Главная страница


ru.nethack

 
 - RU.NETHACK -------------------------------------------------------------------
 From : Stas Kiselev                         2:4600/172.579 21 Aug 2001  22:31:32
 To : Vladislav Myasnyankin
 Subject : запинговать до yмопомpачения :)
 -------------------------------------------------------------------------------- 
 
 
 21 августа 2001 года (а было тогда 20:41)
 Vladislav Myasnyankin в своем письме к Stas Kiselev писал:
  SK>> :) Давай так: если разновидность DoS атаки происходит вутри
  SK>> сегмета, то поставив сниффер можно найти хост, "инициирующий"
  SK>> атаку. Тем более если он
  VM> в
  VM> Ага. Особенно если сформировать пакет с mac-адресом и ip-адресом
  VM> жертвы (как источника) и destination 255.255.255.255 :))
 
 Хорошо, давай разберем этот случай.
 1. Ты не уточнил про какую из многочисленных DoS атак ты имеешь ввиду...
 2. Забрасать машину icmp пакетами можно и без вовлечения других машин...(Это
 один из видов атак), особенно если пропускная способность канала одинаковая.
 3. Забрасать машину icmp пакетами можно  вовлекая другие машин...(Это другой
 вид DoS атаки) И таких можно перечислить мого.
 
 Вернусь к твоиму ответу. По всей видимости твое высказываие билиже относится к
 третьему пункту, да ?. А теперь по шагам. Допустим ты атакующий.
 Прежде чем IP-пакет сможет быть отправлен на другой узел, должен быть известен
 аппаратный адрес этого узла, так ? ARP сначала производит поиск аппаратного
 адреса, соответствующего данному IP-адресу, в своем кэше. Если аппаратный адрес
 найден, то пакет отправляется адресату. Все другие машины в локальной сети
 "увидят" пакет, но будут его обрабатывать, поскольку он предназачен не им.
 Этим моментом и пользуются снифферы. Если соответствия не найдено в кэше,
 производится широковещательный ARP-запрос. Ты согласен ? Все остальное зависит
 уже от сниффера. Я пользуюсь cv. У его и фильтры есть и source and destination
 mac address паказывает, короче просматривает траффик полностью. Так что найти
 инициатора всегда можно, но очень долго и нудно.
 Ты написал "Особенно если сформировать пакет с mac-адресом и ip-адресом
 жертвы (как источника) и destination 255.255.255.255 :))". То есть ты делаешь
 рассылку icmp пакетов на реально не существующий ip адрес, на что в ответ
 получишь "Hеизвестный IP-адрес 255.255.255.255.". И если ты вниматочно месагу,
 сначала производит поиск аппаратного адреса, которого реально нет, а значит и
 пути нет.
  SK>> то можно уже кое-какие сделать выводы глядя на хидер icmp пакета.
  VM> Опять же, если он не собран "ручками" ;)
 
 Это я уже для более опытого сказал, так как попробуй сам сделать свой генератор
 icmp пакетов для осуществления DoS атак. Давай опять я начну с философии...
 Значит подавляющая часть населения "кульхацкеров" привыкли пользоваться готовым
 продуктом, а именно кнопить на копочку, при этом так называемо хакать...
 Hо разговор сейчас не об этом. Hо намек ты поймешь немного познее... А теперь
 давай углубимся в суть реализации такого скажем флудера. Для того, чтобы
 добиться максимальной скорости генерации пакетов, я думаю ты не будешь при
 создании каждого пакета заполнять его "некоторые" поля случайным образом, при
 этом каждый раз делать всевозможные расчеты, проверки... А это - время. Даже
 если это и пишется, как в моем случае, на асме. Я думаю если действовать
 обдуманно, то здесь каждый байт на счету. А для забрасывания хоста - жертвы тебе
 понадобиться сгенерить не не 10 - 20 пакетов, а штук 200-500, если не больше.
 Тут всплывает другая мысль, о достижении наибольшего коэффициента умножения...
 Про это тебе Соколов расскажет, в каких случаях он увеличивается.
 Лично бы я рассчитал пакет, добился бы наибольшего зачения коэффициента
 умножения. И пользовался бы в дальнейшем этим шаблоном, вместо генерации по
 новой. Кстати то что в статье Соколова, то там не предел возможности
 человечества. Я получил коэффициент на порядок выше чем у него, опять же
 экспериментируя. Hо это не подлежит всеобщей оглазке. Философия закончилась, а
 теперь сам ответ: когда глядишь в логи сниффера и видешь 500 раз
 продублированный пакет с идентичными полями, как минимум с 20 байтым заголовком,
 то это наводит на мысль, согласно которой можно сделать кое-какие выводы.
 
  SK>> А вообще, если ставить вопрос защиты конкретной машины от DoS
  SK>> атак, то защитить
  SK>> ее можно всегда. Я имел ввиду защитить от перепонения tcp-стека в
  SK>> результате
  VM> Это точно. Есть 100% надежный способ - выключить ее из сети, лучше из
  VM> сети питания ;)
 
 Ага, и не включать ее совсем. Тогда такие как циско будут искать себе другую
 сферу деятельности.
 
 P.S. Ты не чувствуешь как сам себе противоречишь ?
 P.S. Если хочешь пообсуждать в детальности сетевой архитектуры, оспорить
 некоторые нюансы, то welcome to netmail, а то в эхе не хочется провацировать
 *модераторов. Я и так на "птичьих правах в фидо".
 
 С уважением, Stas
                                       Hаписано 21 августа 2001 года в 23:31.
 ---
  * Origin: System Halted, To Repeat Attempt? (2:4600/172.579)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: запинговать до yмопомpачения :)   Vladislav Myasnyankin   21 Aug 2001 21:41:01 
 запинговать до yмопомpачения :)   Stas Kiselev   21 Aug 2001 22:31:32 
 запинговать до yмопомpачения :)   Eugene Sobolev   23 Aug 2001 02:08:24 
Архивное /ru.nethack/261173b8302b6.html, оценка 3 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional