web-dev-qa-db-ja.com

不正なIPまたはTCPヘッダーを使用または引き起こすマルウェア/脆弱性

不正なIPまたはTCPヘッダーの例(たとえば、一致しないチェックサム、ゼロでない予約ビット、またはヘッダー長の数値が不十分)など)の使用例があるかどうか知りたいマルウェアによって、またはエクスプロイトで使用されます。

(もし真実なら)言及する価値のある例:

  • XベンダーのTCPスタックは5未満のヘッダー長を正しく処理せず、それに遭遇するとクラッシュします。

  • メッセージを送信するために送信するTCPヘッダーの予約済みビットを使用するボットネット。

iptcppacket
4
Andrew Spott

不完全なTCP実装で不完全な要求がクラッシュを引き起こす可能性がある実装のあるホストに脆弱性がありました。何かがマシンに感染しているのを見たことがないので、TCPヘッダーをいじることによって。これは悪いヘッダーが原因のクラッシュバグの例です:

http://blog.jeremyrossi.com/juniper-flaw-exposes-core-routers-to-kernel-crash.html

ヘッダーで予約済みビット(IPv4では6ビット)を使用することは非常に非効率的であり、これは私が今まで目にしたことのないものですin the wild。それはもっともらしいですが、一般的に言えば、それは非常に珍しいものであり、簡単に識別してフィルタリングできるため、私はそれを見るとは期待しません。私はオンラインで見回しましたが、今日使用されているこの動作を特定する確かなものは見つかりませんでした。

TCP隠れたデータの通過のためのパケットの一部の使用に関するSANSの論文があり、このトピックのいくつかをかなりカバーしています: https://www.sans.org/reading-room/whitepapers/covert/covert-data-storage-channel-ip-packet-headers-209

2
Nathan V

マルウェアが使用するIPv6に関する一般的な議論(2014)
http://www.ipv6conference.ch/wp-content/uploads/Slide/Business_Track/B05%20-%20Abramovich-IPv6%20Security%20Challenges%20and%20Solutionsv2.pdf

不正なパケットを使用してDoSを引き起こすCVE-2014-2309およびCVE-2014-0254が含まれています。

VoodooNet(2006)
http://www.securityfocus.com/news/11406

VoodooNetはICMPv6を使用してデータを送信しました。

Scapyは、IPv6を使用して秘密チャネルを作成するために使用されていました。
http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=6839262&url=http%3A%2F%2Fieeexplore.ieee.org%2Fxpls%2Fabs_all.jsp%3Farnumber %3D6839262

宛先オプションIPv6の拡張ヘッダーは、秘密情報を渡すために使用されます。

IPv6を使用した22の隠れたチャネルに関する研究(2006) http://link.springer.com/chapter/10.1007/11767831_1

0
schroeder