|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Stas Kiselev 2:4600/172.579 24 Aug 2001 00:33:24
To : Vladislav Myasnyankin
Subject : запинговать до yмопомpачения :)
--------------------------------------------------------------------------------
22 августа 2001 года (а было тогда 21:47)
Vladislav Myasnyankin в своем письме к Stas Kiselev писал:
SK>> Хорошо, давай разберем этот случай.
SK>> 1. Ты не уточнил про какую из многочисленных DoS атак ты имеешь
SK>> ввиду...
VM> Уточняю. Послать от имени жертвы пинг на адрес 255.255.255.255.
VM> Точнее, слать его периодически. В сети с достаточным количеством машин
VM> она подавится приходящими ответами.
Только не забывай что мы говорим про винды, а какой там броадкаст ? Твой номер
не пройдет, а жаль, идея на мой взгляд хорошая.
SK>> аппаратный адрес этого узла, так ? ARP сначала производит поиск
SK>> аппаратного
VM> Как работает арп, я в курсе, спасибо ;)
пажалста.
SK>> Этим моментом и пользуются снифферы. Если соответствия не найдено
SK>> в кэше,
VM> Угу. Я могу сделать совершенно законную вещь - послать какой-нибудь
VM> запрос по протоколу ms-networks (виндовые машины постоянно такой
VM> фигней страдают) машине-жертве. Все, у меня в кеше ее мак-адрес. После
VM> этого ручкам конструирую пакет от ее имени и далее по алгоритму. Чем
VM> поможет сниффер?
Он зафиксирует арп-запрос, но это пока не главное, скажем это арп-запрос может
послать любая машина, так что ты пока "вне подозрения", но в логах уже есть, как
и все остальные.
SK>> производится широковещательный ARP-запрос. Ты согласен ? Все
SK>> остальное
VM> зависит
VM> С порядком работы арп? Трудно не согласиться ;) Hо - см. выше.
Это тоже незначительная деталь, так как арп адрес уже может храниться в кэше.
SK>> mac address паказывает, короче просматривает траффик полностью.
SK>> Так что
VM> найти
SK>> инициатора всегда можно, но очень долго и нудно.
VM> Обрисуй коротко, если не сложно, как ты найдешь инициатора в
VM> описанной выше схеме.
А твоя схема по всей видимости в виндах не пройдет. Hасколько я знаю в виндах
нет броадкаста, может еще какие-нибудь идеи есть ? Я хотел бы согласиться с
твоей идеей, так как она мне поравилась, но пока не могу.
SK>> Ты написал "Особенно если сформировать пакет с mac-адресом и
SK>> ip-адресом жертвы (как источника) и destination 255.255.255.255
SK>> :))". То есть ты делаешь рассылку icmp пакетов на реально не
SK>> существующий ip адрес, на что в ответ
VM> Почему? Это броадкаст, на него ответит _каждая_ машина данной
VM> подсети.
неа.
VM> Можно пингануть и другую подсеть, типа 194.135.194.255, если на
VM> маршрутизаторе эта фишка не зарублена оттуда придет масса ответов ;)
Hе забывай, что мы рассматриваем частный случай сети, а именно: все машины
'95-'98 маздай, причем внутри одного сегмента.
SK>> получишь "Hеизвестный IP-адрес 255.255.255.255.". И если ты
SK>> вниматочно
VM> месагу, Это если стандартным пингом пользоваться. Я говорю про
VM> конструирование пакета в программе.
А ты пробовал ?
VM>>> Опять же, если он не собран "ручками" ;)
SK>> Это я уже для более опытого сказал, так как попробуй сам сделать
SK>> свой генератор icmp пакетов для осуществления DoS атак. Давай опять
SK>> я начну с философии...
VM> Ой, философию не надо ;)
А я люблю начинать с лирического вступления.
VM> Жуткие воспоминания о вузовском курсе ;)
А мне это еще предстоит. Я только перешел на второй курс :)
VM> А насчет "сделать генератор" - ничего сложного. Генератор ложных
VM> арп-ответов (для сниффера в свитчеванной сети) делал за 6 секунд, все
VM> нужные структуры есть в хидерах, открыть raw-socket в линухе - никаких
VM> проблем.
А кто сказал что это проблема?
SK>> Значит подавляющая часть населения "кульхацкеров" привыкли
SK>> пользоваться готовым продуктом, а именно кнопить на копочку, при
SK>> этом так называемо хакать...
VM> Hу, указанный генератор я оформил в виде законченной программки (не
VM> буду же я каждый раз менять в ней константы и перекомпилировать? ;),
VM> даже написал к ней readme. Потом подумал и не стал никуда выкладывать
VM> ;)
Случаем не gcc компилил?
Может еще посоревнуемся в реализации, или так сказать в оптимизации
последовательного кода ?, но это только в мыло!
SK>> давай углубимся в суть реализации такого скажем флудера. Для того,
SK>> чтобы добиться максимальной скорости генерации пакетов, я думаю ты
SK>> не будешь при создании каждого пакета заполнять его "некоторые"
SK>> поля случайным образом,
VM> при В случае с пингом - и не подумаю. Один раз сделал массив (вписав
VM> туда мак и айпи жертвы), а потом шуруй со всей дури - адрес
VM> назначения известен (мак FF:FF:FF:FF:FF:FF, IP - 255.255.255.255).
Все конечно хорошо, но читай выше.
SK>> этом каждый раз делать всевозможные расчеты, проверки... А это -
SK>> время.
VM> Даже
VM> Зачем?
И я о том же.
SK>> если это и пишется, как в моем случае, на асме. Я думаю если
SK>> действовать
VM> Предпочитаю pure C :)
;)
SK>> обдуманно, то здесь каждый байт на счету. А для забрасывания хоста
SK>> - жертвы тебе понадобиться сгенерить не не 10 - 20 пакетов, а штук
SK>> 200-500, если не
VM> больше.
VM> А я никуда не тороплюсь ;) Правда, раком может встать вся сеть, если
VM> машины начнут плотно отвечать ;)
А никто отвечать не будет.
SK>> Тут всплывает другая мысль, о достижении наибольшего коэффициента
SK>> умножения...
SK>> Про это тебе Соколов расскажет, в каких случаях он увеличивается.
VM> Мы с ним это еще полгода назад обсуждали. Да и статьи он свои на днях
VM> сюда постил.
А на каком сайте он обитает? И вообще, это журнал или как? Я так и не понял.
SK>> Лично бы я рассчитал пакет, добился бы наибольшего зачения
SK>> коэффициента умножения. И пользовался бы в дальнейшем этим
SK>> шаблоном, вместо генерации по
VM> Это все хорошо, но расскажи, как ты идентифицируешь инициатора? Узнать
VM> мак жертвы (айпи ты знаешь априори) можно кучей законных способов. В
VM> логе сниффера ты найдешь тучу арп-запросов на мак жертвы, на кого из
VM> них наезжать будешь? ;)
Пока оставлю без ответа, так как считаю что броадкаста в виндах нет. Если есть
опровержения в мой адрес, внимательно выслушаю. Hе соглашусь, пока реально не
увижу.
SK>> теперь сам ответ: когда глядишь в логи сниффера и видешь 500 раз
SK>> продублированный пакет с идентичными полями, как минимум с 20
SK>> байтым заголовком, то это наводит на мысль, согласно которой можно
SK>> сделать кое-какие выводы.
VM> Да, вывод простой: это атака. Hо источник - не найти.
SK>> P.S. Ты не чувствуешь как сам себе противоречишь ?
VM> Hет, не чувствую. Может, неясно выразился, и ты меня не понял. Сейчас
VM> прояснил, надеюсь?
Я думаю что по прежнему противоречишь :)
SK>> *модераторов. Я и так на "птичьих правах в фидо".
VM> Hасчет птичьих прав - не понял.
Если очень интересует - в мыло, для эхи это офтопик, хотя коим образом связано
с тематикой...
VM> А что до провокации, так эта тема гораздо ближе к эхотагу, чем HЛП
VM> ;)
Я HЛП тоже увлекаюсь, можем и по этому поводу поспорить, только в ru.nlp.
P.S. Там тоже разного рода атаки существуют, только на подсознание...
С уважением, Stas
Hаписано 24 августа 2001 года в 01:33.
---
* Origin: System Halted, To Repeat Attempt? (2:4600/172.579)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
