Kaspersky Anti-Hacker v1.0 rend le DoS facile.

Kaspersky Anti-Hacker est un produit firewall personnel de Kaspersky Lab. Comme d'autres produits de cette catégorie, Kaspersky Anti-Hacker permet la création de paquets et de règles de filtrage des applications.

Source :ECHU.ORG

Parmis ses possibilités, Kaspersky Anti-Hacker, (disponible en cliquant ici) a inclus une version simplifiée d'IDS (Intrusion Detection System). Ce module IDS est automatiquement activé lors de l'installation du produit. L'IDS est capable de detecter seulement 7 attaques, incluant le scan de ports et le flooding SYN/UDP. Avec l'IDS, le firewall a aussi la possibilité d'effectuer un bloquage actiff des attaques detectées. Cette option (qui est activée par défaut) rend les attaques DoS à l'encontre d'utilisateurs distants, utilisant Kaspersky Anti-Hacker, très simple à faire.

Si le bloquage actif est activé, une fois qu'une attaque est detectée, Kaspersky
Anti-Hacker va bloquer tout le traffic vers l'adresse IP source de l'attaque detectée.
En envoyant des paquets spoofés une machine distante utilisant Kaspersky Anti-Hacker peut facilement bloquer le traffic légitime de n'importe quelle adresse IP.

Exemple avec hping2:

# hping -S -i u1 -s +1025 -p +21 -w 3072 -a \


Kaspersky Anti-Hacker va reporter cette attaque comme SYN flood et va automatiquement bloquer tout le traffic de l'adresse IP spoofée.

La même chose peut être accomplie avec l'option decoy de Nmpa:

# nmap -sS -P0 -D

Cette fois Kaspersky Anti-Hacker va detecter une attaque port scanning et bloquer automatiquement tout le traffic de l'adresse IP spoofée.

La version actuelle 1.0 est concernée. Kapersky Lab a été prévenu par Bojan Zdrnja, qui a fait la découverte de la faille, mais n'a pas dénié donné de réponse, il n'y a donc pas de correctif disponible pour le moment. L'unique solution consiste donc pour l'instant à désactiver l'option Assaulter blocking time. Kaspersky Anti-Hacker va toujours reporter les attaques possibles et l'utilisateur pourra choisir ou pas de les bloquer.
Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
2 commentaires
    Votre commentaire
  • klez@idn
    Anonymous a dit :

    La même chose peut être accomplie avec l'option decoy de Nmpa:


    option decoy Nmap [:klez]
    0
  • grobs
    Nmpa = groupe de musique ^^
    0