Modem Error
Written by ferry89 on 22.15--------------------------------------------------------------------------------
Aduh koneksi dialup saya disconnect terus
Pernahkan anda ketika sedang asyik-asyik main IRC, dan tiba-tiba modem anda disconnect, dan setiap kali terkoneksi dan join ke channel mengalami modem anda disconnect lagi. Anda mungkin diserang oleh lawan anda dengan menggunakan eksploitasi +++ATH0. Saya rasa hal ini sering dialami oleh warnet-warnet yang menggunakan modem dialup untuk internet sharing, dimana mungkin salah satu kliennya melakukan hal yang tidak sopan pada channel sehingga diserang.
Tulisan ini perlu dibaca oleh setiap orang yang menggunakan modem untuk melakukan koneksi ke internet, dan merupakan keharusan bagi pemilik warnet untuk mengetahuinya.
Tulisan ini tidak ditujukan untuk mengajari anda bagaimana melakukan disconnect modem pemakai di Internet, tetapi memberikan informasi bahwa kemungkinan hal tersebut dapat dilakukan, sehingga anda dapat berhati-hati dan menanggulanginya.
--------------------------------------------------------------------------------
1+2=3, +++ATH0=Old school DoS Attack
Date: Sun, 27 Sep 1998 13:52:33 -0400
Reply-To: wage@IDIRECT.CA
Sender: Bugtraq List
From: "Max Schau (Noc-Wage)"
Organization: M.C.S.R
Subject: 1+2=3, +++ATH0=Old school DoS
To: BUGTRAQ@NETSPACE.ORG
+++ATH0
Dipersiapkan oleh Noc-Wage (Max Schau, M.C.S.R) Dipersembahkan untuk anda oleh orang-orang yang mengagumkan di #hackers undernet dan M.C.S.R
All OS's using a dial-up connection are at risk.
***CATATAN***
Ini adalah suatu eksploitasi yang sudah kuno, tetapi tidak ada cara yang efektif untuk menyelesaikan masalah ini, sehingga perlu diketahui oleh setiap orang atau minimal memberikan perhatian
.
***CATATAN***
Mulanya berasal dari perhatian saya terhadap nak, dan maffew "s2=255 Fix" dan menjadi perhatian saya akan SuiDRoot dan Sygma diantara menit yang satu sama yang lain. (Saya memeriksa manual modem) Juga terima kasih kepada Defraz, DrSmoke dan zerox (swab) untuk memperbolehkaan saya bertukar pikiran dengan mereka dan kontibusi ide untuk proyek tersebut. Terima kasih juga untuk rekan-rekan di #hackers.
Mungkin hal ini akan mengingatkan kepada anda akan masa kejayaan dari BBS di tahun 80-an dan 90-an. ;)
Kebanyakan modem dewasa ini menggunakan Hayes Command set (ATZ, ATDT, ATH0..) Kelemahan dari modem-modem ini cara menangani string-string tertentu sehingga menyebabkan mereka terbuka bagi serangan sejenis DoS. Yaitu dengan membuatnya melakukan respon terhadap string "+++ATH0", pada umumnya modem (dari berbagai merek) akan menggangap +++ATH0 sebagai usaha dari pemakai untuk memasuki modus perintah (command mode) secara manual dan menjalankan perintah tertentu. Ketika modem korban mencoba melakukan respon terhadap +++ATH0 (sesaat modem menemukannya dalam datagram IP) modem akan otomatis melakukan hung-up.
Bagaimana Eksploitasi ini dilakukan
Dengan perintah ping:
ping -p 2b2b2b415448300d host
Untuk pemakai IRC (pada mirc):
/raw NOTICE ToastyMan $+ $chr(1) $+ PING +++ATH0 $+ $chr(1)
Nampaknya juga dapat bekerja melalui bnc atau proxy.
**Tidak bekerja pada semua modem **
Beberapa modem, seperti U.S. Robotics, modem jenis 33.6 yang membutuhkan suatu hentian kira-kira satu detik dimana tidak ada text yang dikirim sebelum dan sesudah +++ untuk memasuki modus perintah. Sehingga hal tersebut tidak menyebabkan modem untuk melakukan hang up, karena tidak ada cara untuk membuat mesin korban melakukan jawaban terhadap +++ tanpa diikuti data seketika (tidak ada cara untuk membuat suatu selang waktu antara +++ dengan ATH0). Hal ini terjadi karena Frame pada PPP selalu diikuti data setelah IP datagram.
Suatu contoh serangan yang mungkin dilakukan adalah sebagai berikut : (IP address dapat diubah sesuai kebutuhan)
[wage@koroshiya /]$ telnet 192.168.1.1 21 Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
220 foo FTP server (Version wu-2.4.2-academ[BETA-15](1) Fri Dec 12 20:41:
USER +++ATH0
^]
telnet> close
Connection closed.
[wage@koroshiya wage]$ telnet 192.168.1.1 21 Trying 192.168.1.1...
telnet: Unable to connect to remote host: Network is unreachable [wage@koroshiya wage]$
Modem yang diketahui memiliki hasil efek:
Logicode 28.8
Supra 33.6 (internal)
Diamond Supra v.90
Banyak lagi yang lain tetapi hanya ini saja yang kami miliki.
Yang telah kita coba sejak xploit ditemukan:
Diamond SupraExpress 56k
Semua Rockwell Chipsets
Semua modem USR yang kami coba tidak berhasil, tetapi merek-merek lain umumnya berhasil.
PPP tidak melakukan kompresi terhadap IP datagram pada defaultnya,
PPP tidak melakukan kompresi terhadap IP datagram pada defaultnya, sehingga ip datagram yang dikandung dalam PPP frame akan persis sama. Atau dengan kata lain jika IP datagram mengandung "+++ATH0" modem juga akan menerima string yang persis sama.
Dua cara untuk membuat agar modem korban untuk mengirim +++ATH0 adalah :
1) Lakukan koneksi ke sendmail (tidak bekerja pada qmail), lakukan "HELO blah.com"
Kemudian ketik "VRFY +++ATH0", normalnya akan dijawab:
550 +++ATH0... User unknown, tetapi karena modem mereka melakukan interpretasi terhadap +++ATH0 maka modem melakukan hang up.
2) Lakukan koneksi ke FTP dan ketik "USER +++ATH0". Normalnya akan direspon:
331 Password required for +++ATH0. Tetapi karena modem menemukan +++ATH0 dan disconnect dilakukan.
Sebagaimana yang anda lihat, hal tersebut sederhana saja, dan ada jutaan cara yang dapat lakukan untuk menghasilkan efek yang sama.
Tentu saja serangan ini menyerupai suatu bom pipa. Kadang-kadang bekerja, dan kadang-kadang tidak, dan kadang-kadang menjadi senjata makan tuan. Jika modem anda juga memiliki efek yang sama terhadap serangan ini, dan anda mencoba menggunakan serangan ini, bisa saja anda sendiri yang akan mengalami disconnect. Ketika anda mengirim +++ATH0, modem anda mengenalinya juga. Ada beberapa cara dengan melakukan serangan dari server atau suatu koneksi ISDN, cable modem...
Untuk melindungi diri anda dari serangan ini, tambahkan pada modem initialization string anda "s2=255" yang mana akan mematikan kemampuan modem untuk memasuki modus perintah. (Hal ini dapat menjadi masalah baru bagi beberapa orang). Dimana s2 mengganti character yang akan digunakan untuk memasuki modus perintah. Pada normalnya adalah suatu nilai diatas 127 yang akan mematikan kemampuan untuk memasuki modus command secara manual, tetapi dalam hal ini tertentu saja membutuhkan suatu nilai yang lebih besar, untuk pastinya gunakan saja 255.
Berikut ini adalah cara yang digunakan MrPhoenix untuk mendapatkan hasil yang sama tanpa perlu koneksi ke suatu daemon maupun IRC Server. Dia menggunakan PING PAKET untuk memaksa korban melakukan respon terhadap string tersebut.
Ini adalah apa yang dia kirim:
+++ATH0 Ping exploit
Ping modem killer by MrPhoenix (phoenix@iname.com).
Ini adalah eksploitasi yang sederhana untuk +++ATH0 bug yang ada di Noc-Wage's post.
Memiliki efek pada: Semua modem yang mana tidak membutuhkan suatu 500msec atau lebih waktu idle setelah perintah +++, koneksi dengan suatu koneksi tanpa encryption/compression.
Beberapa cara untuk hung up telah diperkenalkan oleh Noc-Wage dengan menggunakan sendmail maupun ftp daemon, atau bahkan menggunakan suatu koneksi IRC. Tetapi ada satu cara yang lebih sederhana tanpa membutuhkan suatu daemon yang ada.
Anda dapat mengirim suatu ICMP ECHO_REQUEST ke target untuk mendapatkan suatu ICMP ECHO_RESPONSE, dan mengisi paket tersebut dengan +++ATH0
Karakter
Untuk membuat agar hal diatas dapat bekerja, anda dapat membuat program sendiri yang mengirim paket yang diperlukan, atau menggunakan program ping dengan option yang "-p" yang mengagumkan dimana anda dapat mengisinya sampai 16 karakter pada paket yang akan dikirim. Option "-p" membutuhkan pola dimasukkan secara digit hexadesimal. Ekivalen dari '+++ATH0
Perintah lengkapnya adalah : ping -p 2b2b2b415448300d
*CATATAN*: Option "-p" tidak didukung oleh program "ping" dari Microsoft pada MS-Windows.
Berikut ini adalah suatu contoh :
[root@narf ath0]# ping -p 2b2b2b415448300d -c 5 xxx.xxx.xxx.xxx PATTERN: 0x2b2b2b415448300d
PING xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx): 56 data bytes
--- xxx.xxx.xxx.xxx ping statistics --- 5 packets transmitted, 0 packets received, 100% packet loss [root@narf ath0]#
Adalah suatu yang akan anda dapatkan jika modem memutuskan koneksi. Saya mengirim 5 paket untuk memastikan, karena 1 atau 2 paket mungkin tidak bekerja.
Berikut ini adalah yang anda peroleh jika bug tersebut tidak bekerja:
[root@narf ath0]# ping -p 2b2b2b415448300d -c 5 xxx.xxx.xxx.xxx PATTERN: 0x2b2b2b415448300d
PING xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx): 56 data bytes 64 bytes from xxx.xxx.xxx.xxx: icmp_seq=0 ttl=252 time=182.4 ms 64 bytes from xxx.xxx.xxx.xxx: icmp_seq=1 ttl=252 time=190.1 ms 64 bytes from xxx.xxx.xxx.xxx: icmp_seq=2 ttl=252 time=190.1 ms 64 bytes from xxx.xxx.xxx.xxx: icmp_seq=3 ttl=252 time=190.1 ms 64 bytes from xxx.xxx.xxx.xxx: icmp_seq=4 ttl=252 time=180.1 ms
--- xxx.xxx.xxx.xxx ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 180.1/186.5/190.1 ms [root@narf ath0]#
Untuk melindungi diri anda, matikan perintah +++ dengan setting register S2 ke 255 (cara yang paling mudah), atau melakukan patching terhadap kernel anda untuk menjatuhkan (drop) paket masuk yang mengandung string "+++ATH0" (cara yang sulit).
Salam kepada: setiap orang di #grhack, zerox yang mana telah membantu saya untuk menemukan eksploitasi ini, Noc-Wage, nac, maffew dan semua orang lainnya din #hackers all the Greek hackers.
--------------------------------------------------------------------------------
0 komentar: Responses to “ Modem Error ”