home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / windows_arp_DoS.txt < prev    next >
Encoding:
Internet Message Format  |  1999-04-28  |  6.6 KB
  1. Date: Mon, 12 Apr 1999 13:59:54 +0200
  2. From: Joel Jacobson <joel@mobila.cx>
  3. To: BUGTRAQ@netspace.org
  4. Subject: ARP problem in Windows9X/NT
  5.  
  6. Hello all bugtraqers!
  7.  
  8. I've found a problem in Windows9X/NT's way of handeling ARP packets.
  9.  
  10. If you flood a computer at your LAN with the packet below, it's user
  11. will be forced to click a messagebox's OK button x times, where x is the number
  12. of packets you flooded with.
  13.  
  14. I advice Microsoft to develope a patch for this problem, that let you
  15. choose to ignore all future messages of this type.
  16.  
  17. There is no way to trace the flooder since the MAC address in the
  18. packet can be modified to anything. Bad configurated routers will
  19. not drop this packet. When I tested this problem on my LAN I could
  20. flood a computer on another C-net at my LAN without problems.
  21.  
  22. The program NetXRay was used to preform the flood.
  23. The victims had to reboot their computer, or choose to click _very_
  24. many OK buttons.
  25.  
  26. The ARP packet is build up like this:
  27.  
  28. Ethernet Version II:
  29.  Address: XX-XX-XX-XX-XX-XX --->FF-FF-FF-FF-FF-FF
  30.  Ehternet II Protocol Type: ARP
  31. Address Resolution Protocol:
  32.  Hardware Type: 1 (Ethernet)
  33.  Protocol Type: 800
  34.  Hardware Address: Length: 6
  35.  Protocol Address: Length: 4
  36.  Operations: ARP Request
  37.  Source Hardware Address: XX-XX-XX-XX-XX-XX
  38.  IP Source Address: <victim computer's IP>
  39.  Destination Hardware Address: XX-XX-XX-XX-XX-XX
  40.  IP Destination Address: <victim computer's IP>
  41.  
  42. And in HEX the packet look like this:
  43. ff ff ff ff ff ff 00 00 00 00 00 00 08 06 08 00 06 04 00 01 00 00 00
  44. 00 00 00 XX XX XX XX 00 00 00 00 00 00 XX XX XX XX
  45. (XX is what matters here)
  46.  
  47. Hope a patch for this problem will be developed fast, cause this is a
  48. big problem for my school and probably also to others.
  49.  
  50. I'm not a C programmer, and don't know how to write an exploit for
  51. this problem. So, if anyone else can develope an exploit, feel free to do so.
  52.  
  53. Joel Jacobson.
  54.  
  55. ----------------------------------------------------------------------------------
  56.  
  57. Date: Tue, 13 Apr 1999 11:44:12 +0200
  58. From: Joel Jacobson <joel@mobila.cx>
  59. To: BUGTRAQ@netspace.org
  60. Subject: Answer to some questions I got about the ARP "bug"
  61.  
  62. Hi.
  63.  
  64. In the message I sent to BugTraq, XX XX XX XX is the victim's IP
  65. Address, in HEX.
  66.  
  67. Example:
  68. If you want to flood IP 192.168.0.1 at your network you would enter
  69. this hex value: C0 A8 00 01
  70.  
  71. (I tought this was obvious)
  72.  
  73. Regards, Joel.
  74.  
  75. ----------------------------------------------------------------------------------
  76.  
  77. Date: Tue, 13 Apr 1999 11:55:01 +0200
  78. From: Joel Jacobson <joel@mobila.cx>
  79. To: BUGTRAQ@netspace.org
  80. Subject: Re: ARP problem in Windows9X/NT
  81. Parts/Attachments:
  82.    1 Shown     20 lines  Text (charset: ISO-8859-1)
  83.    2   OK     202 bytes  Application
  84. ----------------------------------------
  85.  
  86.     [ The following text is in the "ISO-8859-1" character set. ]
  87.     [ Your display is set for the "US-ASCII" character set.  ]
  88.     [ Some characters may be displayed incorrectly. ]
  89.  
  90. Hello Gandalf,
  91.  
  92. mσndag, 12 april 1999, you wrote:
  93.  
  94. gpc> Perhaps I am doing it wrong, but sending out arp requests like this only
  95. gpc> generates a single messagebox.  If you send one or a million requests in
  96. gpc> the time it takes to click ok, no new messageboxes will appear.
  97.  
  98. gpc> This is on NT4 sp4.
  99. Okey. Well, I tested this on a friend that run NT, don't know if he
  100. has sp4 installed or not. But still, the problems exist in Windows98,
  101. and if Microsoft has developed a fix for NT, why can't they release
  102. one for Windows98 too?
  103.  
  104. gpc> The packet I am sending out seems a tad different from the one listed,
  105. gpc> the hex dump above seems to be missing the hardware address type.
  106. I've attached an example.
  107. This packet will attack the computer 192.168.0.1 on your network.
  108.  
  109. Best regards,
  110.  Joel                            mailto:joel@mobila.cx
  111.     [ Part 2, Application/OCTET-STREAM (Name: "example.cap")  270bytes. ]
  112.     [ Not Shown. Use the "V" command to view or save this part. ]
  113.  
  114. ----------------------------------------------------------------------------------
  115.  
  116. Date: Tue, 13 Apr 1999 13:21:46 -0700
  117. From: route@RESENTMENT.INFONEXUS.COM
  118. To: BUGTRAQ@netspace.org
  119. Subject: Re: ARP problem in Windows9X/NT
  120.  
  121. [gandalf@pobox.com wrote]
  122. |
  123. | Unfortunetly i don't have a 98 to test on, or an non sp4 NT machines.  For
  124.  
  125.     I do.  It works against Windows 98.
  126.  
  127. | BTW, this is all from linux 2.2.5.
  128.  
  129.     I've tried it from OpenBSD 2.4, FreeBSD 3.1 and Linux 2.2.x.
  130.  
  131. --
  132. I live a world of paradox... My willingness to destroy is your chance for
  133. improvement, my hate is your faith -- my failure is your victory, a victory
  134. that won't last.
  135.  
  136. ----------------------------------------------------------------------------------
  137.  
  138. Date: Tue, 13 Apr 1999 15:49:22 -0400
  139. From: Alan DeKok <alan@CRYPTOCARD.COM>
  140. To: BUGTRAQ@netspace.org
  141. Subject: Re: ARP problem in Windows9X/NT
  142.  
  143. route@RESENTMENT.INFONEXUS.COM wrote:
  144. >     Didn't test your code.  Rolled my from the same libnet example, and it
  145. >     does work against NT and 95/98.
  146.  
  147.   I tested yours against a number of machines at work.  Summary:
  148.  
  149.   NT4 sp3 displays one requestor.  While it's on-screen, any
  150. additional ARP packets are ignored.  Clicking 'OK', and then sending
  151. more packets results in another requestor.
  152.  
  153.   95/98 displays one requestor per packet.
  154.  
  155.   Alan DeKok.
  156.  
  157. ----------------------------------------------------------------------------------
  158.  
  159. Date: Tue, 13 Apr 1999 11:07:53 -0400
  160. From: gandalf@POBOX.COM
  161. To: BUGTRAQ@netspace.org
  162. Subject: Re: ARP problem in Windows9X/NT
  163.  
  164. On Tue, 13 Apr 1999 route@RESENTMENT.INFONEXUS.COM wrote:
  165. > [kay wrote]
  166. > | I started writing that proggie with plain syscalls, but it would only run
  167. > | on Linux, so I modified one of the examples in Route's Libnet 0.9 to do
  168. > | the stuff. I haven't tested it yes since I don't have LAN at home...
  169. >
  170. >     Didn't test your code.  Rolled my from the same libnet example, and it
  171. >     does work against NT and 95/98.
  172.  
  173. Your code, humerously enough, was almost exactly the same as mine, I was
  174. even using libnet.  However neither your code nor mine causes more than
  175. one messagebox to appear on my NT4 sp4 machine.
  176.  
  177. I actually tried this a month or two ago, and gave up since it seemed to
  178. have no effect on NT, I swear at the time I tested 95 and 98 too.  Looking
  179. at it again, both your code and mine _do_ have the multi-messagebox effect
  180. on a 95B machine,
  181.  
  182. Unfortunetly i don't have a 98 to test on, or an non sp4 NT machines.  For
  183. those who have gotten it to work on NT, what sp level was NT at?
  184. BTW, this is all from linux 2.2.5.
  185.  
  186. -chris
  187.  
  188. _______________________________________________________
  189. Christopher Rogers      Stevens Institute of Technology
  190. gandalf@pobox.com       http://www.pobox.com/~gandalf
  191.  
  192. If at first you do succeed, try to hide your astonishment.
  193.