Локальные Войны или в помощь Инсайдеру

Discussion in 'Безопасность и Анонимность' started by Elekt, 22 Feb 2006.

  1. Elekt

    Elekt Banned

    Joined:
    5 Dec 2005
    Messages:
    944
    Likes Received:
    427
    Reputations:
    508
    ____Intro

    Дай догадаюсь, ты читаешь эти строки, выйдя в тырнет через какой-нить шлюз в локальной сети?
    Ну даже, если не угадал, наверное понятно, что речь сегодня пойдёт о прелестях локальных сетей.
    О, как удобно, gameться, болтать, обмениваться файлами, слухать музон с тачки соседа...
    Но, как и в многих других случаях, скрытых потенциальных возможностей гораздо больше =]
    Щас мы рассмотрим, как весело и прикольно их можно заюзать, и как защититься от таких хитроПопых людей.

    ЗЫ: "от ламера до профессионала" или "статья для новичков" гыыыы =]


    Эти смертельные 100-Mbit...

    1) Тёмная сторона силы
    - Всё начинаеться с ]|[e1ez@
    2) Главное - @н@нимность
    - IP - адрес
    - MAC - адрес
    - Маскировка
    - Клоны

    3) Мелкие пакости.
    - шары
    - месаги
    - флуд

    4) Запахло палёным
    - сниф на Хабах
    - сниф на Свичах

    5) Веди себя хорошо!
    - напоследок




    ===============Тёмная сторона силы===============

    По-началу маленькая локальная сетка - источник дополнительных развлечений и маленьких юзверьских радостей,
    пока... сеть не вырастает в нечто большее, чем пара свичей\хабов.... а подключение к Интернету просто фатально!! =]
    В среднем на 100 пользователей приходиться Один более менее грамотный в компах человек... и он нередко хакер.
    А что такое локальная сеть, а? Мызыка, порнуха и CS? Для юзверя - именно так.
    Но смотрите на это по-хакерски! ЭТО, как правило, 100 Mbit ПОЛНОГО ДУПЛЕКСА!!!
    А значит - высокая надежность и скорость надежность связи - идеальные условия для экспериментов и творчества.
    Вот пусть добро и не пропадает. Понеслась!

    Всё начинаеться с ]|[e1ez@
    Как правило, локальные сети строят на витой паре и Wi-Fi. Да, да, да - бывают ещё FireWire, USB, коаксиал :)
    В этой статье основной упор сделан на витую пару, хотя бОльшая часть универсальна, либо легко трансформируется под другие типы сетей.
    Важным моментом являеться СТРУКТУРА сети, т.е. как компы соединены между собой, например, "кольцо" или "звезда".
    Также в сетке может быть сервер, который может выполнять разные функции: файловый\игровой сервис, распределение айпи-адресов, чаты, сайт, выход в интернет.
    Всё это немаловажно, и начиная хакерить в своей сетке, обязательно разузнай, что у вас к чему. Это можно сделать через админов.. ну, или самому додуматься =]




    ===============Главное - @н@нимность===============

    Так или иначе, если тебя вычислят, придётся несладко. Хакеров в локалке мало кто любит, особенно если они не приносят общественной пользы :)
    Так что - самое главное - поддерживать хорошие отношения с админами\пользователями, которых ты будешь хакать.
    Регулярная подкормка населения новыми фильмами, музоном, играми, кряками - и тебе простят многое, если спалишься.
    Социальная инженерия играет далеко не самую последнюю роль в локальной сети. Все свои, все друг друга знают.

    Ну, а пока нас не вычислили - будем всячески перекрываться!
    Так-с, надо всячески маскироваться. Уликой может служить всё.
    Вас можно раскрыть, просканировав, либо посмотрев в логах сервера "следы", оставленные вашими программами.
    И мы должны предусмотреть все варианты.

    Что надо скрыть\изменить:

    1) Айпишник
    2) МАК-адрес
    3) Тип и версию системы
    4) Пользователей
    5) Имя компьютера
    6) Рабочую группу
    7) Хозяина виндоус
    8) Расшаренные папки




    По сути у нас следующие комбинации:

    1) Всяческое скрывание информации о себе и своём присутствии в сети.

    - Изменение Айпишника.
    Для особо одарённых, по сути айпи-адрес -- это ваш адрес в сети, по которому вас можно найти. Вобщем, как адрес вашего места жительства, только в сети.
    Айпи-адрес задаётся программно. Он может быть прописан вами самостоятельно, либо присвоен вам сервером(при наличии такового).
    Всего существует почти 254^4 айпишников: 1-254.1-254.1-254.1-254 . Есть зарезервированные айпи для особых случаев.
    ---------------------
    Кстати, все знают, кому в интернете принадлежит 127.0.0.1 ? =] ЗАПОМНИТЕ, это айпи локальный - тоесть ВАШ собственный. Для другого компа этот айпи тоже являеться его собственным. Вот так.
    Набрав в адресной строке эксплорера "\\127.0.0.1\" , вы зайдёте на свой собственный комп. Аналогично http://127.0.0.1/ через браузер.
    ---------------------

    Поповоду внутр\внешнего айпи:
    Интернет состоит из множества сетей, обединённых друг с другом. Внутренний айпи действителен в вашей местной подсетке(локалке).
    А сама локалка соединяеться с инетом, где вашему компьютеру присваиваеться Внешний айпи, действительный за пределами локалки.
    Внешний айпи выдаётся сервером\шлюзом, сменить его может только администратор сервера.
    А вот внутренний Мы ща сменим сами =]
    Всё просто. Идём в "Настройки сетевого подключения"->"Свойства"->"TCP\IP" и вбиваем любой понравившийся вам айпишник.
    Это работает, если в сети нет сервера, либо он не присваивает айпи(DHCP не задействована). Тоесть, каждая машина сама присваивает себе айпи.
    А вот если сервер есть, и админ не лось... Производиться проверка по....

    - Мак адресу.
    Что такое МАК? Это аналог вашего Ф.И.О. + серии и номера паспорта. Иными словами - это уникальный номер, зашитый в вашу сетевуху заводом.
    Здесь посложнее. Сменить МАК можно либо поменяв сетевуху(но это дибилизм), либо изменить его программно(как правило, это возможно, особенно с современными сетевыми)
    Смену мака можно сбацать через програмки Amac, MacMakeUp, Smac.
    Или ЭЛЕМЕНТАРНО через Винду. Идём в "Оборудование"->"Диспетчер устройств"->"Сетевухи"->"Свойства"->"Сетевой адрес"
    Иногда этой надписи нет. Спокойно, не паниковать. Ща пропишем ручками в реестре(запишите данный код в *.txt файл, измените расширение на *.reg и запустите. На вопрос ответить "ДА!!!" ).
    Code:
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0001]
    "networkaddress"="AAAAAAAAAAAA"
    
    - Сокрытие типа и версии системы.
    При сканировании достаточно легко получить пракически неопровержимые улики, что вы - это именно вы, а не Федя Колбаскин (Федя Колбаскин, ничего личного, ок? =] )
    Достаточно, чтобы в системе был разрешён анонимный вход. Обычно он включён.
    Запретить его можно, внеся запись в реестр:
    Code:
    Windows Registry Editor Version 5.00
    HKLM\SYSTEM\CurrentControlSet\Control\Lsa
    SetValue "RestrictAnonymous"=dword:00000001
    
    ...Так же не надо, чтоб админ знал количество и название ваших логических дисков, расшаренных по умолчанию
    Code:
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
    "AutoShareWks"=dword:00000000
    "AutoShareServer"=dword:00000000
    
    И ВООБЩЕ! ВИДЕТЬ ВАС В СЕТЕВОМ ОКРУЖЕНИИ ОПАСНО ДЛЯ ЗДОРОВЬЯ!!!
    Code:
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
    "Hidden"=dword:00000001
    
    Требуеться перезагрузка для вступления изменений в силу.
    Фаервол позволит частично, либо полностью скрыть тип и версию ОС при сканировании. Вы можете внести в игнор айпи админа, либо другого больно умного пользователя.
    Запретив в фаерволе ответ на ICMP, IGMP пакеты, вас станет сложнее увидеть и опознать.
    Особенно неустойчива к скаанированию Win_2000 - без должной настройки выдаёт себя с потрохами. ХР и 2003 не так болтливы.
    Можно поставить другую систему(другую версию, либо даже тип) Под версией я подразумеваю Win_95,98,2000,2003,XP ; под типом - Windows, Linux, OS\2, DOS =]
    Можно поставить систему на виртуальную машину.
    Так же существует прога, подделывающая ответы на запросы, имитируя конкретные системы... Ну не помню, какая - найдёте сами.

    - Сокрытие Пользователей.
    Нафиг вырубаем ГОСТЯ. Меняем имена пользователей на полный БРЕД.
    "ПУСК"->"Панель управления"->"Учётные записи"
    - Фальсификация имени компьютера.
    "Мой Компьютер" правый клик крысой -> "Имя компа"
    Изменения действительны после перезгрузки.
    - Изменение Рабочей группы
    "Мой Компьютер" правый клик крысой -> "Имя компа"
    Вас сложнее увидеть в сетевом окружении. Сменить опять - на мусор.
    Винда гонит - всё пашет без перегруза.
    - Меняем Хозяина Виндоус
    Эти данные прописываються при установки Окон. Как их поменять в системе - не помню. Я меняю через твикер XP Tweaker RE 1.53 build 78.
    - Закрываем Расшаренные Папки
    При условии выполнения предыдущих пунктов - это даже излишне. Кроме вас их никто уже не видит. НО ПОДСТРАХУЕМСЯ.



    2) Выдача себя за другого чела.

    Гыыы.. Докажи, что я - не Федя =]

    - Подделка Айпишника.
    Для начала нам нужен айпи Феди. пропингуем его. Пишем в командной строке:
    Code:
    C:\WINDOWS>ping FEDYA
    Обмен пакетами с FEDYA [192.168.0.7] по 32 байт:
    Ответ от 192.168.0.7: число байт=32 время<1мс TTL=64
    Ответ от 192.168.0.7: число байт=32 время<1мс TTL=64
    Ответ от 192.168.0.7: число байт=32 время<1мс TTL=64
    Ответ от 192.168.0.7 : число байт=32 время<1мс TTL=64
    Статистика Ping для 192.168.0.7:
        Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
    Приблизительное время приема-передачи в мс:
        Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек
    
    И ВСЁ! Федин айпи у нас. Можно поставить его вместо своего.
    ТЕПЕРЬ САМОЕ ВАЖНОЕ. В ОДНОЙ СЕТИ НЕ МОЖЕТ БЫТЬ ОДНОВРЕМЕННО ДВУХ МАШИН С ОДИНАКОВЫМИ АЙПИ-Адресами!!!
    Если вы поставите Федин айпи, а Федя будет он-лайн, система сообщит вам что данный айпи занят, те пошлёт вас накуй.
    Иными словами кто первым вошёл в сеть с айпишником - того и тапки. Но мы продвинутые перцы =]
    Обойти это можно так. Отключаете сетевое подключение -> выдёргиваете кабель(вот в чём соль!!) -> ставите Федин айпи -> включаете сетевое подключение ->вставляете кабель.
    Через пару секунд Федина винда сама пошлёт Федю не так далеко, где туманы. Хыхыхы =]

    - Мак адресу.
    Но предположим, что в сети стоит сервак, контролирующий связку айпи-мак.
    Узнаём мак Феди. Для начала надо его пингануть а потом посмотреть запись в кэше.
    Code:
    C:\WINDOWS>ping FEDYA
    Обмен пакетами с FEDYA [192.168.0.7] по 32 байт:
    Ответ от 192.168.0.7: число байт=32 время<1мс TTL=64
    Ответ от 192.168.0.7: число байт=32 время<1мс TTL=64
    Ответ от 192.168.0.7: число байт=32 время<1мс TTL=64
    Ответ от 192.168.0.7 : число байт=32 время<1мс TTL=64
    Статистика Ping для 192.168.0.7:
        Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
    Приблизительное время приема-передачи в мс:
        Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек
    
    C:\WINDOWS>arp 192.168.0.7 -a
    Интерфейс: 192.168.0.7  --- 0x90001
      Адрес IP              Физический адрес      Тип
      192.168.0.7           00-80-4b-a7-7f-fa     динамический
    
    Физический адрес - это и есть МАК.
    А ТЕПЕРЬ САМОЕ ИНТЕРЕСНОЕ!!! В ОДНОЙ СЕТИ МОЖЕТ БЫТЬ СКОЛЬКО УГОДНО КОМПОВ С ОДИНАКОВЫМИ АЙПИ-МАКАМИ !!!
    Почему? Потому что ни почему другому, как по айпи и маку, программы и свичи вас не могут разделить. Такое совпадение изначально невозможно.
    Однако, не всё шоколадно. Сеть у клонов будет глючить. Принцип здесь такой же, как и с клонированными симками - работает тот, кто проявил сетевую активность последним.
    Кстати, у Свитча при этом крыша едет офигенно!!! =] Желательно клонов в один свитч не вставлять, лучше в разные.

    - Одинаковый тип и версия системы.
    При сканировании достаточно легко получить все сведения о Вас. Так поможем сканеру!!! =]
    Достаточно, чтобы в системе был разрешён анонимный вход. Обычно он включён.
    Врубаем его, внеся запись в реестр аналогично предыдущему способу:
    Code:
    Windows Registry Editor Version 5.00
    HKLM\SYSTEM\CurrentControlSet\Control\Lsa
    SetValue "RestrictAnonymous"=dword:00000000
    
    Если у такое же кол-во дисков, как и у Феди, пусть это все увидят =]
    Code:
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
    "AutoShareWks"=dword:00000001
    "AutoShareServer"=dword:00000001
    
    Если меньше - расшарьте папки под именами F$, E$.
    -----------------------
    Для тех, кто вчера проложил сеть - папку по сети можно сделать скрытой, если добавить в конец имени доллар "hack$"
    -----------------------

    Если наоборот - больше, "ПУСК"->"Выполнить":
    Code:
    C:\WINDOWS>net share F$ /delete
    
    (работает до перезагрузки)
    Вас конечно же видно в сетевом окружении:
    Code:
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
    "Hidden"=dword:00000000
    
    Хотя, если вы с Федей в сети одновременно - лучше б второй Федя не рябил в глазах.
    Никаких Фаерволов - прикиньтесь полным ламьём.

    - Одинаковые Пользователи.
    Меняем всех пользователей на Фединых, получив их список, предварительно просканив Федю.
    "ПУСК"->"Панель управления"->"Учётные записи"
    - Одинаковые имена компьютеров.
    "Мой Компьютер" правый клик крысой -> "Имя компа"
    Учтите, при обмене сообщениями через бессерверные чаты будут глюки... Ой, как хорошо =]
    Изменения действительны после перезгрузки.
    - Одинаковые Рабочие группы
    "Мой Компьютер" правый клик крысой -> "Имя компа"
    Изменения действительны после перезгрузки.
    - Одинаковые Хозяина Виндоус
    Я - Федя Колбаскин!
    - Одинаковые Расшаренные Папки
    Расшариваем папки с одинаковыми именами, как у Феди. А как же быть с содержимым папок? Тоже качать?
    Ну уж нет. Просто у Феди севодня что-то с виндой случилось и никто не может зайти в эти папки.. Хотя видит их.
    Каждой папке в свойствах, во вкладке безопасности уберём из разрешённых пользователей Гостя... И всего то. Хы =]



    3) Дезинформация - уникальные данные, взятые от балды.

    - Смешать пункт1 и пункт2. Взболтать. Два кубика льда, пожалуйста =]
    Вобщем, пишем везде полнейший бред, чтоб сканеру аж плохо стало.




    ===============Мелкие пакости===============

    Ну как же не нагадить ближнему своему =]

    1) Расшаренные папки.

    шАры - это один из самых распространённых атрибутов локалок.
    Шары бывают: на чтение, на чтение\запись, скрытые шары.

    - Read.
    Стомегабитный канал хорош своей скоростью. При скачке фильма с локального компа он начинает нехило тормозить.
    Прикольно качать в 40 потоков регетом =] Можно сбацать скриптик, организующий регулярные закачки.

    - Read\Write.
    Можно записать в папку пару мп3 или фоток. А мона пару ДВД-фильмов или всю коллекцию вирей.
    Место на жестком быстро кончиться, а Антивирус порадует пользователя весёлыми картинками =]
    В ХР по умолчанию расшарена на запись папка "Shared docs". Гдо-то в гостевом профиле она. Кстати на системном диске. Хыхыхы.

    - Скрытую папку не видно в проводнике. Только через фар, тотал и др. Чтобы сделать папку скрытой - в конец имени добавляеться доллар.
    Обычно, не важно, есть ли права на запись в ней. Ценность предоставляет сама инфа, котоые некоторые таким образом пытаються скрыть от чужих глаз.

    Запоролить папку в ХР можно лишь создав нового пользователя с паролем. Затем иди "Мой Компьютер"->"Сервис"->"Свойства папки"->"Вид" : убери галку "Использовать простой общий доступ к файлам". Теперь при просмотре правой кнопкой мыши свойств папки появиться новая вкладка "Безопасность" - там убери всех неугодных юзеров и разреши нужного.

    2) В ХР первого сервис пака включена служба обмена сообщениями. Можно пофлудить юзверя мессагами, записав пару вот таких строчек в *.bat файл:
    Code:
    :1
    net send имя_компа_жертвы "ФФФФФФЛЛЛЛЛЛЛУУУУУУУУДДДДДДД"
    goto 1
    
    Сообщения придут от имени вашего компа. О том, как этого избежать и про прочие прелести сетевого общения - читайте тут http://forum.antichat.ru/thread11384.html Эх, мой первый пост... да. Дополнил коментами и ссылками.

    3) Скачав какого-нить сайта флудеры, можно заставить тормозить\повесить чужую машину. Правда, ваша будет торомозить также.
    Отличный уже скомпиленный флудо-плагин для нетвьюва(NetView ) можно скачать здесь http://sec-123.narod.ru/Project1.dll
    Такой маленький DoS. Объединившись с другом, можно устроить DDoS.

    4) Очень часто в биосе стоит опция включения компа по сети!!!
    Прикольно завести тачку соседа часика так в три ночи =]
    О том, как это сделать, я писал тут http://forum.antichat.ru/thread14484.html

    5) В контре можно юзать читы... Однко, это не спортивно. Смерть читерам!!! Ничё не расскажу.



    продолжение следует...
     
    #1 Elekt, 22 Feb 2006
    Last edited: 7 Apr 2006
    9 people like this.
  2. Elekt

    Elekt Banned

    Joined:
    5 Dec 2005
    Messages:
    944
    Likes Received:
    427
    Reputations:
    508
    ===============Запахло палёным===============

    Затравка по теме: switch & hub. Найди пять отличий
    Множество компьютеров соединены между собой на хабах\свичах, которые усиливают\дублируют входящий сигнал от одного компа и отправляют другому.
    Отличие такое: Хаб - рассылает принятый пакет всем остальным компьютерам, а Свитч - только тому компу, которому этот пакет был предназначен.
    С технической точки зрения Свитч экономит пропускную способность, не нагружая остальные порты лишним трафиком(здесь, порт - место для сетевого кабеля).
    "Ну, и зачем нам это?" А затем. Если Хаб рассылает пакеты всем - и чужим и своим - что нам мешает принять чужие данные? Да ничего не мешает! Вкуриваешь?
    Многие уже догадались - я рассказываю о применении сниферов. Снифер в переводе - нюхач, собирает\грабит сетевой трафик в поисках полезной инфы.
    Если сеть построена на Хабах - подойдёт ЛЮБОЙ снифер.
    Ну, для большего толка лучше пользоваться ПАРОЛЬНЫМИ сниферами( никому не доставляет особой радости вручную разгребать пакеты =] )
    IcqSniffer, Give Me Too, ZxSniffer, Win Sniffer, PHossS, Sniffer Portable, Netspy

    "А если если у меня Свитч?" Ну, не плачь ))) Проснифать Свитч тоже можно. Однако далеко не все сниферы способны на такое.
    Такая атака снифера называеться "Man In the Middle / ARP Poison".

    Xakep, номер #068
    "...когда компьютер должен послать пакет по какому-то IP-адресу, он изучает свой ARP-кэш на наличие там соответствие IP><MAC.
    Если таковое имеется, то полученный MAC-адрес вставляется в шапку исходящего пакета, и последний отправляется ко всем чертям.
    В противном случае все происходит чуть-чуть сложнее. По сети пробегает специальный широковещательный ARP-запрос ("Какому МАКу соответствует этот IP?").
    Любой компьютер, опознав в запросе свой IP-адрес, должен ответить его отправителю и выслать свои MAC- и IP-адреса.
    Те помещаются в ARP-кэш автора запроса и используются для дальнейшей отправки сетевых пакетов.
    Несложно догадаться, что для перехвата данных мы должны подкорректировать ARP-кэш отправителя.
    А так как протокол ARP не требует аутентификации, то выполнить это крайне просто. Достаточно послать ложный ARP-пакет..."


    Не забывай, что при её применении ВЕСЬ трафик жертвы идёт через тебя и... ты и жертва будете ощущать нехилые тормоза.
    Сниферы, поддерживающие ARP Poison:
    Ettercap, Cain&Abel

    Сниферы низкого(пакетного) уровня для профи:
    Ethereal, TcpDump

    Ладно, хватит бояться - на каждую бацилу найдётся антидот.
    Для защиты от такой наглой прослушки требуеться два условия.
    Первое и необходимое - перевод сетки на Свичи. Без этого никак :(
    Второе достаточное - установить фаервол с защитой ARP-кэша. Это: Outpost 3.* , Zone Alarm 6.*
    Можно воспользоваться программкой от Killer'a
    AntiSpoof v1.1

    Вопросы по применению сниферов активно обсуждаються здесь:
    Сниферы. Защита и нападение
    Сниферы и их совместимость



    ===============Веди себя хорошо!===============

    Так или иначе - хулиганов нелюбят ни на улице ни в сети.
    Знай предел, где кончаеться прикол и начинаеться вредительство.
    Помни главное - там где живёшь - не гадь. Из Сибири к тебе никто не приедет из-за взломанного форума.
    А админ из соседней пятиэтажки прибежит как марафоновец, или просто отрежет твой кабель.


    Сеть сможет меня согреть
    Ты подключайся к нам.
    Будет нас больше впредь, здесь
    Наступит счастье..
    Я "гостем" к тебе приду...
    В шАры к тебе зайду-у-у-у...
    Там для себя приют найду-у-у...

    Припев:
    За моим компом я сижу один
    Уж который час я сижу в сети
    За моим компом пропадаю я ,
    Сам себе админ, сам себе судья...

    2к.
    Кончилась пиво , но
    Мне уже все равно.
    Сонно вздыхая по
    Скушным иконкам...
    Я в интернет иду,
    В поисковик войду-у-у..
    В Гугле себе приют найду-у-у...



    PS: Это всё мне седня приснилось =]
    События вымышлены, маки-айпишники случайны.
    При написании статьи не пострадало ни одного юзверя.
     
    #2 Elekt, 22 Feb 2006
    Last edited: 7 Apr 2006
  3. KEZ

    KEZ Ненасытный школьник

    Joined:
    18 May 2005
    Messages:
    1,604
    Likes Received:
    754
    Reputations:
    397
    Да ты гонишь... Спорим я смогу сделать так что у меня будет IP 123.32.32.22 а 127.0.0.1 - реальный IP соседнего компа?

    Систему можно будет очень спокойно вычислить, хотябы по открытому 445 порту

    Если федя пингуется, то так или иначе маршрутизация доставляет ICMP пакет до него, и если ты поставишь точно такойже айпи как у "феди" - будет конфликт айпи-адресов.
    Точно также как и если будет два одинаковых MAC-адреса
    ЦИТАТА .FUF
    1) Свич будет рассылать фреймы на оба МАКа
    2) Свич будет рассылать фреймы на тот МАК, который первый в таблице
    3) Придет админ и даст п...ы

    Да, наверное более рационального способа пофлудить юзера несуществует... Лучший способ DOS-атаки на федю...

    Только тем, MAC которых стоит в Ethernet-фрейме.

    "Хакер" как всегда отличился, написав кое-где фигню. Так происходит когда его редакторы плохо в чем то разбираются, и чтобы не лохануться пишут тысячу смайлов в веселом тоне, а ещё описывают что "если сменить мак, то можно сидеть нахаляву", хотя много сами не понимают... Я такое часто стал замечать.

    А я уже дано не видел таких локальных сетей, построеных на хабах за 300 рублей. Хотябы изза диких нагрузок. Разве только в офиссе КПРФ (у нас) такая локалка, но там дело худо...
     
    #3 KEZ, 22 Feb 2006
    Last edited: 22 Feb 2006
    2 people like this.
  4. SHiTS

    SHiTS КУЛХАЦКЕР

    Joined:
    11 Dec 2004
    Messages:
    186
    Likes Received:
    15
    Reputations:
    0
    IcqSniffer
    линки бы к прогам!
     
  5. =Be$=

    =Be$= Elder - Старейшина

    Joined:
    21 Jan 2006
    Messages:
    200
    Likes Received:
    123
    Reputations:
    0
    Просто наверно не замечал.Таких локалок еше прилично(в основном в таких локалках не больше 100 человек) :)
     
  6. SHiTS

    SHiTS КУЛХАЦКЕР

    Joined:
    11 Dec 2004
    Messages:
    186
    Likes Received:
    15
    Reputations:
    0
    знаю в районе 4 таких (хабы не за 300, а за 500=))
     
  7. Elekt

    Elekt Banned

    Joined:
    5 Dec 2005
    Messages:
    944
    Likes Received:
    427
    Reputations:
    508
    Kez , да сделать то можно всё что угодно. Я ж не пишу, что это нерушимый стандарт, а рассматриваю с 99% вероятностью.

    (кстати, там написано - статья для начинающих)

    Просканить то можно и вручную - наврядли юнный киди сможет наглухо настроить фаервол.

    Насчёт конфликта айпи и маков - я беру это не из Хакера. Это МОЙ ЛИЧНЫЙ ОПЫТ, я проверял это сам - ОНО РАБОТАЕТ! - перечитай эти фрагменты - там же даны тонкости по обходу конфликта. Если кто сомневается - может повторить - всё должно получиться.

    У меня друг завтра ложит сетку на хабе =] Я его уже поздравил =]
    Епть, я даю ссылки только к редким прогам. Для всех остальных есть универсальный линк www.google.com
    __________________
     
    #7 Elekt, 22 Feb 2006
    Last edited: 22 Feb 2006
    1 person likes this.
  8. Elekt

    Elekt Banned

    Joined:
    5 Dec 2005
    Messages:
    944
    Likes Received:
    427
    Reputations:
    508
    Кстати насчёт популярных открытых портов - Windows Worm Doors Cleaner 1.4.1

    Программа закрывает порты:

    DCOM RPC (listen on port 135) MS03-026
    RPC Locator (port 445) MS03-001, MS04-011
    NetBIOS (ports 137/138/139) MS03-049
    UPNP (port 5000) MS01-059
    Messenger service (uses RPC/NetBIOS ports) MS03-043

    Порт закрывается по щелчку мыши.
     
    #8 Elekt, 22 Feb 2006
    Last edited: 22 Feb 2006
  9. tclover

    tclover nobody

    Joined:
    13 Dec 2005
    Messages:
    741
    Likes Received:
    682
    Reputations:
    287
    Что то про линукс ничего нету. Хватит монополизировать уже. Я винду стёр как страшный сон :)
     
  10. KEZ

    KEZ Ненасытный школьник

    Joined:
    18 May 2005
    Messages:
    1,604
    Likes Received:
    754
    Reputations:
    397
    Тоесть у тебя в одной сети два одинаковых мака и все работает? Я не верю.
     
  11. Elekt

    Elekt Banned

    Joined:
    5 Dec 2005
    Messages:
    944
    Likes Received:
    427
    Reputations:
    508
    Хыхы =] Представь себе. Пашет. Глюки конечно есть - по принципу "кто был активен последним".
     
  12. KEZ

    KEZ Ненасытный школьник

    Joined:
    18 May 2005
    Messages:
    1,604
    Likes Received:
    754
    Reputations:
    397
    Ок, ты утверждаешь что у тебя в сети два одинаковых МАКа и айпи.
    Что происходит со свичем когда приходит фрейм с этим маком и айпи?
     
  13. =Be$=

    =Be$= Elder - Старейшина

    Joined:
    21 Jan 2006
    Messages:
    200
    Likes Received:
    123
    Reputations:
    0
    У меня тоже все работает(только когда жертвы нет в сети) :)
     
  14. Elekt

    Elekt Banned

    Joined:
    5 Dec 2005
    Messages:
    944
    Likes Received:
    427
    Reputations:
    508
    Ну раз так интересует - опишу эксперимент в деталях.

    Имеется две тачки под ХРенью, свитч "Acorp", первый сервер с ДНСР, второй файловый сервер.
    Прописываем в обе тачки одинаковый мак. Последовательно подключаем каждую. Сервак выдаёт одинаковые айпи первой, а затем второй машине - и продолжает обслуживать обе(привязка мак-айпи). Конектимся с одной тачке на файловый сервер. Здесь повторная привязка мак-апи --- сервак нас пропускает. Качаем фильм. Скорость нормальная.
    В этот момент начинаем лезть со второй тачки на файловый сервак =]
    Связь у первой пропадает, переходит ко второй. И наоборот.
    Тоесть одновременно в сети можно сидеть, но требуеться интенсивный обмен пакетами лишь с одной из машин. Друг другу они мешают. Хотя никаких алертов и ошибок не вылазиет. Связь просто ДОХНЕТ. Ну, ещёбы =]

    Насчёт эксперимента с двуми свичами - наблюдал со стороны, когда в сети две девчонки захапали себе одинаковые маки. А имя компов у них разные... $ля, я долго думал, чё за фигня, почему у них пинг совпадает =]
    .................................................

    Во, точно. Цикл в бате будет выглядеть так:

     
    #14 Elekt, 23 Feb 2006
    Last edited: 23 Feb 2006
  15. Elekt

    Elekt Banned

    Joined:
    5 Dec 2005
    Messages:
    944
    Likes Received:
    427
    Reputations:
    508
    Приведу разговор из привата, думаю foxes будет не против(если что - отпиши - уберу)

    Я не пишу теорию =] Я заядлый практик.
    Экспреименты проводились на 98, 2000, 2003, ХР(sp1\sp2).
    Есть некоторая вероятность, что ваша модель сетевой карты не поддерживает программное изменение мак-адреса. Хотя честно сказать, про такое я только читал(испытав около ~50 моделей я всегда добивался результата).

    Зачастую сам драйвер не имет в настройках "Networkaddress", что опять же разрешимо, внеся записи в реестр напрямую.

    Сама последовательность действий для 2000\03\ХР такая.
    Отключите сетевое подключение, измените мак адрес в настройках\в реестре\программой (обычно надо вписывать БЕЗ разделителей, т.е. 0037f6g8db12 ), включите сетевое подключение.
    Для 98 требуеться перезагрузка.

    Как вариант, попробуйте раздобыть PCI-сетевую карту (любую, стоимостью ~120 руб.) и поэкспериментировать на ней.
     
  16. tclover

    tclover nobody

    Joined:
    13 Dec 2005
    Messages:
    741
    Likes Received:
    682
    Reputations:
    287
    2 Elekt. :) Йопт. Что делать линуксоидам? %)
     
  17. m0nzt3r

    m0nzt3r моня

    Joined:
    22 Jun 2004
    Messages:
    2,096
    Likes Received:
    673
    Reputations:
    591
    как всегда Элект статья превосходна =)
     
  18. KEZ

    KEZ Ненасытный школьник

    Joined:
    18 May 2005
    Messages:
    1,604
    Likes Received:
    754
    Reputations:
    397
    Как могут быть вообще айпи или маки, если жертвы НЕ В СЕТИ? Их вообще нет, и к сети они отношения не имеют.
     
  19. =Be$=

    =Be$= Elder - Старейшина

    Joined:
    21 Jan 2006
    Messages:
    200
    Likes Received:
    123
    Reputations:
    0
    Я имею виду ,что я подключаюсь когда юзера нет в сети под его ip и mac.
     
  20. Kalashmat

    Kalashmat Member

    Joined:
    28 Mar 2006
    Messages:
    20
    Likes Received:
    6
    Reputations:
    0
    Кстати, это быстро пресекается, достаточно пряморукого админа 1 шт, Linux машина 1 шт, настроенный arpwatch 1 шт, пиво - 5 банок :)