Blog

A small network analysis challenge This is a small network analysis challenge based on a real world network analysis. During the original analysis the task was to evaluate the performance of the SMB protocol over a WAN connection. The client in question had performance issues with uploading and downloading many files from and to the HQ where a file server was located. The network was equipped with WAN accelerators on both ends of the WAN connection.

Read More…
The TCP three way handshake The three way TCP handshake is a very interesting artifact for analyzing any TCP connection. Besides the initial window size advertised by client and server, the TCP options are always worth a look in order to understand how the TCP/IP stacks of client and server (or any kind of layer 4 device interfering with packets in transit) behave. A couple of options are usually found in the initial SYNs.

Read More…

Pakete lügen nicht - oder doch?

Apr 28, 2016 by Oliver Ripka

Die Netzwerkanalyse ist ein sehr effizientes Mittel, um Performanceprobleme von Netzwerkanwendungen zu beheben. Der erste Schritt dabei ist das Erheben von Messdaten an mehreren Punkten des Netzwerks (Mehrpunktmessung). Nachdem alle Daten aufgezeichnet wurden müssen sie analysiert werden. Genau in diesem Punkt rühmen wir Netzwerkanalysten uns: innerhalb von hunderten Gigabyte von Paketdaten finden wir die paar Pakete, die das Problem nachvollziehen und beheben lassen. Daher auch die kühne Behauptung “Pakete lügen nicht”, will heißen: nichts kann sich auf dem Netzwerkdraht perfekt verstecken - keine schlecht programmierte Netzwerkanwendung, kein fehlerhafter TCP/IP Stack, kein MTU Problem und auch keine Malware (die nach Hause telefoniert).

Read More…
Im Artikel (Proaktive Netzwerkverteidigung mit TCP Zero Window) habe ich beschrieben, wie man Netzwerksscans mithilfe des TCP Zero Windows verteidigen kann. Ich hatte schon darauf hingewiesen, dass es möglich die Scapyimplementierung von sniff() auf NFQUEUE umzustellen. Um dies zu realsieren sind gar nicht so viele Änderungen am Skript notwendig: Abhängigkeiten installieren Wir benötigen die Python Bindings für NFQUEUE: apt-get install nfqueue-bindings-python python-nfqueue NFQUEUE Umleitung in den Userspace Danach teilen wir iptables mit, dass wir bestimtme Pakete zu NFQUEUE umleiten wollen.

Read More…

Eine [Teergrube](https://de.wikipedia.org/wiki/Teergrube_(Informationstechnik) (Englisch: tarpit) ist ein Mechanismus Netzwerkverbindungen künstlich zu verlangsamen, um beispielsweise Angriffe zu erschweren. Vor einiger Zeit habe ich bei der Konfiguration von einem Netoptics Bypass Kit einen wahrscheinlich unbeabsichtigen Tarpit auf TCP Protokollebene mit Wireshark beobachtet. Der TCP Stacks des Bypass Kits lehnte eingehende Verbindungen auf geschlossenen Ports nicht wie normalerweise bei TCP üblich mit einem RST Paket ab, sondern antwortete mit einem Zero Window SYN Paket (siehe auch A creative way of refusing connections). Damit nimmt der Server die Verbindung zwar an, erlaubt dem Client aber nicht weiter Daten zu senden.

Das beschriebe Verhalten lässt sich unter anderem als Verteidigungsmechanismus nutzen, um Portscanner auszubremsen oder sogar zu stoppen.

Read More…

Vorsicht Admin! - Einleitung

Apr 2, 2016 by Oliver Ripka

Dieser Artikel ist der Erste in einer Reihe von Beiträgen, die aufzeigen wie Systemadministratoren manchmal unbewusst Sicherheitslücken in andernfalls sichere Systeme einbauen.

Read More…