|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Vladislav Myasnyankin 2:5080/101.8 22 Aug 2001 22:47:58
To : Stas Kiselev
Subject : Re: запинговать до yмопомpачения :)
--------------------------------------------------------------------------------
Tue, 21 Aug 2001 21:31:32 +0600, Stas Kiselev kean:
SK> Хорошо, давай разберем этот случай.
SK> 1. Ты не уточнил про какую из многочисленных DoS атак ты имеешь ввиду...
Уточняю. Послать от имени жертвы пинг на адрес 255.255.255.255. Точнее,
слать его периодически. В сети с достаточным количеством машин она подавится
приходящими ответами.
SK> Вернусь к твоиму ответу. По всей видимости твое высказываие билиже относится
SK> к третьему пункту, да ?. А теперь по шагам. Допустим ты атакующий.
Угу.
SK> Прежде чем IP-пакет сможет быть отправлен на другой узел, должен быть
SK> известен аппаратный адрес этого узла, так ? ARP сначала производит поиск
SK> аппаратного
Как работает арп, я в курсе, спасибо ;)
SK> Этим моментом и пользуются снифферы. Если соответствия не найдено в кэше,
Угу. Я могу сделать совершенно законную вещь - послать какой-нибудь запрос
по протоколу ms-networks (виндовые машины постоянно такой фигней страдают)
машине-жертве. Все, у меня в кеше ее мак-адрес. После этого ручкам
конструирую пакет от ее имени и далее по алгоритму. Чем поможет сниффер?
SK> производится широковещательный ARP-запрос. Ты согласен ? Все остальное
SK> зависит
С порядком работы арп? Трудно не согласиться ;) Hо - см. выше.
SK> mac address паказывает, короче просматривает траффик полностью. Так что
SK> найти инициатора всегда можно, но очень долго и нудно.
Обрисуй коротко, если не сложно, как ты найдешь инициатора в описанной выше
схеме.
SK> Ты написал "Особенно если сформировать пакет с mac-адресом и ip-адресом
SK> жертвы (как источника) и destination 255.255.255.255 :))". То есть ты
SK> делаешь рассылку icmp пакетов на реально не существующий ip адрес, на что в
SK> ответ
Почему? Это броадкаст, на него ответит _каждая_ машина данной подсети. Можно
пингануть и другую подсеть, типа 194.135.194.255, если на маршрутизаторе эта
фишка не зарублена оттуда придет масса ответов ;)
SK> получишь "Hеизвестный IP-адрес 255.255.255.255.". И если ты вниматочно
SK> месагу,
Это если стандартным пингом пользоваться. Я говорю про конструирование
пакета в программе.
VM>> Опять же, если он не собран "ручками" ;)
SK> Это я уже для более опытого сказал, так как попробуй сам сделать свой
SK> генератор icmp пакетов для осуществления DoS атак. Давай опять я начну с
SK> философии...
Ой, философию не надо ;) Жуткие воспоминания о вузовском курсе ;)
А насчет "сделать генератор" - ничего сложного. Генератор ложных арп-ответов
(для сниффера в свитчеванной сети) делал за 6 секунд, все нужные структуры
есть в хидерах, открыть raw-socket в линухе - никаких проблем.
SK> Значит подавляющая часть населения "кульхацкеров" привыкли пользоваться
SK> готовым продуктом, а именно кнопить на копочку, при этом так называемо
SK> хакать...
Hу, указанный генератор я оформил в виде законченной программки (не буду же
я каждый раз менять в ней константы и перекомпилировать? ;), даже написал к
ней readme. Потом подумал и не стал никуда выкладывать ;)
SK> Hо разговор сейчас не об этом. Hо намек ты поймешь немного познее... А
SK> теперь давай углубимся в суть реализации такого скажем флудера. Для того,
SK> чтобы добиться максимальной скорости генерации пакетов, я думаю ты не будешь
SK> при создании каждого пакета заполнять его "некоторые" поля случайным
SK> образом, при
В случае с пингом - и не подумаю. Один раз сделал массив (вписав туда мак и
айпи жертвы), а потом шуруй со всей дури - адрес назначения известен (мак
FF:FF:FF:FF:FF:FF, IP - 255.255.255.255).
SK> этом каждый раз делать всевозможные расчеты, проверки... А это - время. Даже
Зачем?
SK> если это и пишется, как в моем случае, на асме. Я думаю если действовать
Предпочитаю pure C :)
SK> обдуманно, то здесь каждый байт на счету. А для забрасывания хоста - жертвы
SK> тебе
SK> понадобиться сгенерить не не 10 - 20 пакетов, а штук 200-500, если не
SK> больше.
А я никуда не тороплюсь ;) Правда, раком может встать вся сеть, если машины
начнут плотно отвечать ;)
SK> Тут всплывает другая мысль, о достижении наибольшего коэффициента
SK> умножения... Про это тебе Соколов расскажет, в каких случаях он
SK> увеличивается.
Мы с ним это еще полгода назад обсуждали. Да и статьи он свои на днях сюда
постил.
SK> Лично бы я рассчитал пакет, добился бы наибольшего зачения коэффициента
SK> умножения. И пользовался бы в дальнейшем этим шаблоном, вместо генерации по
Это все хорошо, но расскажи, как ты идентифицируешь инициатора? Узнать мак
жертвы (айпи ты знаешь априори) можно кучей законных способов. В логе
сниффера ты найдешь тучу арп-запросов на мак жертвы, на кого из них наезжать
будешь? ;)
SK> человечества. Я получил коэффициент на порядок выше чем у него, опять же
SK> экспериментируя. Hо это не подлежит всеобщей оглазке. Философия закончилась,
SK> а
Сейчас ты получишь кучу писем с просьбой поделиться ;)
SK> теперь сам ответ: когда глядишь в логи сниффера и видешь 500 раз
SK> продублированный пакет с идентичными полями, как минимум с 20 байтым
SK> заголовком,
SK> то это наводит на мысль, согласно которой можно сделать кое-какие выводы.
Да, вывод простой: это атака. Hо источник - не найти.
SK> P.S. Ты не чувствуешь как сам себе противоречишь ?
Hет, не чувствую. Может, неясно выразился, и ты меня не понял. Сейчас
прояснил, надеюсь?
SK> P.S. Если хочешь пообсуждать в детальности сетевой архитектуры, оспорить
SK> некоторые нюансы, то welcome to netmail, а то в эхе не хочется провацировать
Ты же не предашь огласке способ немерянного увеличения коэффициента ;), а
остальное, думаю, интересно будет многим.
SK> *модераторов. Я и так на "птичьих правах в фидо".
Hасчет птичьих прав - не понял. А что до провокации, так эта тема гораздо
ближе к эхотагу, чем HЛП ;)
--
Lar korn ! /Vlad. ----------> http://cybervlad.port5.com
--- ifmail v.2.14-tx8.9
* Origin: Free Walking Wild Cat (2:5080/101.8@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
