|
|
ru.nethack- RU.NETHACK ------------------------------------------------------------------- From : Stas Kiselev 2:4600/172.579 21 Aug 2001 22:31:32 To : Vladislav Myasnyankin Subject : запинговать до yмопомpачения :) -------------------------------------------------------------------------------- 21 августа 2001 года (а было тогда 20:41) Vladislav Myasnyankin в своем письме к Stas Kiselev писал: SK>> :) Давай так: если разновидность DoS атаки происходит вутри SK>> сегмета, то поставив сниффер можно найти хост, "инициирующий" SK>> атаку. Тем более если он VM> в VM> Ага. Особенно если сформировать пакет с mac-адресом и ip-адресом VM> жертвы (как источника) и destination 255.255.255.255 :)) Хорошо, давай разберем этот случай. 1. Ты не уточнил про какую из многочисленных DoS атак ты имеешь ввиду... 2. Забрасать машину icmp пакетами можно и без вовлечения других машин...(Это один из видов атак), особенно если пропускная способность канала одинаковая. 3. Забрасать машину icmp пакетами можно вовлекая другие машин...(Это другой вид DoS атаки) И таких можно перечислить мого. Вернусь к твоиму ответу. По всей видимости твое высказываие билиже относится к третьему пункту, да ?. А теперь по шагам. Допустим ты атакующий. Прежде чем IP-пакет сможет быть отправлен на другой узел, должен быть известен аппаратный адрес этого узла, так ? ARP сначала производит поиск аппаратного адреса, соответствующего данному IP-адресу, в своем кэше. Если аппаратный адрес найден, то пакет отправляется адресату. Все другие машины в локальной сети "увидят" пакет, но будут его обрабатывать, поскольку он предназачен не им. Этим моментом и пользуются снифферы. Если соответствия не найдено в кэше, производится широковещательный ARP-запрос. Ты согласен ? Все остальное зависит уже от сниффера. Я пользуюсь cv. У его и фильтры есть и source and destination mac address паказывает, короче просматривает траффик полностью. Так что найти инициатора всегда можно, но очень долго и нудно. Ты написал "Особенно если сформировать пакет с mac-адресом и ip-адресом жертвы (как источника) и destination 255.255.255.255 :))". То есть ты делаешь рассылку icmp пакетов на реально не существующий ip адрес, на что в ответ получишь "Hеизвестный IP-адрес 255.255.255.255.". И если ты вниматочно месагу, сначала производит поиск аппаратного адреса, которого реально нет, а значит и пути нет. SK>> то можно уже кое-какие сделать выводы глядя на хидер icmp пакета. VM> Опять же, если он не собран "ручками" ;) Это я уже для более опытого сказал, так как попробуй сам сделать свой генератор icmp пакетов для осуществления DoS атак. Давай опять я начну с философии... Значит подавляющая часть населения "кульхацкеров" привыкли пользоваться готовым продуктом, а именно кнопить на копочку, при этом так называемо хакать... Hо разговор сейчас не об этом. Hо намек ты поймешь немного познее... А теперь давай углубимся в суть реализации такого скажем флудера. Для того, чтобы добиться максимальной скорости генерации пакетов, я думаю ты не будешь при создании каждого пакета заполнять его "некоторые" поля случайным образом, при этом каждый раз делать всевозможные расчеты, проверки... А это - время. Даже если это и пишется, как в моем случае, на асме. Я думаю если действовать обдуманно, то здесь каждый байт на счету. А для забрасывания хоста - жертвы тебе понадобиться сгенерить не не 10 - 20 пакетов, а штук 200-500, если не больше. Тут всплывает другая мысль, о достижении наибольшего коэффициента умножения... Про это тебе Соколов расскажет, в каких случаях он увеличивается. Лично бы я рассчитал пакет, добился бы наибольшего зачения коэффициента умножения. И пользовался бы в дальнейшем этим шаблоном, вместо генерации по новой. Кстати то что в статье Соколова, то там не предел возможности человечества. Я получил коэффициент на порядок выше чем у него, опять же экспериментируя. Hо это не подлежит всеобщей оглазке. Философия закончилась, а теперь сам ответ: когда глядишь в логи сниффера и видешь 500 раз продублированный пакет с идентичными полями, как минимум с 20 байтым заголовком, то это наводит на мысль, согласно которой можно сделать кое-какие выводы. SK>> А вообще, если ставить вопрос защиты конкретной машины от DoS SK>> атак, то защитить SK>> ее можно всегда. Я имел ввиду защитить от перепонения tcp-стека в SK>> результате VM> Это точно. Есть 100% надежный способ - выключить ее из сети, лучше из VM> сети питания ;) Ага, и не включать ее совсем. Тогда такие как циско будут искать себе другую сферу деятельности. P.S. Ты не чувствуешь как сам себе противоречишь ? P.S. Если хочешь пообсуждать в детальности сетевой архитектуры, оспорить некоторые нюансы, то welcome to netmail, а то в эхе не хочется провацировать *модераторов. Я и так на "птичьих правах в фидо". С уважением, Stas Hаписано 21 августа 2001 года в 23:31. --- * Origin: System Halted, To Repeat Attempt? (2:4600/172.579) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.nethack/261173b8302b6.html, оценка из 5, голосов 10
|