home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0106.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  9.4 KB  |  231 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT(sm) Advisory CA-96.01 
  6. Original issue date: February 8, 1996 
  7. Last revised: February 14, 1997 - Introduction - updated the IP spoofing
  8.               reference to CA-96.21.
  9.               Updates section - added pointers to CISCO documents.          
  10.           
  11.               A complete revision history is at the end of this advisory.
  12.  
  13. Topic: UDP Port Denial-of-Service Attack
  14. - -----------------------------------------------------------------------------
  15.  
  16. The CERT Coordination Center has received reports of programs that launch
  17. denial-of-service attacks by creating a "UDP packet storm" either on a system
  18. or between two systems. An attack on one host causes that host to perform
  19. poorly. An attack between two hosts can cause extreme network congestion in
  20. addition to adversely affecting host performance.
  21.  
  22. The CERT staff recommends disabling unneeded UDP services on each host, in
  23. particular the chargen and echo services, and filtering these services at the
  24. firewall or Internet gateway.
  25.  
  26. Because the UDP port denial-of-service attacks typically involve IP spoofing,
  27. we encourage you to follow the recommendations in advisory CA-96.21.
  28.  
  29. We will update this advisory as we receive additional information.
  30. Please check advisory files regularly for updates that relate to your site
  31.  
  32. - -----------------------------------------------------------------------------
  33.  
  34. I.   Description
  35.  
  36.      When a connection is established between two UDP services,
  37.      each of which produces output, these two services can produce a
  38.      very high number of packets that can lead to a denial of service
  39.      on the machine(s) where the services are offered. Anyone with network
  40.      connectivity can launch an attack; no account access is needed.
  41.  
  42.      For example, by connecting a host's chargen service to the echo service
  43.      on the same or another machine, all affected machines may be
  44.      effectively taken out of service because of the excessively high number
  45.      of packets produced. In addition, if two or more hosts are so connected,
  46.      the intervening network may also become congested and deny service
  47.      to all hosts whose traffic traverses that network.
  48.  
  49. II.  Impact
  50.  
  51.      Anyone with network connectivity can cause a denial of service.
  52.      This attack does not enable them to gain additional access.
  53.  
  54. III. Solution
  55.  
  56.      We recommend taking all the steps described below.
  57.  
  58.      1. Disable and filter chargen and echo services.
  59.         This attack is most readily exploited using the chargen or echo
  60.         services, neither of which is generally needed as far as we are aware.
  61.         We recommend that you disable both services on the host and filter
  62.         them at the firewall or Internet gateway.
  63.  
  64.         To disable these services on a host, it is necessary to edit the
  65.         inetd configuration file and cause inetd to begin using the new
  66.         configuration. Exactly how to do this is system dependent so you
  67.         should check your vendor's documentation for inetd(8); but on many
  68.         UNIX systems the steps will be as follows:
  69.          (1) Edit the inetd configuration file (e.g. /etc/inetd.conf).
  70.          (2) Comment out the echo, chargen, and other UDP services not used.
  71.          (3) Cause the inetd process to reread the configuration file
  72.              (e.g., by sending it a HUP signal).
  73.  
  74.      2. Disable and filter other unused UDP services.
  75.         To protect against similar attacks against other services, we
  76.         recommend
  77.            -  disabling all unused UDP services on hosts and
  78.            -  blocking at firewalls all UDP ports less than 900 with
  79.               the exception of specific services you require, such as
  80.               DNS (port 53).
  81.  
  82.      3. If you must provide external access to some UDP services, consider
  83.         using a proxy mechanism to protect that service from misuse.
  84.         Techniques to do this are discussed in Chapter 8, "Configuring
  85.         Internet Services," in _Building Internet Firewalls_ by Chapman
  86.         and Zwicky (see Section IV below).
  87.  
  88.      4. Monitor your network.
  89.         If you do provide external UDP services, we recommend monitoring
  90.         your network to learn which systems are using these services and
  91.         to monitor for signs of misuse. Tools for doing so include Argus,
  92.         tcpdump, and netlog.
  93.  
  94.         Argus is available from
  95.              ftp://ftp.net.cmu.edu/pub/argus-1.5/
  96.              MD5 (argus-1.5.tar.gz) = 9c7052fb1742f9f6232a890267c03f3c
  97.  
  98.              Note that Argus requires the TCP wrappers to install:
  99.              ftp://info.cert.org/pub/tools/tcp_wrappers/tcp_wrappers_7.2.tar.Z
  100.              MD5 (tcp_wrappers_7.2.tar.Z) = 883d00cbd2dedd9bfc783b7065740e74
  101.  
  102.        tcpdump is available from
  103.              ftp://ftp.ee.lbl.gov/tcpdump-3.0.2.tar.Z
  104.              MD5 (tcpdump-3.0.2.tar.Z) = c757608d5823aa68e4061ebd4753e591
  105.  
  106.              Note that tcpdump requires libpcap, available at
  107.                  ftp://ftp.ee.lbl.gov/libpcap-0.0.6.tar.Z
  108.                  MD5 (libpcap-0.0.6.tar.Z) = cda0980f786932a7e2eebfb2641aa7a0
  109.  
  110.        netlog is available from
  111.               ftp://net.tamu.edu/pub/security/TAMU/netlog-1.2.tar.gz
  112.               MD5 (netlog-1.2.tar.gz) = 1dd62e7e96192456e8c75047c38e994b
  113.  
  114.       5. Take steps against IP spoofing.
  115.          Because IP spoofing is typically involved in UDP port
  116.          denial-of-service attacks, we encourage you to follow the
  117.          guidance in advisory CA-95:01, available from
  118.  
  119.                ftp://info.cert.org/pub/cert_advisories/CA-95:01.IP.spoofing
  120.  
  121. IV. Sources of further information about packet filtering
  122.  
  123.     For a general packet-filtering recommendations, see
  124.  
  125.          ftp://info.cert.org/pub/tech_tips/packet_filtering
  126.  
  127.      For in-depth discussions of how to configure your firewall, see
  128.  
  129.          _Firewalls and Internet Security: Repelling the Wily Hacker_
  130.          William R. Cheswick and Steven M. Bellovin
  131.          Addison-Wesley Publishing Company, 1994
  132.          ISBN 0-201-63357
  133.  
  134.          _Building Internet Firewalls_
  135.          Brent Chapman and Elizabeth D. Zwicky
  136.          O'Reilly & Associates, Inc., 1995
  137.          ISBN 1-56592-124-0
  138.  
  139. - ---------------------------------------------------------------------------
  140. The CERT Coordination Center staff thanks Peter D. Skopp of Columbia
  141. University for reporting the vulnerability and Steve Bellovin of AT&T Bell
  142. Labs for his support in responding to this problem.
  143. - ---------------------------------------------------------------------------
  144.  
  145. If you believe that your system has been compromised, contact the CERT
  146. Coordination Center or your representative in the Forum of Incident
  147. Response and Security Teams (FIRST).
  148.  
  149. We strongly urge you to encrypt any sensitive information you send by email.
  150. The CERT Coordination Center can support a shared DES key and PGP. Contact the
  151. CERT staff for more information.
  152.  
  153. Location of CERT PGP key
  154.          ftp://info.cert.org/pub/CERT_PGP.key
  155.  
  156. CERT Contact Information
  157. - ------------------------
  158. Email    cert@cert.org
  159.  
  160. Phone    +1 412-268-7090 (24-hour hotline)
  161.                 CERT personnel answer 8:30-5:00 p.m. EST
  162.                 (GMT-5)/EDT(GMT-4), and are on call for
  163.                 emergencies during other hours.
  164.  
  165. Fax      +1 412-268-6989
  166.  
  167. Postal address
  168.         CERT Coordination Center
  169.         Software Engineering Institute
  170.         Carnegie Mellon University
  171.         Pittsburgh PA 15213-3890
  172.         USA
  173.  
  174. To be added to our mailing list for CERT advisories and bulletins, send your
  175. email address to
  176.         cert-advisory-request@cert.org
  177.  
  178. CERT publications, information about FIRST representatives, and other
  179. security-related information are available for anonymous FTP from
  180.         ftp://info.cert.org/pub/
  181.  
  182. CERT advisories and bulletins are also posted on the USENET newsgroup
  183.         comp.security.announce
  184.  
  185.  
  186. Copyright 1997 Carnegie Mellon University
  187. This material may be reproduced and distributed without permission provided it
  188. is used for noncommercial purposes and the copyright statement is included.
  189.  
  190. CERT is a service mark of Carnegie Mellon University.
  191.  
  192. =============================================================================
  193. UPDATES
  194.  
  195. CISCO
  196. - -----
  197.    Cisco Alert Summary:
  198.         http://www.cisco.com/warp/public/146/917_security.html
  199.  
  200.    Cisco Security Guide     
  201.         http://www.cisco.com/univercd/data/doc/cintrnet/ics/icssecur.htm 
  202.  
  203.  
  204. Silicon Graphics Inc.
  205. - ---------------------
  206.  
  207. SGI acknowledges CERT Advisory CA-96.01 and is currently investigating.
  208. No further information is available at this time.
  209.  
  210. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  211. Revision history
  212.  
  213. Feb. 14, 1997  Introduction - updated the  IP spoofing reference to CA-96.21.
  214.            Updates section - added pointers to CISCO documents.
  215. Aug. 30, 1996  Information previously in the README was inserted into the
  216.                advisory.
  217. Feb. 23, 1996  Updates section - added information from Silicon Graphics, Inc.
  218. Feb. 21, 1996  Solution, Sec. III.4 - added new URL for Argus.
  219.  
  220.  
  221. -----BEGIN PGP SIGNATURE-----
  222. Version: 2.6.2
  223.  
  224. iQCVAwUBMwTKXnVP+x0t4w7BAQEYVAP/fLxjusXIKs5FQ24u9hW9OS6B0ThgibBo
  225. lqTdErwTHUhUXc5R3rveE0aEiSn4NhBiEK4hNUY2jpmvw9A24aoE5w5gH+4C/uoY
  226. yb0aFqYDoef3amgcOhGmsMoOwgcWB9cesLom8Cih/UlRI6CeCwodpqDhQwd+SOGk
  227. JFbZnh0xgrE=
  228. =kXm1
  229. -----END PGP SIGNATURE-----
  230.  
  231.