MonNet, exempel på mätningar på Sunet Sven Tafvelin Wolfgang John
”Fingerprinting” Det finns programvara, p0f, som passivt analyserar TCP-trafik till/från viss maskin och försöker lista ut vilket OS maskinen har. Den lyckas inte alltid UDP-trafik kan inte ”fingerprintas” eftersom alla implementeringar gör på samma sätt.
Användning av IP optioner Används i praktiken inte alls. Bland miljarder paket hittades bara 68 paket med IP optioner.
IP fragmentering De flesta IP-paketen (även IPv4) har ”don’t fragment”-biten påslagen. Det innebär att de använder Path MTU discovery. Därför blir det få fragmenteringar. IP-fragment utgör enbart 0.06% av alla IP- paket.
IP-fragmentering (2) Fragmenterade paket är 9 ggr vanligare på ingående länk än på utgående. På ingående länk bär fragmenterade paket UDP i 97% av fallen och TCP i 3 %. På utgående länk är UDP 19%, TCP är 18% och IPSec ESP är 63%.
IP-fragmentering (3) All denna IPSec trafik förekommer bara under kontorstid under arbetsdagar mellan exakt två maskiner. Trafiken är hela tiden ett fullt Ethernet-paket och ytterligare ett paket med 72 bytes. Uppenbart har maskinen inte tagit hänsyn till IPSec tunnlingens overhead. Detta borde fixas.
Märkliga IP-flaggor Don’t fragment och more fragments samtidigt!! (27474 paket). Fall1: paket finns i en burst i en trace: 10 min lång TCP flow med en maskin med port och andra maskinen med spelporten1737 (UltimaD). Märkligt nog är all trafik fragmenterad till 244 byte långa IP- paket summerande till normalt Ethernet segementlängd. Här behövs MF-flaggan men samtidigt är DF flaggan satt! Uppenbarligen har avsändaren själv fragmenterat.
Märkliga IP-flaggor (2) Samtidiga DF och MF-flaggor: Fall 2: 85% av alla utgående paket med flaggorna ovan kommer från en maskin och trafiken är utspridd över hela mätperioden. DNS porten används hela tiden vilket indikerar att det finns en ”sjuk” DNS server i göteborgsregionen.
TCP formfel Anomali02:0010:0014:0020:00 Odef option Fel opt längd Fel header längd
Tänkbara orsaker till TCP formfel Buggig programvara Illvilligt testande; kan vi få den andra partnern att hänga? Mindre illvilligt testande efter protokollstacksversioner; genom att se reaktionen på väl valda felaktiga paket kan man avgöra vilken protokollstack det är. ???
Otillåtna TCP-optioner Odefinierade optioner: 85% på inkommande länk och 15% på utgående. 36% ingår i en händelse: En extern dator gjorde under 20 min scanning mot port 2100 mot 8200 olika adresser med samma 16 bit prefix. Ca 6% av paketen hade felen ovan. Troligen är det ett buggigt scanningprogram. Fingerprinting (318/522) gav 80% Windows och 20% Unix derivat.
TCP header kortare än 20 bytes ”Kan inte förekomma” men fanns i 848 segment 91.3% på inkommande länk, 8,7% på utg ående. 351 paket kom från en host till 351 olika adresser mot portarna 21, 23, 110, 80, => Scanning och möjligen hopp om att ”döda” motparten! Fingerprinting (115/184) gav 78% Windows och 22% Unix derivat.
Märkliga TCP flaggor 02:0010:0014:0020:00 RST+SYN+FIN RST+SYN SYN+FIN42289 Zero flags RST+FIN
Märkliga TCP flaggor (2) SYN+FIN skulle kunna vara superkort transactional TCP (T/TCP), men är inte det eftersom den nödvändiga CC-optionen (RFC1644) inte finns. Fingerprinting de 4 första anomalierna gav (40/56) 95% Windows och 5% Unix derivat.
Märkliga TCP flaggor (3) Avslutning med FIN+RST är mycket vanligare än de andra anomalierna (51842 gånger). Ca 20% av använda portar är ”välkända” P2P och spel-portar och det förklarar säkert en mycket större andel.
P2P (Gnutella) exempel Svar från Gnutella ultrapeer: GNUTELLA/ OK X-Try: :6346, :6346, :6346, :16230, :16225, :40075,... X-Try-Ultrapeers: :23181, :6346, :3458, :6351,...
Märkliga TCP flaggor(4) Eftersom explicita icke välkända portnummer ges förklarar det ännu mer än de 20 % enligt tidigare. I de flesta fall förkommer denna avslutning direkt vid kontaktförsök som ett nej-svar. Typiskt återkommer försöket ett antal 10-tals sekunder senare och när detta nekas görs ett sista försök någon minut senare.
Nuläge Mätutrustningen är i drift igen med randomiserade tidpunkter för mätningar. Fördjupad analys av anomalierna pågår. Artikel med avsevärt mer detaljinformation har skrivits och skickats för publicering.