<html><div style='background-color:'><DIV>
<DIV>
<DIV><B></DIV>
<P>Rule: </B>alert ip $EXTERNAL_NET any -> $HOME_NET any (msg:"DOS Jolt attack"; fragbits: M; dsize:408; reference:cve,CAN-1999-0345; classtype:attempted-dos; sid:268; rev:2;) </P><B></DIV>
<P>SID: </B>268 <B>message </B>DOS Jolt attack </P><B>
<P>Summary: </B>This is a Denial-of-Service attack by sending Large sized Fragmented IP packets using jolt2 tool on hosts having weak IP packet reassembly implementation.</P><B>
<DIV></DIV>
<P>Impact: </B>The Victim host will exhaust it's CPU and Memory Resources on Packets Reassembling and Network Bandwith choking also occurs.</P><B>
<DIV></DIV>
<P>Detailed Information: </P>
<DIV></DIV>
<P></B></P>
<DIV></DIV>
<P>jolt2 tool sends an larger number of identitical fragmented IP packets that are beyond the maximum length of a legal IP packet which causes the DoS attack on the victim.</P>
<DIV></DIV>
<P>This DoS attack specifically affects the following operating systems:</P>
<DIV></DIV>
<P>Microsoft Windows 95</P>
<DIV></DIV>
<P>Microsoft Windows 98 </P>
<DIV></DIV>
<P>Microsoft Windows NT 4.0 Workstation </P>
<DIV></DIV>
<P>Microsoft Windows NT 4.0 Server </P>
<DIV></DIV>
<P>Microsoft Windows NT 4.0 Server, Enterprise Edition </P>
<DIV></DIV>
<P>Microsoft Windows NT 4.0 Server, Terminal Server Edition </P>
<DIV></DIV>
<P>Microsoft Windows 2000 Professional </P>
<DIV></DIV>
<P>Microsoft Windows 2000 Server </P>
<DIV></DIV>
<P>Microsoft Windows 2000 Advanced Server </P>
<DIV></DIV>
<P>Cisco 26xx Routers</P>
<DIV></DIV>
<P>Cisco 25xx Routers</P>
<DIV></DIV>
<P>Cisco 36xx Routers</P>
<DIV></DIV>
<P>The Checkpoint Firewall-1 is also affected because Exhaustion of CPU and Memory resources in Log file writing at the time of the attack. This DoS attack will commonly affect any system having weak Packet Reassembly module.</P>
<DIV></DIV>
<P><BR><B>Affected Systems: </P>
<DIV></DIV>
<P>Attack Scenarios:</B> jolt2.c is the exploit source code publicly available. Anyone compiling the source can use the exploit against any victim.</P><B>
<DIV></DIV>
<P>Ease of Attack:</B> jolt2 tool is easy to use. It is highly effective if the attacker's host and the victim's hosts lie in the same LAN. But it won't be effective if the attacker is connected to a low bandwidth ISP line like Dial-up Lines. Also if the attacker is behind a vulnerable firewall or connected through a vulnerable Router, he will burn his own fingers.</P><B>
<DIV></DIV>
<P>False Positives</B>: None Known</P><B>
<DIV></DIV>
<P>False Negatives</B>: None Known</P><B>
<DIV></DIV>
<P>Corrective Action</B>: Microsoft have released patches to correct the flaw in Packet reassembly code.</P>
<DIV></DIV>
<DIR>
<DIV></DIV>
<DIR>
<DIV></DIV>
<P>Windows 95:<BR><U><FONT color=#0000ff><http://download.microsoft.com/download/win95/update/8070/w95/EN-US/259728USA5.EXE></U></FONT> </P>
<DIV></DIV>
<P>Windows 98:<BR><U><FONT color=#0000ff><http://download.microsoft.com/download/win98/update/8070/w98/EN-US/259728USA8.EXE></U></FONT> </P>
<DIV></DIV>
<P>Windows NT 4.0 Workstation, Server and Server, Enterprise Edition:<BR><U><FONT color=#0000ff>http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20829 </Downloads/Release.asp?ReleaseID=20829></U></FONT> </P>
<DIV></DIV>
<P>Windows NT 4.0 Server, Terminal Server Edition:<BR><U><FONT color=#0000ff>http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20830 </Downloads/Release.asp?ReleaseID=20830></U></FONT> </P>
<DIV></DIV>
<P>Windows 2000 Professional, Server and Advanced Server:<BR><U><FONT color=#0000ff>http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20827 </Downloads/Release.asp?ReleaseID=20827></U></FONT> </P></DIR></DIR>
<DIV></DIV>
<P>Checkpoint has released Latest Service Packs with Hotfixes. </P>
<DIV></DIV>
<P>http://www.checkpoint.com/techsupport/downloads.jsp</P>
<DIV></DIV>
<P>Use Latest IOS in all your Cisco Routers.</P>
<DIV></DIV>
<P>Latest IDS softwares have strong and powerful packet reassembly engine and have enough capabilities to protect themselves and detect this DoS attack.</P><B>
<DIV></DIV>
<P>Contributors: </P>
<DIV></DIV>
<P></B></P>
<DIV></DIV>
<P>U.SivaKumar <ushivkumar@...12...></P>
<DIV></DIV>
<P>Networking & E-Security, HCL Infosystems Limited.</P><B>
<DIV></DIV>
<P>Additional References: </P>
<DIV></DIV>
<P></B><U><FONT color=#0000ff></P>
<DIV></DIV>
<P>http://www.giac.org/practical/gsec/Jason_Anderson_GSEC.pdf</P>
<DIV></DIV>
<P>http://www.undergroundnews.com/files/texts/underground/hacking/frag.html</U></FONT><BR></P>
<DIV></DIV>
<P><BR><BR><BR><BR></P></DIV></div><br clear=all><hr>Gift yourself a holiday. Treat your family like royalty. <a href="http://g.msn.com/8HMDENIN/2749??PS=">You only live once!</a> </html>