruss und Danke !
TVZ

 

[ALCx]

Würde dir prinzipiell schon mal eine Suchmaschiene wie die hier empfehlen http://www.lycos.de/ ...da findest du schonmal zig Seiten über IP-Datagramm sowie TCP-Header...

Zur IP-Fragmentierung(was du wahrscheinlich gemeint hast):

"Ein einzelnes IP-Paket ist inklusive Header maximal 65'535 Bytes lang, Ethernet-Pakete können jedoch maximale 1'500 Bytes Daten übertragen. Grössere Pakete werden fragmentiert und beim Empfänger wieder defragmentiert, wobei die Zusammensetzung anhand eines Offset-Wertes erfolgt. Dies wird gemacht, um Netzwerkabschnitte zu überwinden, welche lediglich eine maximale Paketlänge unterstützen. Jedes Paketfragment erhält neben dem Offset-Wert auch noch eine Identifikationsnummer, aber nur das erste enthält den TCP-Header und damit die Portnummer. Dieser Offset-Wert bestimmt für jedes Fragment, wohin es gehört oder wohin es soll. Dadurch ist es möglich, dem letzten Fragment einen Offset zu geben, der inklusive Fragmentgrösse einen grösseren Wert als die maximalen 65'535 Bytes ergibt. Dieses übergrosse Ping-Paket erzeugt anschliessend einen Bufferoverflow. Dieser Angriff funktioniert nicht nur mit ICMP und Ping, sondern auch mit UDP und TCP. Obwohl ein ordentlicher Ping-Befehl keine Pakete grösser als 65'507 Bytes (65'535 Bytes abzüglich 20 BytesIP-Header und 8 Bytes ICMP-Header) zulässt, bot bei den ersten Versionen von Windows 95 (a und b) der dort implementiertePing-Befehl das entsprechende Feature in Form eines Parameters."

Ein Sniffer kann Pakete mit fragmentiertem TCP-Header entdecken. Darüber hinaus besteht auch die Möglichkeit, den Router so zu konfigurieren, daß er Pakete mit fragmentierten Headern ablehnt.

 

[[SoE]tvzwirner]

Danke AlCx

Wie gesagt, ICH such darüber nix, ich werd das weiterleiten mit der Suchmaschine, dachte aber, mein Kollege hätte das vorher vielleicht mal gemacht..

Also danke erstmal

Gruss

 

[ALCx]

Da fällt mir grade noch was ein...das mit dem fragmentierten TCP Header hing irgendwie mit DoS-Attacken auf Server zusammen...glaube mich dran zu erinnern das bei älteren Betriebssystemen diese dadurch abgeschossen werden konnten...weil diese damit nicht umgehen konnten..keine Garantie darauf . Siehe auch letzten Absatz 1.Kommentar von mir...das ist vielleicht schon des Rätsels Lösung und war damit gemeint .