home *** CD-ROM | disk | FTP | other *** search
/ Tietokone-lehden Plus / Tietokone Plus CD 1998.iso / pc / ohjelmat / muut / hotfixes / postsp3 / simptcp / q154460.txt < prev    next >
Text File  |  1997-07-21  |  3KB  |  79 lines
  1. DOCUMENT:Q154460
  2. TITLE   :Denial of Service Attack Against WinNT Simple TCP/IP Services
  3. PRODUCT :Microsoft Windows NT
  4. PROD/VER:4.0
  5. OPER/SYS:WINDOWS
  6. KEYWORD :kbbug4.00 kbfile kbfix4.00 kbnetwork NTSrvWkst nttcp
  7.  
  8. --------------------------------------------------------------------------
  9. The information in this article applies to:
  10.  
  11.  - Microsoft Windows NT Workstation version 4.0
  12.  - Microsoft Windows NT Server version 4.0
  13. --------------------------------------------------------------------------
  14.  
  15. SYMPTOMS
  16. ========
  17.  
  18. As your computer is being attacked there may be a jump in bandwidth
  19. utilization on a subnet containing Windows NT computers and performance may
  20. suffer. A network analyzer shows a large amount of UDP traffic, typically
  21. from port 19 (chargen).
  22.  
  23. CAUSE
  24. =====
  25.  
  26. A malicious attack may be mounted against Windows NT computers with the
  27. Simple TCP/IP Services installed. The attack consists of a flood of UDP
  28. datagrams sent to the subnet broadcast address with the destination port
  29. set to 19 and a spoofed source IP address. The Windows NT computers running
  30. Simple TCP/IP services respond to each broadcast, creating a flood of UDP
  31. datagrams.
  32.  
  33. RESOLUTION
  34. ==========
  35.  
  36. Windows NT TCP/IP, Windows Sockets, and Simple TCP/IP services have been
  37. modified to be more attack resistant. Windows Sockets now supports a new
  38. socket option, SO_BROADCAST, that can be set to allow the recvfrom() call
  39. to pass broadcast datagrams to the application. The default for this option
  40. is OFF. Previous implementations passed broadcasts datagrams to any Windows
  41. Sockets application that issued a recvfrom() call. Additionally, the
  42. chargen service and other Simple TCP/IP services have been modified to drop
  43. any datagrams that have the source port equal to the destination port to
  44. prevent "looping" attacks.
  45.  
  46. To resolve this problem, obtain the hotfix below, or wait for the next
  47. service pack.
  48.  
  49. This hotfix has been posted to the following Internet location:
  50.  
  51.    ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/
  52.    hotfixes-postSP3/simptcp-fix
  53.  
  54. STATUS
  55. ======
  56.  
  57. Microsoft has confirmed this to be a problem in Windows NT version 4.0.
  58. A supported fix is now available, but has not been fully regression-tested
  59. and should be applied only to systems experiencing this specific problem.
  60. Unless you are severely impacted by this specific problem, Microsoft
  61. recommends that you wait for the next Service Pack that contains this fix.
  62. Contact Microsoft Technical Support for more information.
  63.  
  64. Additional query words: 4.00 prodnt chargen attack
  65.  
  66. ============================================================================
  67.  
  68. THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS
  69. PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND.  MICROSOFT DISCLAIMS
  70. ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES
  71. OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE.  IN NO
  72. EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR
  73. ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL,
  74. CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF
  75. MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE
  76. POSSIBILITY OF SUCH DAMAGES.  SOME STATES DO NOT ALLOW THE EXCLUSION
  77. OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES
  78. SO THE FOREGOING LIMITATION MAY NOT APPLY.
  79.