|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Mikhail Kalinskiy aka KMiNT21 2:5020/400 02 Apr 2001 17:02:18
To : P. Pokrovsky , COMODER. and ALL
Subject : Re: Моя статейка. + "New - TCP Атаки .. ARP .. hijacking"
--------------------------------------------------------------------------------
Thu Mar 29 2001 22:51, Pavel Pokrovsky wrote to kmint21@iskra.marka.net.ua:
PP> Hello, kmint21@iskra.marka.net.ua.
kimnu>> Технология поимения больших локальных сетей.
PP> звизды надо таким деятелям давать. сразу и без предупреждения.
Мда.. :)) Покидаю я эту конференцию... Говорить тут не с кем. Первый раз в
FIDO писал. :) И вот награда... А помоему это "!" - призыв к ... ну вы знаете.
Ani-oftop : (как-то давно хотел такой вопрос закинуть. А сейчас уже этого
вопоса для меня нет. Можно не отвечать. :)))
TCP Атаки .. ARP .. hijacking. (Внутрисегментые атаки)
Hарод, кто имеет опыт осуществления этих атак?
:) Во-первых просто интересно, а во-вторых -
Вопрос :
Вот как только появлется спортивное желание поэкспериментировать, меня
отстанавливают мыли, касающиеся скорости ответа _своими_ пакетами. Я говорю
про случаи, когда нужно ответить раньше другой тачки на другой запрос (это
осносится к нескольким видам внутрисегментных атак). Hапример вклинивание в
установленную TCP сессию для десинхронизации соединения нулевыми данными. Я
смотрю каким следующим должен быть sequence number и ... пока я
думал/формровал
/отсылал пакет, с другой тачки уже пришел ответ и sequence number поменялся...
:)) Хотя, конечно, для некоторых случаев это неважно. Hапример, я перехватываю
telnet сессию - клиент просто висит на коннекте - без обмена данными. Тут
почти всегда будет все ОК (по-идее). А как быть с другими, более активными
соединениями ? Хотя, пока я это писал, понял, что это риторический вопрос...
:) Судьба, то бишь... Так ведь ? Или отсылать сразу с будующим номером ?
А еще про ARP. Переглянул сейчас в "Атаке через интернет", что там про атаки
сказано.
"Правда, некоторые ОС анализируют все передаваемые по сети широковещательные
ARP-запросы. Hапример, ОС Windows '95 или SunOS 5.3 при получении ARP-запроса
с указанным в нем IP-адресом, совпадающим с IP-адресом данной системы, выдают
предупреждающее сообщение о том, что хост с таким-то Ethernet-адресом пытается
присвоить себе (естественно, успешно) данный IP-адрес."
Hафига передавать широковещательные АРП пакеты, да еще и ждать момента, когда
будет в сети броадкастовый АРП запрос про какой-то ИП ??? Ведь можно сразу
послать пакетик ответа - типа я, такой-то МАС (ставим несуществующий) имею
такой-то ИП. И все. ARP кэш на тачке поменялся (не будем о частных случаях
стат. таблиц). Остается только вести отсылку таких пакетов регулярно (чтобы
снова сменить кэш, как только наст. владелец отошлет брудкастовый ARP. ).
Короче обходиться без брудкастовых ARP-ов - передавать АРП на каждый хост
отдельно. Обычно ведь "на одном" кабеле весит не так много машин. Тем более,
одна из них может быть шлюзом. Тогда можно заняться только эй.
PP> That's it... http://www.marilynmanson.ru/
KMiNT21 < kmint21@mail.ru >
--- ifmail v.2.15dev5
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: Моя статейка. + "New - TCP Атаки .. ARP .. hijacking" 