Ping Of Death (SSPING)

Kurz-Beschreibung:

Dieser Fehler entsteht dadurch, daß beim Sender zu große IP-Pakete generiert werden (können), die beim Empfänger zu einem Überlauf des Empfangspuffers führen.

Technische Beschreibung:

IP Pakete können nach RFC 791 eine Größe von maximal 65 535 (216-1) Bytes (Octets) haben. Diese beinhaltet den Header, der normalerweise eine Länge von 20 Byte hat. Pakete, die größer sind, als die darunterliegende Schicht verarbeiten kann (man sprich hier von der "Maximum Transmission Unit" MTU, werden in kleine Teile (Fragmente) unterteilt. Diese werden erst beim Empfänger zusammengebaut (reassembliert). Beim Ethernet beträgt die MTU 1 500 Byte, beim Token Ring 4 464 Byte und bei X.25-Netzen 576. Bei der Fragmentierung werden die einzelnen Fragmente durch den "Fragment-Offset" versehen, der die "Entfernung" zum Beginn des Orginalpaketes angibt.
Die "Ping-Pakete" bestehen aus dem sog. "ICMP ECHO-Request" (vgl. RFC 792). Diese setzen sich zusammen aus dem ICMP-Header (Länge 8 Byte) und dem IP-Header (mindestens 20 Byte), so daß für die "Nutzdaten" 65 507 Byte (65 535 - 20 - 8) "übrig" bleiben.
Bei der Fragmentierung erlauben es nun verschiedene Programme, daß ein Fragment-Offset und eine Fragmentlänge gebildet werden, die obigen maximalen Wert überschreiten (dieses verschärft sich noch, wenn IP-Optionen gesetzt sind, die die IP-Headerlänge weiter vergrößern).
Da der Empfänger erst alle Fragmente sammeln muß, bevor er das Orginalpaket wieder zusammensetzen kann, kommt es hierbei u.U. zu einem Pufferüberlauf, der unabsehbare Folgen für das Zielsystem haben kann.

Abhilfe und weitere Informationen:

Für Microsoft-Betriebssysteme gibt es einen Eintrag in der Microsoft Knowledge Base vom 19. Mai. Weitere Informationen auch zu anderen Betriebssystemen finden Sie auf der englischen Ping Of Death-Page
 
Informationen zu weiteren Attacks und Gefährdungen finden Sie auf meiner Security-Page.
 
 

Bei Fragen und Problemen posten Sie bitte in meinem Internet- und Security-Forum.
In besonderen Fällen erreichen Sie mich auch per E-Mail!
Und bitte vergessen Sie nicht, sich in meinem Gästebuch einzutragen?

Homepage [zurück zur Trojaner-Seite]

(Diese Seite wurde erstellt am 08.12.1997,
der letzte Update fand statt am 19.01.1998)


Dieses Angebot ist erreichbar über http://www.tcp-ip-info.de, http://www.trojaner-und-sicherheit.de, http://www.internet-und-sicherheit.de und http://www.tcp-ip.de.gg