Tuesday, April 12, 2005

ICMP Attacks Against TCP

When reading today's Incident Handler's Diary, I learned of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public release of draft-gont-tcpm-icmp-attacks-03.txt by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IETF. This Internet Draft explains how forged ICMP messages could be used to conduct denial of service attacks against TCP services. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 core of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem:

The Host Requirements RFC [4] states that a TCP MUST act on an ICMP
error message passed up from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP layer, directing it to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365
connection that created cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 error.

In order to allow ICMP messages to be demultiplexed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 receiving
host, part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original packet that elicited cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message is
included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payload of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ICMP error message. Thus, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365
receiving host can use that information to match cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ICMP error to
cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instance of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 transport protocol that elicited it.

Neicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Host Requirements RFC [4] nor cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original TCP
specification [1] recommend any security checks on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 received ICMP
messages. Thus, as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ICMP payload contains cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct
four-tuple that identifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 communication instance, it will be
processed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corresponding transport-protocol instance, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365
corresponding action will be performed.

Therefore, an attacker could send a forged ICMP message to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365
attacked host, and, as long as he is able to guess cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 four-tuple
that identifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 communication instance to be attacked, he can use
ICMP to perform a variety of attacks.

I was unaware that TCP services paid any real attention to ICMP messages, since TCP has its own mechanisms for handling errors (unlike UDP).

Vendors like Cisco have published bulletins addressing this problem. Fernando Gont brought this issue to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attention of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UK-based National Infrastructure Security Co-ordination Centre. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same organization that worked with Paul Watson on last year's TCP reset vulnerabilities.

3 comments:

Anonymous said...

dsniff's tcpnice program has done this for 5 years. Why is this news?

Richard Bejtlich said...

Good point. It's not like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security industry has anything really new to report, is it? :)

Richard Bejtlich said...

I just realized this is news because Tcpnice requires active sniffing of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TCP connection you want to degrade. Gont's technique can be done completely blind, with no knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TCP connection in question.