ping of death funktioniert nicht?

[Matthias Wulkow]

Hallo,

ich habe vor kurzem im eigenen Netzwerk versucht meinem
Windows-Client-Rechner einen übergroßen ICMP Packet zu schicken.
ping -s 65510 192.168.0.12
Daraufhin kam die Meldung:
WARNING: packet size 65510 is too large. Maximum is 65507
PING 192.168.0.12 (192.168.0.12) from 192.168.0.1 : 65510(65538) bytes of
data.
ping: sendto: Message too long
ping: sendto: Message too long

Der Rechner von dem aus ich dies versucht habe ist ein Mandrake 8.0 Rechner.
Was könnte diese Meldung hervorbringen? Der Kernel?
Ich habe in meinen iptables-Regeln nachgeschaut und nichts gefunden, was
damit in Verbindung gebracht werden könnte.

Danke für Aufklärung

M. W.

[Eilert Brinkmann]

"Matthias Wulkow" wrote:
> ping -s 65510 192.168.0.12
> Daraufhin kam die Meldung:
> WARNING: packet size 65510 is too large. Maximum is 65507

Ein IPv4-Paket kann maximal 65535 Bytes lang werden, da die
Längenangabe im IPv4-Header mit ihren 16 Bit nicht mehr hergibt (siehe
RFC 791). Abzüglich (mindestens) 20 Bytes für den IPv4-Header und
weiterer 8 Bytes für dem ICMP-Header (bei ICMP-Typ 0 oder 8, siehe RFC
792) bleiben also maximal 65507 Bytes für Nutzdaten, die man in ein
ICMP-Echo(-Reply)-Datagram hinein tun kann.

> PING 192.168.0.12 (192.168.0.12) from 192.168.0.1 : 65510(65538) bytes of
> data.
> ping: sendto: Message too long

> [...]

> Was könnte diese Meldung hervorbringen? Der Kernel?

Ja, weil das drei Bytes zuviel sind, um daraus ein IPv4-Paket bauen zu
können.

Eilert
--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik
eil...@informatik.uni-bremen.de - eil...@tzi.org
http://www.informatik.uni-bremen.de/~eilert/

[Matthias Wulkow]

Also heißt das, daß ich selbst ein Packet erstellen muss (raw ip) und die
ganzen Header Flags selbst setzen muss, um diesen überdimensionierten ICMP
Packet zu verschicken?

M. W.

[Torsten Schneider]

Matthias Wulkow <tres...@gmx.de> wrote:

Nein, das heißt, daß Du kein derart großes ICMP Echo Request Paket über
IPv4 verschicken kannst, wo die Differenz zu 65535 herkommt, wurde Dir
ja vorgerechnet.

Die Ping of Death Lücken sind übrigens schon seit mehreren Jahren
gestopft, hoffst Du auf eine seit Jahren nicht mehr angefaßte
Gegenstelle?

Grüße, Torsten

[Matthias Wulkow]

Ich habe allerdings in recht aktuellen Büchern nachgelesen, daß dieses Ping
of Death immer noch funktioniert. Man braucht "nur" ein übergroßes ICMP
Paket an ein Win Rechner zu schicken (win95, 98, NT und 2000 glaube ich).
Daß unter Linux der Kernel es nicht erlaubt so ein Paket zu verschicken, das
wußte ich nicht. Aber ich könnte mir vorstellen, daß es machbar ist ohne
einen Kernel komplett neu zu schreiben...

M. W.

PS: *Die Referenzen: Das Firewall Buch von Suse Press und Hackproofing
your Network (1. Auflage von 2001)
*Würde es eigentlich funktionieren so ein Paket einfach zu
fragmentieren, sodaß dieses Riesen-Paket erst beim Zielrechner
überdimensionert wird?

[Felix von Leitner]

Thus spake Matthias Wulkow (tres...@gmx.de):

> Ich habe allerdings in recht aktuellen Büchern nachgelesen, daß dieses Ping
> of Death immer noch funktioniert.

Laß mich raten?

Hacking für Dummies?
Security in 21 Sekunden für absolute Vollidioten, worthless CD included?
Hacker's Blackbook?

> Man braucht "nur" ein übergroßes ICMP Paket an ein Win Rechner zu
> schicken (win95, 98, NT und 2000 glaube ich). Daß unter Linux der
> Kernel es nicht erlaubt so ein Paket zu verschicken, das wußte ich
> nicht. Aber ich könnte mir vorstellen, daß es machbar ist ohne einen
> Kernel komplett neu zu schreiben...

Aha, aber wie man das macht stand nicht deinem Buch, ja?
Fällt dir was auf bezüglich deines Buches?

> PS: *Die Referenzen: Das Firewall Buch von Suse Press und Hackproofing
> your Network (1. Auflage von 2001)

Das ist nicht aktuell.

> *Würde es eigentlich funktionieren so ein Paket einfach zu
> fragmentieren, sodaß dieses Riesen-Paket erst beim Zielrechner
> überdimensionert wird?

Der Punkt ist, daß das Paket selber gar nicht groß sein muß, es muß nur
im Header stehen, es sei groß. Stand das nicht in deinem Buch? Fällt
dir was auf?

[Felix Deutsch]

Felix von Leitner wrote:

>Thus spake Matthias Wulkow (tres...@gmx.de):

>> PS: *Die Referenzen: Das Firewall Buch von Suse Press und Hackproofing

>> your Network (1. Auflage von 2001)
>
>Das ist nicht aktuell.

Wenn das tatsächlich so drinsteht, war das Buch zu keiner Zeit aktuell.
Das ist Jahre zuvor gepatched worden.

--
trespassers will be shot, repeat trespassers will be shot repeatedly

[Matthias Wulkow]

Tja, man kann nicht alles wissen...

Und ob mir was auffällt? So direkt nicht... aja, es regnet grad draußen...
;-)

Trotzdem danke für die Antwort.

M. W.

[Immo 'FaUl' Wehrenberg]

begin followup to the posting of Matthias Wulkow

> Ich habe allerdings in recht aktuellen Büchern nachgelesen, daß dieses Ping
> of Death immer noch funktioniert.

Nein

> Daß unter Linux der Kernel es nicht erlaubt so ein Paket zu verschicken,
> das wußte ich nicht. Aber ich könnte mir vorstellen, daß es machbar ist
> ohne einen Kernel komplett neu zu schreiben...

Ja, man muss nur ein Protokoll neuschreiben. Allerdings ist es dann nicht
mehr zu IP Kompatibel, das hat den Vorteil das du dann keine Leute im Usenet
mehr mit deiner Inkompetenz nerfen kannst.

> PS: *Die Referenzen: Das Firewall Buch von Suse Press und Hackproofing
> your Network (1. Auflage von 2001)

-> Tonne

FaUl
end
This article does not support incompatible and broken newsreaders.
--
Am Ende kommst du mir noch mit der Theorie, daß die Erde gar nicht der
Mittelpunkt des Universums ist! Lächerlich. Ketzern wie dir wünsche
ich manchmal, daß sie vom Rand der Erdscheibe herunterfallen!
[Felix von Leitner in dasr]