Fragmented Packet dapat disalahgunakan untuk memblokir rule pada
beberapa firewall. Hal ini dilakukan dengan cara mengelabuhi nilai
Fragment Offset. Caranya adalah dengan mengatur nilai Fragment Offset
paket kedua sangat rendah, sehingga bukannya menambahkan paket kedua
untuk paket pertama tapi benar-benar menimpa data dan sebagian dari TCP
header paket pertama.
 |
| Packet Fragmented Attack |
Jika seseorang ingin `telnet` ke jaringan di mana packet filtering
firewall memblokir TCP Port 23 dan SMTP port 25 diizinkan. Pengguna
harus mengirimkan dua paket:
- Paket pertama akan:
- Memiliki Fragment Offset 0.
- Memiliki Fragment Offset 0.
- Memiliki DF bit sama dengan 0 berarti "May Fragment" dan MF bit sama dengan 1 berarti "More Fragments"
- Memiliki Destination Port pada TCP header 25. TCP port 25 diperbolehkan, sehingga firewall akan mengizinkan paket yang masuk ke jaringan.
- Paket kedua akan:
- Memiliki Fragment Offset 1. Berarti paket kedua sebenarnya akan menimpa segalanya pada 8 bit pertama dari paket pertama.
- Memiliki DF bit sama dengan 0 berarti "May Fragment" dan MF bit sama dengan 0 berarti "Last Fragment.”
- Memiliki Destination Port pada TCP header 23. Biasanya akan diblokir, namun tidak akan dalam kasus ini.
Packet filtering firewall akan melihat bahwa Fragment Offset paket kedua
lebih besar dari nol. Hal ini dapat membuat firewall menyimpulkan bahwa
paket kedua adalah suatu fragment dari paket lain dan tidak akan
memeriksa paket kedua yang berlawanan rule set. Ketika dua paket tiba di
host target, mereka akan dipasang kembali. Paket kedua akan menimpa
sebagian dari paket pertama dan isi dari paket gabungan itu akan masuk
ke port 23.
Tidak ada komentar:
Posting Komentar