home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / rfc / rfc1858 < prev    next >
Text File  |  1995-10-30  |  20KB  |  564 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                         G. Ziemba
  8. Request for Comments: 1858                                      Alantec
  9. Category: Informational                                         D. Reed
  10.                                                             Cybersource
  11.                                                               P. Traina
  12.                                                           cisco Systems
  13.                                                            October 1995
  14.  
  15.  
  16.            Security Considerations for IP Fragment Filtering
  17.  
  18. Status of This Memo
  19.  
  20.    This memo provides information for the Internet community.  This memo
  21.    does not specify an Internet standard of any kind.  Distribution of
  22.    this memo is unlimited.
  23.  
  24. Abstract
  25.  
  26.    IP fragmentation can be used to disguise TCP packets from IP filters
  27.    used in routers and hosts. This document describes two methods of
  28.    attack as well as remedies to prevent them.
  29.  
  30. 1. Background
  31.  
  32.    System administrators rely on manufacturers of networking equipment
  33.    to provide them with packet filters; these filters are used for
  34.    keeping attackers from accessing private systems and information,
  35.    while permitting friendly agents to transfer data between private
  36.    nets and the Internet.  For this reason, it is important for network
  37.    equipment vendors to anticipate possible attacks against their
  38.    equipment and to implement robust mechanisms to deflect such attacks.
  39.  
  40.    The growth of the global Internet has brought with it an increase in
  41.    "undesirable elements" manifested in antisocial behavior.  Recent
  42.    months have seen the use of novel attacks on Internet hosts, which
  43.    have in some cases led to the compromise of sensitive data.
  44.  
  45.    Increasingly sophisticated attackers have begun to exploit the more
  46.    subtle aspects of the Internet Protocol; fragmentation of IP packets,
  47.    an important feature in heterogeneous internetworks, poses several
  48.    potential problems which we explore here.
  49.  
  50.  
  51.  
  52.  
  53.  
  54.  
  55.  
  56.  
  57.  
  58. Ziemba, Reed & Traina        Informational                      [Page 1]
  59.  
  60. RFC 1858    Security Considerations - IP Fragment Filtering October 1995
  61.  
  62.  
  63. 2. Filtering IP Fragments
  64.  
  65.    IP packet filters on routers are designed with a user interface that
  66.    hides packet fragmentation from the administrator; conceptually, an
  67.    IP filter is applied to each IP packet as a complete entity.
  68.  
  69.    One approach to fragment filtering, described by Mogul [1], involves
  70.    keeping track of the results of applying filter rules to the first
  71.    fragment (FO==0) and applying them to subsequent fragments of the
  72.    same packet.  The filtering module would maintain a list of packets
  73.    indexed by the source address, destination address, protocol, and IP
  74.    ID.  When the initial (FO==0) fragment is seen, if the MF bit is set,
  75.    a list item would be allocated to hold the result of filter access
  76.    checks.  When packets with a non-zero FO come in, look up the list
  77.    element with a matching SA/DA/PROT/ID and apply the stored result
  78.    (pass or block).  When a fragment with a zero MF bit is seen, free
  79.    the list element.
  80.  
  81.    Although this method (or some refinement of it) might successfully
  82.    remove any trace of the offending whole packet, it has some
  83.    difficulties.  Fragments that arrive out of order, possibly because
  84.    they traveled over different paths, violate one of the design
  85.    assumptions, and undesired fragments can leak through as a result.
  86.    Furthermore, if the filtering router lies on one of several parallel
  87.    paths, the filtering module will not see every fragment and cannot
  88.    guarantee complete fragment filtering in the case of packets that
  89.    should be dropped.
  90.  
  91.  
  92.    Fortunately, we do not need to remove all fragments of an offending
  93.    packet.  Since "interesting" packet information is contained in the
  94.    headers at the beginning, filters are generally applied only to the
  95.    first fragment.  Non-first fragments are passed without filtering,
  96.    because it will be impossible for the destination host to complete
  97.    reassembly of the packet if the first fragment is missing, and
  98.    therefore the entire packet will be discarded.
  99.  
  100.    The Internet Protocol allows fragmentation of packets into pieces so
  101.    small as to be impractical because of data and computational
  102.    overhead.  Attackers can sometimes exploit typical filter behavior
  103.    and the ability to create peculiar fragment sequences in order to
  104.    sneak otherwise disallowed packets past the filter.  In normal
  105.    practice, such pathalogical fragmentation is never used, so it is
  106.    safe to drop these fragments without danger of preventing normal
  107.    operation.
  108.  
  109.  
  110.  
  111.  
  112.  
  113.  
  114. Ziemba, Reed & Traina        Informational                      [Page 2]
  115.  
  116. RFC 1858    Security Considerations - IP Fragment Filtering October 1995
  117.  
  118.  
  119. 3. Tiny Fragment Attack
  120.  
  121.    With many IP implementations it is possible to impose an unusually
  122.    small fragment size on outgoing packets.  If the fragment size is
  123.    made small enough to force some of a TCP packet's TCP header fields
  124.    into the second fragment, filter rules that specify patterns for
  125.    those fields will not match.  If the filtering implementation does
  126.    not enforce a minimum fragment size, a disallowed packet might be
  127.    passed because it didn't hit a match in the filter.
  128.  
  129.    STD 5, RFC 791 states:
  130.  
  131.       Every internet module must be able to forward a datagram of 68
  132.       octets without further fragmentation.  This is because an internet
  133.       header may be up to 60 octets, and the minimum fragment is 8
  134.       octets.
  135.  
  136.    Note that, for the purpose of security, it is not sufficient to
  137.    merely guarantee that a fragment contains at least 8 octets of data
  138.    beyond the IP header because important transport header information
  139.    (e.g., the CODE field of the TCP header) might be beyond the 8th data
  140.    octet.
  141.  
  142.    3.1 Example of the Tiny Fragment Attack
  143.  
  144.       In this example, the first fragment contains only eight octets of
  145.       data (the minimum fragment size).  In the case of TCP, this is
  146.       sufficient to contain the source and destination port numbers, but
  147.       it will force the TCP flags field into the second fragment.
  148.  
  149.       Filters that attempt to drop connection requests (TCP datagrams
  150.       having SYN=1 and ACK=0) will be unable to test these flags in the
  151.       first octet, and will typically ignore them in subsequent
  152.       fragments.
  153.  
  154.       FRAGMENT 1
  155.  
  156.       IP HEADER
  157.       +-+-+-+     +-+-+-+-+-+-+-+-+-+-+-+     +-+-+-+
  158.       |     | ... | Fragment Offset = 0 | ... |     |
  159.       +-+-+-+     +-+-+-+-+-+-+-+-+-+-+-+     +-+-+-+
  160.  
  161.       TCP HEADER
  162.       +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  163.       |        Source Port            |       Destination Port        |
  164.       +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  165.       |                       Sequence Number                         |
  166.       +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  167.  
  168.  
  169.  
  170. Ziemba, Reed & Traina        Informational                      [Page 3]
  171.  
  172. RFC 1858    Security Considerations - IP Fragment Filtering October 1995
  173.  
  174.  
  175.       FRAGMENT 2
  176.  
  177.       IP HEADER
  178.       +-+-+-+     +-+-+-+-+-+-+-+-+-+-+-+     +-+-+-+
  179.       |     | ... | Fragment Offset = 1 | ... |     |
  180.       +-+-+-+     +-+-+-+-+-+-+-+-+-+-+-+     +-+-+-+
  181.  
  182.       TCP HEADER
  183.       +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  184.       |                    Acknowledgment Number                      |
  185.       +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  186.       |  Data |           |U|A|P|R|S|F|                               |
  187.       | Offset| Reserved  |R|C|S|S|Y|I|            Window             |
  188.       |       |           |G|K|H|T|N|N|                               |
  189.       +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  190.  
  191.    3.2 Prevention of the Tiny Fragment Attack
  192.  
  193.       In a router, one can prevent this sort of attack by enforcing
  194.       certain limits on fragments passing through, namely, that the
  195.       first fragment be large enough to contain all the necessary header
  196.       information.
  197.  
  198.       There are two ways to guarantee that the first fragment of a
  199.       "passed" packet includes all the required fields, one direct, the
  200.       other indirect.
  201.  
  202.       3.2.1 Direct Method
  203.  
  204.          There is some number TMIN which is the minimum length of a
  205.          transport header required to contain "interesting" fields
  206.          (i.e., fields whose values are significant to packet filters).
  207.          This length is measured from the beginning of the transport
  208.          header in the original unfragmented IP packet.
  209.  
  210.          Note that TMIN is a function of the transport protocol involved
  211.          and also of the particular filters currently configured.
  212.  
  213.          The direct method involves computing the length of the
  214.          transport header in each zero-offset fragment and comparing it
  215.          against TMIN.  If the transport header length is less than
  216.          TMIN, the fragment is discarded.  Non-zero-offset fragments
  217.          need not be checked because if the zero-offset fragment is
  218.          discarded, the destination host will be unable to complete
  219.          reassembly.  So far we have:
  220.  
  221.  
  222.  
  223.  
  224.  
  225.  
  226. Ziemba, Reed & Traina        Informational                      [Page 4]
  227.  
  228. RFC 1858    Security Considerations - IP Fragment Filtering October 1995
  229.  
  230.  
  231.             if FO=0 and TRANSPORTLEN < tmin then
  232.                     DROP PACKET
  233.  
  234.          However, the "interesting" fields of the common transport
  235.          protocols, except TCP, lie in the first eight octets of the
  236.          transport header, so it isn't possible to push them into a
  237.          non-zero-offset fragment. Therefore, as of this writing, only
  238.          TCP packets are vulnerable to tiny-fragment attacks and the
  239.          test need not be applied to IP packets carrying other transport
  240.          protocols.  A better version of the tiny fragment test might
  241.          therefore be:
  242.  
  243.             if FO=0 and PROTOCOL=TCP and TRANSPORTLEN < tmin then
  244.                     DROP PACKET
  245.  
  246.          As discussed in the section on overlapping fragments below,
  247.          however, this test does not block all fragmentation attacks,
  248.          and is in fact unnecessary when a more general technique is
  249.          used.
  250.  
  251.       3.2.2 Indirect Method
  252.  
  253.          The indirect method relies on the observation that when a TCP
  254.          packet is fragmented so as to force "interesting" header fields
  255.          out of the zero-offset fragment, there must exist a fragment
  256.          with FO equal to 1.
  257.  
  258.          If a packet with FO==1 is seen, conversely, it could indicate
  259.          the presence, in the fragment set, of a zero-offset fragment
  260.          with a transport header length of eight octets Discarding this
  261.          one-offset fragment will block reassembly at the receiving host
  262.          and be as effective as the direct method described above.
  263.  
  264. 4. Overlapping Fragment Attack
  265.  
  266.    RFC 791, the current IP protocol specification, describes a
  267.    reassembly algorithm that results in new fragments overwriting any
  268.    overlapped portions of previously-received fragments.
  269.  
  270.    Given such a reassembly implementation, an attacker could construct a
  271.    series of packets in which the lowest (zero-offset) fragment would
  272.    contain innocuous data (and thereby be passed by administrative
  273.    packet filters), and in which some subsequent packet having a non-
  274.    zero offset would overlap TCP header information (destination port,
  275.    for instance) and cause it to be modified.  The second packet would
  276.    be passed through most filter implementations because it does not
  277.    have a zero fragment offset.
  278.  
  279.  
  280.  
  281.  
  282. Ziemba, Reed & Traina        Informational                      [Page 5]
  283.  
  284. RFC 1858    Security Considerations - IP Fragment Filtering October 1995
  285.  
  286.  
  287.    RFC 815 outlines an improved datagram reassembly algorithm, but it
  288.    concerns itself primarily with filling gaps during the reassembly
  289.    process.  This RFC remains mute on the issue of overlapping
  290.    fragments.
  291.  
  292.    Thus, fully-compliant IP implementations are not guaranteed to be
  293.    immune to overlapping-fragment attacks.  The 4.3 BSD reassembly
  294.    implementation takes care to avoid these attacks by forcing data from
  295.    lower-offset fragments to take precedence over data from higher-
  296.    offset fragments.  However, not all IP implementations are based on
  297.    the original BSD code, and it is likely that some of them are
  298.    vulnerable.
  299.  
  300.    4.1 Example of the Overlapping Fragment Attack
  301.  
  302.       In this example, fragments are large enough to satisfy the minimum
  303.       size requirements described in the previous section.  The filter
  304.       is configured to drop TCP connection request packets.
  305.  
  306.       The first fragment contains values, e.g., SYN=0, ACK=1, that
  307.       enable it to pass through the filter unharmed.
  308.  
  309.       The second fragment, with a fragment offset of eight octets,
  310.       contains TCP Flags that differ from those given in the first
  311.       fragment, e.g., SYN=1, ACK=0.  Since this second fragment is not a
  312.       0-offset fragment, it will not be checked, and it, too will pass
  313.       through the filter.
  314.  
  315.       The receiving host, if it conforms fully to the algorithms given
  316.       in RFC 791, will reconstitute the packet as a connection request
  317.       because the "bad" data arrived later.
  318.  
  319.  
  320.  
  321.  
  322.  
  323.  
  324.  
  325.  
  326.  
  327.  
  328.  
  329.  
  330.  
  331.  
  332.  
  333.  
  334.  
  335.  
  336.  
  337.  
  338. Ziemba, Reed & Traina        Informational                      [Page 6]
  339.  
  340. RFC 1858    Security Considerations - IP Fragment Filtering October 1995
  341.  
  342.  
  343.       FRAGMENT 1
  344.  
  345.       IP HEADER
  346.       +-+-+-+     +-+-+-+-+-+-+-+-+-+-+-+     +-+-+-+
  347.       |     | ... | Fragment Offset = 0 | ... |     |
  348.       +-+-+-+     +-+-+-+-+-+-+-+-+-+-+-+     +-+-+-+
  349.  
  350.       TCP HEADER
  351.       +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  352.       |        Source Port            |       Destination Port        |
  353.       +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  354.       |                       Sequence Number                         |
  355.       +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  356.       |                    Acknowledgment Number                      |
  357.       +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  358.       |  Data |           |U|A|P|R|S|F|                               |
  359.       | Offset| Reserved  |R|C|S|S|Y|I|            Window             |
  360.       |       |           |G|K|H|T|N|N|                               |
  361.       +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  362.                                    .
  363.                                    .
  364.                                    .
  365.       +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  366.       |                        (Other data)                           |
  367.       +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  368.  
  369.  
  370.       FRAGMENT 2
  371.  
  372.       IP HEADER
  373.       +-+-+-+     +-+-+-+-+-+-+-+-+-+-+-+     +-+-+-+
  374.       |     | ... | Fragment Offset = 1 | ... |     |
  375.       +-+-+-+     +-+-+-+-+-+-+-+-+-+-+-+     +-+-+-+
  376.  
  377.       TCP HEADER
  378.       +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  379.       |                    Acknowledgment Number                      |
  380.       +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  381.       |  Data |           |U|A|P|R|S|F|                               |
  382.       | Offset| Reserved  |R|C|S|S|Y|I|            Window             |
  383.       |       |           |G|K|H|T|N|N|                               |
  384.       +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  385.                                    .
  386.                                    .
  387.                                    .
  388.       +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  389.       |                        (Other data)                           |
  390.       +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  391.  
  392.  
  393.  
  394. Ziemba, Reed & Traina        Informational                      [Page 7]
  395.  
  396. RFC 1858    Security Considerations - IP Fragment Filtering October 1995
  397.  
  398.  
  399.       If the receiving host has a reassembly algorithm that prevents new
  400.       data from overwriting data received previously, we can send
  401.       Fragment 2 first, followed by Fragment 1, and accomplish the same
  402.       successful attack.
  403.  
  404.    4.2 Prevention of the Overlapping Fragment Attack
  405.  
  406.       Since no standard requires that an overlap-safe reassembly
  407.       algorithm be used, the potential vulnerability of hosts to this
  408.       attack is quite large.
  409.  
  410.       By adopting a better strategy in a router's IP filtering code, one
  411.       can be assured of blocking this "attack".  If the router's
  412.       filtering module enforces a minimum fragment offset for fragments
  413.       that have non-zero offsets, it can prevent overlaps in filter
  414.       parameter regions of the transport headers.
  415.  
  416.       In the case of TCP, this minimum is sixteen octets, to ensure that
  417.       the TCP flags field is never contained in a non-zero-offset
  418.       fragment.  If a TCP fragment has FO==1, it should be discarded
  419.       because it starts only eight octets into the transport header.
  420.       Conveniently, dropping FO==1 fragments also protects against the
  421.       tiny fragment attack, as discussed earlier.
  422.  
  423.       RFC 791 demands that an IP stack must be capable of passing an 8
  424.       byte IP data payload without further fragmentation (fragments sit
  425.       on 8 byte boundaries).  Since an IP header can be up to 60 bytes
  426.       long (including options), this means that the minimum MTU on a
  427.       link should be 68 bytes.
  428.  
  429.       A typical IP header is only 20 bytes long and can therefore carry
  430.       48 bytes of data.  No one in the real world should EVER be
  431.       generating a TCP packet with FO=1, as it would require both that a
  432.       previous system fragmenting IP data down to the 8 byte minimum and
  433.       a 60 byte IP header.
  434.  
  435.       A general algorithm, then, for ensuring that filters work in the
  436.       face of both the tiny fragment attack and the overlapping fragment
  437.       attack is:
  438.  
  439.          IF FO=1 and PROTOCOL=TCP then
  440.                  DROP PACKET
  441.  
  442.       If filtering based on fields in other transport protocol headers
  443.       is provided in a router, the minimum could be greater, depending
  444.       on the position of those fields in the header.  In particular, if
  445.       filtering is permitted on data beyond the sixteenth octet of the
  446.       transport header, either because of a flexible user interface or
  447.  
  448.  
  449.  
  450. Ziemba, Reed & Traina        Informational                      [Page 8]
  451.  
  452. RFC 1858    Security Considerations - IP Fragment Filtering October 1995
  453.  
  454.  
  455.       the implementation of filters for some new transport protocol,
  456.       dropping packets with FO==1 might not be sufficient.
  457.  
  458. 5. Security Considerations
  459.  
  460.    This memo is concerned entirely with the security implications of
  461.    filtering fragmented IP packets.
  462.  
  463. 6. Acknowledgements
  464.  
  465.    The attack scenarios described above grew from discussions that took
  466.    place on the firewalls mailing list during May of 1995.  Participants
  467.    included: Darren Reed <avalon@coombs.anu.edu.au>, Tom Fitzgerald
  468.    <fitz@wang.com>, and Paul Traina <pst@cisco.com>.
  469.  
  470. 7. References
  471.  
  472.    [1] Mogul, J., "Simple and Flexible Datagram Access Controls for
  473.        Unix-based Gateways", Digital Equipment Corporation, March 1989.
  474.  
  475.    [2] Postel, J., Editor, "Internet Protocol - DARPA Internet Program
  476.        Protocol Specification", STD 5, RFC 791, USC/Information Sciences
  477.        Institute, September 1981.
  478.  
  479.    [3] Postel, J., Editor, "Transmission Control Protocol - DARPA
  480.        Internet Program Protocol Specification", STD 7, RFC 793,
  481.        USC/Information Sciences Institute, September 1981.
  482.  
  483.    [4] Clark, D., "IP Datagram Reassembly Algorithms", RFC 815, MIT
  484.        Laboratory for Computer Science/Computer Systems and
  485.        Communications Group, July 1982.
  486.  
  487.  
  488.  
  489.  
  490.  
  491.  
  492.  
  493.  
  494.  
  495.  
  496.  
  497.  
  498.  
  499.  
  500.  
  501.  
  502.  
  503.  
  504.  
  505.  
  506. Ziemba, Reed & Traina        Informational                      [Page 9]
  507.  
  508. RFC 1858    Security Considerations - IP Fragment Filtering October 1995
  509.  
  510.  
  511. Authors' Addresses
  512.  
  513.    G. Paul Ziemba
  514.    Alantec
  515.    2115 O'Nel Drive
  516.    San Jose, CA 95131
  517.  
  518.    EMail: paul@alantec.com
  519.  
  520.  
  521.    Darren Reed
  522.    Cybersource
  523.    1275A Malvern Rd
  524.    Melbourne, Vic 3144
  525.    Australia
  526.  
  527.    EMail: darrenr@cyber.com.au
  528.  
  529.  
  530.    Paul Traina
  531.    cisco Systems, Inc.
  532.    170 W. Tasman Dr.
  533.    San Jose, CA 95028
  534.  
  535.    EMail: pst@cisco.com
  536.  
  537.  
  538.  
  539.  
  540.  
  541.  
  542.  
  543.  
  544.  
  545.  
  546.  
  547.  
  548.  
  549.  
  550.  
  551.  
  552.  
  553.  
  554.  
  555.  
  556.  
  557.  
  558.  
  559.  
  560.  
  561.  
  562. Ziemba, Reed & Traina        Informational                     [Page 10]
  563.  
  564.