Bonk Attack

[Nopsty]

Hallo!

Meine Fritzbox 7270 mit der aktuellen freetz trunk Version rebootet alle paar Stunden. Unabhängig von den verwendeten Packeten, auch in der Standardconfig wo nur die Boxversion ausgewählt wurde. Es dürfte also nicht an freetz liegen.

Wenn ich ctlmgr im Vordergrund starte, ist die letzte Meldung die ich sehe folgende:

/var/mod/root # ctlmgr -s
/var/mod/root # ctlmgr -f
May 22 04:33:44 dsld[1312]: internet: Bonk Attack detected (1)


Dies passiert egal ob auf der Leitung Daten hin und her geschickt werden oder nicht. Also auch wenn kein PC in der Zeit an ist. Und ich habe eine stinknormale dynamische IP.

Hat irgendwer eine Idee was ich dagegen tun kann?


mfg Nopsty

 

[olistudent]

Die Meldung ist vom dsld. Kommt die wirklich nur, wenn der ctlmgr im Vordergrund läuft? Passiert der Reboot sofort nach der Meldung oder erst später? Wie sieht es denn ohne Freetz aus?

MfG Oliver

 

[Nopsty]

Kommt die wirklich nur, wenn der ctlmgr im Vordergrund läuft?

Ja. Ansonst sehe ich garnichts.

Passiert der Reboot sofort nach der Meldung oder erst später?

Gleich danach. Sobald diese Meldung kommt verliert Telnet die Verbindung mit der Box und sie rebootet.

Wie sieht es denn ohne Freetz aus?

Das kann ich leider nicht ausprobieren da meine Box mit Annex A arbeitet, es aber irgendwie nur mehr Annex B Firmwares zum Downloaden von AVM gibt (bei A-CH wo es doch eigentlich kein Annex B gibt):
ftp://ftp.avm.de/fritz.box/fritzbox..._7270_16.AnnexB.en-de-es-it-fr.54.04.81.image


Stellt freetz denn eigentlich irgendetwas mit dem dsld an? Bzw gibt es denn irgendetwas zwischen der "Leitung" und dem dsld? Zb etwas um dies mit der AVM Firewall zu verhindern, die ja auch im dsld drinn is?


Vielen Dank!

mfg Nopsty

 

[Silent-Tears]

Nein, freetz stellt damit nichts an. Ist closed source.

 

[olistudent]

Die A-CH Firmwar kann auch Annex A. Obwohl der Dateiname das nicht vermuten lässt.

MfG Oliver

 

[Nopsty]

Ahh. Ok, dann werd ich die gleich mal ausprobieren.

 

[vasila]

I'm also getting this issue using Annex A in a german box...
With the last trunk freetz.
Best regards

 

[colonia27]

Moin,
hatte heut um 13:30Uhr auch ne "Bonk Attack" und die Box ist durchgestartet.
Leider auch hier nichts ersichtlich. Syslog:

Oct 12 13:32:15 fritz user.err dsld[2360]: internet: Bonk Attack detected (1)
Oct 12 14:04:24 fritz syslog.info syslogd started: BusyBox v1.17.2

Scheint allerdings wirklich nichts mit freetz zu tun haben, da KlausBock dies hier ebenfalls hatte. Auf einem jediglich gefritzten Speedport.

Zur Bonk-Attack ansich hab ich nur folgendes gefunden:
klick
In Bezug auf die FB also erstmal nicht soooo dramatisch

 

[RalfFriedl]

Wenn die Box davon neu startet, dann ist das schwach.
Den Angriff zu melden, wenn die Box davon nicht beeinflußt wird, ist unnötig, zumal in einer AVM-Firmware sowieso keine Syslog-Meldungen kommen.
Und wenn der dsld damit ein Problem hat, wäre es besser, dieses zu lösen als die Meldung zu bringen.

 

[roundzero]

Moin,

hatte deswegen jetzt 2 reboots in 24h! auf der 7390. Firmware-Version 84.04.86
Wenn das DER bonk ist, ist das Megaschwach. Der ist von 1998.

http://staff.washington.edu/dittrich/talks/security/case2/bonk.c

Der ist so alt, dass ich das nicht mehr compiliert krieg.
Kann das mal jemand pruefen und ggf. Alarm schlagen ?


olli

 

[RalfFriedl]

Es braucht nur einige kleine Änderungen.

--- bonk.c.orig 1998-03-05 03:02:37.000000000 +0100
+++ bonk.c      2010-11-10 09:58:10.000000000 +0100
@@ -25,8 +25,7 @@
 #include <sys/types.h>
 #include <netinet/in.h>
 #include <netinet/ip.h>
-#include <netinet/ip_udp.h>
-#include <netinet/protocols.h>
+#include <netinet/udp.h>
 #include <arpa/inet.h>

 #define FRG_CONST       0x3
@@ -83,7 +82,7 @@
         pkt.ip.tot_len = htons(udplen + iplen + PADDING);
         pkt.ip.id = htons(0x455);
         pkt.ip.ttl = 255;
-        pkt.ip.protocol = IP_UDP;
+        pkt.ip.protocol = IPPROTO_UDP;
         pkt.ip.saddr = src_addr;
         pkt.ip.daddr = dst_addr;
         pkt.ip.frag_off = htons(0x2000);        /* more to come */

Aber der Reboot muß nicht zwangsläufig davon kommen. Vielleicht probiert jemand mehrere Angriffe aus, dieser wird erkannt, aber ein anderer führt zum Reboot.

 

[roundzero]

hmm,

mit dem patch sagt mir das Programm

IP_HDRINCL: Bad file descriptor

 

[RalfFriedl]

Bei mir läuft das Programm ohne Fehlermeldung.
Führst Du es als root aus?

 

[roundzero]

ahjo,

als root laeufts. Naja. FB laeuft auch noch. Das wars also nicht.

Hatte aber unabhaengig davon heute den 3. reboot deswegen.
Wenn sich das mal nicht noch zu einem groesseren
Problem entwickelt

 

[Chatty]

Dann zeichne doch den Traffic auf. Dann kannst du ihn später mit Wireshark sezieren.

 

[RalfFriedl]

Mir ist inzwischen aufgefallen, daß das Programm zwar durchläuft, aber anscheinend nur ein Paket versendet statt zwei.