Reaktionen auf das TCP-Problem

Die Schlagzeile, TCP hätte ein ernsthaftes Protokollproblem macht erwartungsgemäß die Runde im Netz. Einige Meldungen sind mehr oder minder panisch, manche beinhalten unglaublich dumme Ratschläge (SYN-Cookies dekativieren - argh!)... die meisten sind zum Glück ausreichend besonnen und werden erst einmal bis zur vollständigen Veröffentlichung der Details abwarten, bevor sie ein endgültiges Urteil abgeben. Nun kommentiert auch Fyodor, der Autor des Netzwerkscanners nmap die Ankündigung.

Die Idee, den für den Verbindungsaufbau nötigen Zustand auf der Seite des Clients ebenfalls in der Sequenznummer zu codieren, ist nicht neu - sie wurde bereits 2000 auf der Bugtraq-Mailingliste diskutiert. Dies war das einzige technische Detail, das aus den Interviews der Unicornscan-Autoren zu erahnen war - über alles weitere schweigen sie sich aus. Als Schutz vor einem solchen Angriff schlägt auch Fyodor vor, die Absender-IP-Adresse zu blockieren; da der Angreifer auf die Antwort des Servers reagieren muß, kann er die Absenderadresse nicht spoofen.
Im allgemeinen kritisiert Fyodor den Medienrummel, welchen die beiden Entwicker angestoßen haben: "Responsible disclosure" bedingt zwar, die betroffenen Hersteller vorab zu informieren, bevor man ein Problem an die breite Öffentlichkeit trägt - FUD-Interviews, welche Ängste schüren, ohne die Andeutungen mit echten Fakten zu hinterlegen, gehören jedoch nicht dazu. Das ist jenseits der Grenze zur PR-Arbeit.

In jedem Fall hat die Ankündigung wieder etwas wachgerüttelt; das Problem des Handshakes ist seit 2000 bekannt und hat reichlich wenig Beachtung gefunden. Möglicherweise stößt nun jemand auf eine praktikable Idee. Einige Leute hat der Rummel zu eigenen Experimenten motiviert: Robert Graham hat beispielsweise mit den TCP-Acknowledgements herumgespielt und herausgefunden, daß viele TCP-Stacks den nötigen Retransmit bei einem fehlenden TCP-Paket erst sehr spät anstoßen - auf diese Weise muß die Gegenstelle eine große Menge an Daten puffern.

comments powered by Disqus