Авторские статьи Блокировка соединений на удалённой машине через неправельную настройку firewall.

Discussion in 'Статьи' started by fucker"ok, 17 Dec 2005.

  1. fucker"ok

    fucker"ok Elder - Старейшина

    Joined:
    21 Nov 2004
    Messages:
    580
    Likes Received:
    279
    Reputations:
    91
    #########################################
    Блокировка соединений на удалённой машине
    через неправельную настройку firewall.
    #########################################
    (выкидываем из irc,icq, веб чатов, etc)

    ### О огненных стенах ###
    Думаю каждый знает что такое firewall, но не каждый знает как правельно его
    настроить. Поэтому производители "огненных стен" перекладывают эту работу на
    себя, чтобы юзер установивший их продукт был уверен: он за каменной стеной и
    он полностью защищён от злого интернета.

    В фаирволах под win есть такая настройка "блокировать атакуещего" на какое-то
    время. Такая опция есть в OutPost (правда по дефалту она отрубленна, но когда
    юзеры начинают рытся в настройках, то чаще всего они её включают (так сделал и
    я когда сидел по win с пол года назад). Так и сделал мой знакомый, после чего
    меня осенило! Результатом осинения есть эта статья)
    В анти-хакер Касперского такая опция тоже есть (сам я с этим продуктом не
    знаком, но слышал радостные восклецки эникеев, когда они видели сообщение
    "сеть атакующего заблокированна")

    ### Суть ###
    При сканировании машины фаирвол блокирует наш ip и сканер ничего интересного
    нам не выдаст :( Но вся прелесть в том, что мы можем подставить другой IP :)
    Вы уже побежали издеватся в irc? :D Нет? Тогда объясню в чём вся фишка.
    Другим Ip мы можем сделать irc сервак через который сидит Вася П. Или icq
    сервер, или вебчат etc...
    Когда фаирвол у Васи П. увидит что его атакует irc сервак, то он заблокирует
    его! Тем самым Вася станет глухим и немым одновременно :(
    (если мы имеет дело с outpost, то по дефалту блок будет работать 60 мин,
    если опция вкл)
    Такой эксперемент можно проделать с icq, веб чатом, любым другим серваком.
    Нам только нужно знать: ip Васи П. и сервер к которому он подключён (или соби-
    рается подключится)

    ### К делу ###
    Для произведения атаки нам понадобится сканер с возможностью подделки IP
    Есть такой добротный сканер, который в комментариях не нуждается :)
    nmap - Утилита для сканирования и исследования безопасности сети.
    (http://www.insecure.org/nmap/)
    Вот небольшая вырезка нужной нам опции из man nmap
    ----------------
    -D <ложный_хост1,[ложный_хост2],[,ME],...>
    В этом режиме Nmap "создает" ложные хосты, адреса которых зада-
    ются произвольно и указываются в качестве аргументов. При этом
    на стороне сканируемого хоста создается видимость, что произво-
    дится одновременное сканирование с различных хостов (обладающих
    разными IP-адресами), что очень затрудняет обнаружение вашего
    реального IP-адреса.
    ----------------

    Допустим мы НЕ хотим чтобы Вася П. заходил на microsoft.com и стал глухо-немым
    на irc.rinet.ru, тогда делаем так:

    $ nmap -D microsoft.com,irc.rinet.ru -P0 vasya.pupkin.ru
    (а можно стебанутся и заблочить DNS сервер Васи, тогда он вообще никуда не
    зайдёт)
    (-P0 ставим, если Вася блочит ICMP эхо (пинги) запросы, как было с моим
    подопытным)
    Вот такие пироги...

    ### re ###
    Благодарю 0verFl0w за то что он попросил проверить его файрвол, после чего у
    меня появилась эта идея+ на нём проводились опыты по вылету с irc и тд :)

    В статье используется сканер nmap (http://www.insecure.org/nmap/)


    ____________
    by fucker"ok 17/12/05


    А как у вас фаер настроен? :]
     
    5 people like this.
  2. SladerNon

    SladerNon Адам

    Joined:
    6 Mar 2005
    Messages:
    1,634
    Likes Received:
    934
    Reputations:
    355
    Этот метод не нов на самом деле =).

    Но за открывание велосипеда усёрано 5+ =).
     
  3. fucker"ok

    fucker"ok Elder - Старейшина

    Joined:
    21 Nov 2004
    Messages:
    580
    Likes Received:
    279
    Reputations:
    91
    SladerNon прав. Спуфинг не новая тема, но о том как её использовать можно писать много.
    + дейсвительно до статья я допёр сам, поэтому как сказал SladerNon "поделился своим открытием". :]