home *** CD-ROM | disk | FTP | other *** search

---

/ Chaos Computer Club 1997 February / cccd_beta_feb_97.iso / contrib / cert / ca9601

< prev

next >

Wrap

PGP Signed Message  |  1997-02-28  |  9KB  |  216 lines

---

1. -----BEGIN PGP SIGNED MESSAGE-----
2.  
3. =============================================================================
4. CERT(sm) Advisory CA-96.01
5. Original issue date:   February 8, 1996
6. Last revised: August 30, 1996 
7.               Information previously in the README was inserted
8.               into the advisory.
9.  
10.               A complete revision history is at the end of this advisory.
11.  
12. Topic: UDP Port Denial-of-Service Attack
13. - -----------------------------------------------------------------------------
14.  
15. The CERT Coordination Center has received reports of programs that launch
16. denial-of-service attacks by creating a "UDP packet storm" either on a system
17. or between two systems. An attack on one host causes that host to perform
18. poorly. An attack between two hosts can cause extreme network congestion in
19. addition to adversely affecting host performance.
20.  
21. The CERT staff recommends disabling unneeded UDP services on each host, in
22. particular the chargen and echo services, and filtering these services at the
23. firewall or Internet gateway.
24.  
25. Because the UDP port denial-of-service attacks typically involve IP spoofing,
26. we encourage you to follow the recommendations in advisory CA-95:01.
27.  
28. We will update this advisory as we receive additional information.
29. Please check advisory files regularly for updates that relate to your site
30.  
31. - -----------------------------------------------------------------------------
32.  
33. I.   Description 
34.  
35.      When a connection is established between two UDP services,
36.      each of which produces output, these two services can produce a
37.      very high number of packets that can lead to a denial of service
38.      on the machine(s) where the services are offered. Anyone with network
39.      connectivity can launch an attack; no account access is needed.
40.      
41.      For example, by connecting a host's chargen service to the echo service
42.      on the same or another machine, all affected machines may be
43.      effectively taken out of service because of the excessively high number
44.      of packets produced. In addition, if two or more hosts are so connected,
45.      the intervening network may also become congested and deny service
46.      to all hosts whose traffic traverses that network.
47.  
48. II.  Impact
49.      
50.      Anyone with network connectivity can cause a denial of service.
51.      This attack does not enable them to gain additional access.
52.  
53. III. Solution
54.      We recommend taking all the steps described below.
55.  
56.      1. Disable and filter chargen and echo services.
57.         This attack is most readily exploited using the chargen or echo
58.         services, neither of which is generally needed as far as we are aware.
59.         We recommend that you disable both services on the host and filter
60.         them at the firewall or Internet gateway.
61.  
62.         To disable these services on a host, it is necessary to edit the
63.         inetd configuration file and cause inetd to begin using the new
64.         configuration. Exactly how to do this is system dependent so you
65.         should check your vendor's documentation for inetd(8); but on many
66.         UNIX systems the steps will be as follows:
67.          (1) Edit the inetd configuration file (e.g. /etc/inetd.conf).
68.          (2) Comment out the echo, chargen, and other UDP services not used.
69.          (3) Cause the inetd process to reread the configuration file
70.              (e.g., by sending it a HUP signal).
71.  
72.      2. Disable and filter other unused UDP services.
73.         To protect against similar attacks against other services, we
74.         recommend
75.            -  disabling all unused UDP services on hosts and
76.            -  blocking at firewalls all UDP ports less than 900 with 
77.               the exception of specific services you require, such as
78.               DNS (port 53). 
79.      
80.      3. If you must provide external access to some UDP services, consider
81.         using a proxy mechanism to protect that service from misuse.
82.         Techniques to do this are discussed in Chapter 8, "Configuring
83.         Internet Services," in _Building Internet Firewalls_ by Chapman
84.         and Zwicky (see Section IV below).
85.  
86.      4. Monitor your network.
87.         If you do provide external UDP services, we recommend monitoring
88.         your network to learn which systems are using these services and
89.         to monitor for signs of misuse. Tools for doing so include Argus,
90.         tcpdump, and netlog.
91.  
92.         Argus is available from
93.              ftp://ftp.net.cmu.edu/pub/argus-1.5/
94.              MD5 (argus-1.5.tar.gz) = 9c7052fb1742f9f6232a890267c03f3c
95.      
96.              Note that Argus requires the TCP wrappers to install:
97.              ftp://info.cert.org/pub/tools/tcp_wrappers/tcp_wrappers_7.2.tar.Z
98.              MD5 (tcp_wrappers_7.2.tar.Z) = 883d00cbd2dedd9bfc783b7065740e74
99.  
100.        tcpdump is available from
101.              ftp://ftp.ee.lbl.gov/tcpdump-3.0.2.tar.Z
102.              MD5 (tcpdump-3.0.2.tar.Z) = c757608d5823aa68e4061ebd4753e591
103.         
104.              Note that tcpdump requires libpcap, available at
105.                  ftp://ftp.ee.lbl.gov/libpcap-0.0.6.tar.Z
106.                  MD5 (libpcap-0.0.6.tar.Z) = cda0980f786932a7e2eebfb2641aa7a0
107.  
108.        netlog is available from
109.               ftp://net.tamu.edu/pub/security/TAMU/netlog-1.2.tar.gz
110.               MD5 (netlog-1.2.tar.gz) = 1dd62e7e96192456e8c75047c38e994b
111.  
112.       5. Take steps against IP spoofing.
113.          Because IP spoofing is typically involved in UDP port
114.          denial-of-service attacks, we encourage you to follow the
115.          guidance in advisory CA-95:01, available from
116.  
117.                ftp://info.cert.org/pub/cert_advisories/CA-95:01.IP.spoofing
118.  
119. IV. Sources of further information about packet filtering
120.  
121.     For a general packet-filtering recommendations, see  
122.    
123.          ftp://info.cert.org/pub/tech_tips/packet_filtering
124.  
125.      For in-depth discussions of how to configure your firewall, see
126.  
127.          _Firewalls and Internet Security: Repelling the Wily Hacker_
128.          William R. Cheswick and Steven M. Bellovin 
129.          Addison-Wesley Publishing Company, 1994
130.          ISBN 0-201-63357
131.         
132.          _Building Internet Firewalls_
133.          Brent Chapman and Elizabeth D. Zwicky
134.          O'Reilly & Associates, Inc., 1995
135.          ISBN 1-56592-124-0
136.  
137. - ---------------------------------------------------------------------------
138. The CERT Coordination Center staff thanks Peter D. Skopp of Columbia
139. University for reporting the vulnerability and Steve Bellovin of AT&T Bell
140. Labs for his support in responding to this problem. 
141. - ---------------------------------------------------------------------------
142.  
143. If you believe that your system has been compromised, contact the CERT
144. Coordination Center or your representative in the Forum of Incident
145. Response and Security Teams (FIRST).
146.  
147. We strongly urge you to encrypt any sensitive information you send by email.
148. The CERT Coordination Center can support a shared DES key and PGP. Contact the
149. CERT staff for more information.
150.  
151. Location of CERT PGP key
152.          ftp://info.cert.org/pub/CERT_PGP.key
153.  
154. CERT Contact Information
155. - ------------------------
156. Email    cert@cert.org
157.  
158. Phone    +1 412-268-7090 (24-hour hotline)
159.                 CERT personnel answer 8:30-5:00 p.m. EST
160.                 (GMT-5)/EDT(GMT-4), and are on call for
161.                 emergencies during other hours.
162.  
163. Fax      +1 412-268-6989
164.  
165. Postal address
166.         CERT Coordination Center
167.         Software Engineering Institute
168.         Carnegie Mellon University
169.         Pittsburgh PA 15213-3890
170.         USA
171.  
172. To be added to our mailing list for CERT advisories and bulletins, send your
173. email address to
174.         cert-advisory-request@cert.org
175.  
176. CERT publications, information about FIRST representatives, and other
177. security-related information are available for anonymous FTP from
178.         ftp://info.cert.org/pub/
179.  
180. CERT advisories and bulletins are also posted on the USENET newsgroup
181.         comp.security.announce
182.  
183.  
184. Copyright 1996 Carnegie Mellon University
185. This material may be reproduced and distributed without permission provided it
186. is used for noncommercial purposes and the copyright statement is included.
187.  
188. CERT is a service mark of Carnegie Mellon University.
189.  
190. =============================================================================
191. UPDATES
192.          
193. Silicon Graphics Inc.
194.  
195. SGI acknowledges CERT Advisory CA-96.01 and is currently investigating.
196. No further information is available at this time.
197.  
198. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
199. Revision history
200.  
201. Aug. 30, 1996  Information previously in the README was inserted into the
202.                advisory.
203. Feb. 23, 1996  Updates section - added information from Silicon Graphics, Inc.
204. Feb. 21, 1996  Solution, Sec. III.4 - added new URL for Argus.
205.  
206.  
207. -----BEGIN PGP SIGNATURE-----
208. Version: 2.6.2
209.  
210. iQCVAwUBMiTAHHVP+x0t4w7BAQGfMgP/VUfOtZS1+Pl9KTRe1buCq7lxXP3CFz//
211. LcjzuZVcGIz0akMb+EytK5yznAZpXLcvo1eUKtmbAoyu0Eq30YMTfhvLUQK48SVk
212. vURi0qYjvwbsQVWhZOiity3l7/imdhgX8IsrcRkYCTPEMALUc3PsYO903uHDutn7
213. mC5n1qW2Gqk=
214. =uBej
215. -----END PGP SIGNATURE-----
216.