[ Pobierz całość w formacie PDF ]

ów firewall. Gdy po czenie jest usuwane z tablicy stanów NAT (czy to z powodu
przekroczenia czasu po czenia, czy te wys ania przez jedn ze stron pakietu RST,
który nie dotar do odbiorcy), dalszy ruch sieciowy w ramach ko czonej sesji nie jest
ju przekazywany odbiorcy, lecz jest obs ugiwany bezpo rednio przez firewall.
Zgodnie ze specyfikacj TCP/IP odbiorca powinien odpowiada na wszelkie niespo-
dziewane pakiety ACK odpowiedzi RST, co ma na celu poinformowanie nadawcy,
e sesja, któr usi uje kontynuowa , nie jest ju obs ugiwana przez odbiorc (lub nigdy
nie by a). Niektóre firewalle naruszaj zalecenia specyfikacji i w ogóle nie odpowia-
daj na takie pakiety, po prostu ignoruj c wszelkie pakiety, które nie wydaj si nale-
e do adnej trwaj cej sesji. (Nie zawsze jest to post powanie rozs dne, gdy mo e
prowadzi do zb dnych opó nie w przypadku zaniechania poprawnego po czenia
z powodu problemów transmisyjnych).
Wiele firewalli odpowiada jednak poprawnym i spodziewanym pakietem RST, co
otwiera kolejn drog ich wykrywania i identyfikacji. Pakiet ten jest tworzony od zera
przez firewall, wi c jego parametry dostarczaj informacji o samym firewallu, a nie
o chronionym systemie. Pozwala to wykorzysta opisane w rozdziale 9. tradycyjne
techniki identyfikacji (badanie znaczników DF, warto ci TTL, rozmiaru okna, doboru,
warto ci i kolejno ci opcji itd.) do uzyskania informacji o firewallu.
Istnieje te inna mo liwo , wynikaj ca z nast puj cego zapisu w dokumencie
RFC1122 [7]:
4.2.2.12 Pakiet RST: RFC-793 sekcja 3.4
Protokó TCP POWINIEN dopuszcza obecno danych w otrzymanym
pakiecie RST.
OMÓWIENIE: Istniej propozycje umieszczania w pakiecie RST tekstu ASCII
koduj cego i t umacz cego przyczyn wys ania RST. Nie ustalono jak dot d
standardu dla takich informacji.
I rzeczywi cie # pomimo braku standardu niektóre systemy do czaj do pakietów
RST wysy anych w odpowiedzi na zb kane ACK opisowe (cho nierzadko tajemnicze)
komunikaty w nadziei, e informacja o przyczynie b du uspokoi nadawc . Odpowiedzi
te cz sto zawieraj wewn trzne s owa kluczowe lub przejawy czego , co wygl da na
dziwn odmian komputerowego humoru i s niekiedy specyficzne dla konkretnego
systemu operacyjnego, na przyk ad no tcp, reset; tcp_close, during connect (Mac OS);
tcp_fin_wait_2_timeout; No TCP (HP/UX); new data when detached; tcp_lift_anchor,
can't wait (SunOS).
208 Cz III D ungla
Je li w reakcji na problemy sieciowe lub niespodziewany pakiet przes any do zdalnego
systemu zobaczymy pakiet RST z takim opisem problemu, a wiemy z innych róde ,
e system docelowy nie u ywa opisowych komunikatów RST, to mamy kolejn wska-
zówk . Mo emy na jej podstawie wydedukowa , e mi dzy nami a odbiorc znajduje
si inny system # prawdopodobnie stanowy firewall # i zidentyfikowa jego system
operacyjny, porównuj c tre komunikatu ze znanymi odpowiedziami ró nych systemów.
Obie techniki identyfikacji okazuj si by bardzo skuteczne w wykrywaniu obecno-
ci stanowych filtrów pakietów, je li tylko mo liwa jest obserwacja ruchu sieciowego
podczas krótkotrwa ych problemów sieciowych. Metody te mog równie pos u y
do aktywnej identyfikacji bez konieczno ci namierzania samego firewalla # wystar-
czy wys a do ofiary zb kany pakiet ACK, co pozwoli odró ni filtry stanowe od
bezstanowych. Na podstawie otrzymanej odpowiedzi atakuj cy mo e dobra najlep-
szy sposób poradzenia sobie z firewallem (lub wykorzysta t wiedz w inny sposób).
Niezawodno czy wydajno
! spór o bit DF
Wykrywanie MTU trasy (PMTU) jest kolejnym kierunkiem identyfikacji, blisko spo-
krewnionym z omówion ju w rozdziale 9. kwesti unikania fragmentacji pakietów IP.
Nowsze wersje j dra Linuksa (2.2, 2.4, 2.6) i systemów Windows (2000 i XP) domy lnie
implementuj i w czaj wykrywanie PMTU. Je li to ustawienie nie zostanie zmie-
nione, wszystkich pakiety pochodz ce z takich systemów maj ustawiony bit DF, za-
pobiegaj cy fragmentacji. Algorytm wykrywania PMTU mo e jednak powodowa pro-
blemy w rzadkich, ale mimo to mo liwych sytuacjach.
Niepowodzenia wykrywania MTU trasy
Problem wykrywania PMTU polega na tym, e jego skuteczno jest ca kowicie uza-
le niona od zdolno ci nadawcy do odebrania komunikatu ICMP !fragmentation
required but DF set" i ustalenia optymalnych ustawie dla danego po czenia. Pakiet,
który spowodowa wys anie komunikatu, zostanie odrzucony przed dotarciem do celu, [ Pobierz całość w formacie PDF ]