Norton Personal Firewall 2002无法检测到SYN/FIN扫描

/ns/ld/softld/data/20020513024352.htm

涉及程序:
Norton Personal Firewall 2002

描述:
Norton Personal Firewall 2002无法检测到SYN/FIN扫描

详细:
Windows 2000上的诺顿个人防火墙2002(Norton Personal Firewall 2002 ),在对SYN/FIN扫描攻击的反应上存在着漏洞,根本无法察觉(进行SYN/FIN/URG, SYN/FIN/PUSH, SYN/FIN/URG/PUSH 扫描也不能被检测到)。

-----------------------------------------------------------
当进行SYN/FIN扫描时,不管有没有装NPF 2002的windows机器反馈的信息都是一样。

open TCP port answer (hping output):
len=46 ip=a.b.c.d sport=135 flags=SA DF seq=5 ttl=128 id=112 win=16616 rtt=0.8 ms

close TCP port answer (hping output):
len=46 ip=a.b.c.d sport=136 flags=RA seq=6 ttl=128 id=113 win=0 rtt=0.6 ms

攻击者就是通过这样检测哪个端口正在监听,而攻击者的IP地址又不会被放入NPF的黑名单。
-----------------------------------------------------------

在NPF检测端口扫描时,它过滤了源IP的所有数据包。顺便一提,我们为了弄明白这个问题,对此进行了深入研究:
结果通过一定的测试后,我们发现NPF仅仅阻止了IP黑名单中的SYN数据包。这将意味着即使攻击者的IP地址已列入黑名单,攻击者也仍旧能继续已经建立的连接,进行SYN/FIN扫描。当然,如果IP地址已列入黑名单,并且连接已经断开的,是不能再连接上的。

再者,由于攻击者无法改变黑名单列表的有效时间(30分钟)。断开的连接只有30分钟后才能再尝试着端口扫描。

但是在我们的探测性测试中,我们尝试着用一个老的工具jolt2(MS00-029 May 2000)去进行攻击,然后用高级选项去检测claim的过于零碎的IP数据包(block fragmented IP Packets)。结果因为这是proof-of-concept的问题,是无法检测到零碎的IP数据包的,发现NPF是无法阻止jolt2的攻击的。



解决方案:
解决方案目前尚无

如果你是Norton Personal Firewall 2002 的用户,敬请关注:

http://www.symantec.com/sabu/nis/npf/

http://service4.symantec.com/discuss/support/feedback2.nsf/product+feedback