     Ох! Я накопал интересную вещь.
Вы все наверняка знаете, что взлом часто начинается со сканирования портов.
Однако зачастую со сканирования портов начинается не только взлом.
     Например, для сканирования портов используется инструмент nmap. Это консольная утилита, которая умеет определять открытые порты.
А также угадать, какая ОС стоит на атакованной (сканируемой) машине.
     Итак.
Я воспользовался им на днях и обнаружил, что у него есть возможность скрытно сканировать с помощью зомби-машины.
   В чем тут подвох - на сканируемую машину не приходит ни один пакет, содержащий адрес сканирования.
И это круто! Атака проходит очень хорошо.
Я мало что понимаю в том, как работает TCP/IP, но мне здесь много знать не нужно.
Вот описание атаки - nmap.org/book/idlescan.html      Коротко расскажу, как это работает -      Когда TCP-пакет поступает на машину для установления соединения (это называется SYN (установление сеанса)), машина может ответить либо SYN/ASK, то есть принять соединение, либо ответить RST, то есть отклонить его.
.
    Когда машина получает пакет SYN/ASK, который она не ожидает, она отвечает RST, а когда она получает RST, она ничего не отвечает.     Также в Интернете (IP-сетях) можно отправить пакет с любым обратным адресом.
Понятно, что не следует ожидать на него ответа; этот ответ будет отправлен на поддельный обратный адрес.
     И последнее, что собственно позволяет провести атаку.
Большинство систем нумеруют ВСЕ IP-пакеты последовательно, независимо от получателя.
Посылки должны быть пронумерованы, чтобы получатель мог забрать их в правильном порядке по прибытии.
     Тот факт, что пакеты нумеруются последовательно, означает, что вы можете узнать, сколько пакетов компьютер B отправил между двумя запросами от компьютера A к нему.
     Как проходит атака -      Есть 2 машины - A, C. Машина A хочет тайно просканировать C. Для этого она случайным образом выбирает в Интернете любую слегка загруженную машину-зомби - B. Она отправляет ей IP-пакет и узнает IPID эта машина.
     Теперь он отправляет SYN на машину C, но отправляет обратный адрес на машину B.      Тогда есть 2 варианта.
        1. Порт на машине C открыт, и она отправляет ответ (и он отправляется на машину B) - SYN/ASK. Машина Б отвечает RST, поскольку она не ожидает этого соединения и, как правило, слышит о нем впервые.
Но ее IPID увеличивается на 1.         2. Порт на машине C закрыт, и она отправляет RST снова на машину B (она вообще ничего не знает об A).
Машина Б, как и положено, по правилам игнорирует этот пакет, и ее IPID не увеличивается.
     Теперь злой, прыщавый и немытый хакер может отправить еще один IP-пакет на машину B и получить ответ, содержащий новый IPID машины B. Если он отличается от первого запроса на 1, то порт на машине C закрывается.
А если 2, то открыто! Так что!      Обратите внимание, что машина B ничем не была заражена, а машина C не получила ни единого намека на то, кто на самом деле ее не сканировал.
     В англоязычной статье по ссылке есть замечательные картинки, для тех кто ничего не понял, но кому интересно.
Также есть фотография того, как его сканировало RIAA. Это верно.
RIAA должна умереть.
Теги: #взлом #tcp #nmap #сканирование портов #Чулан
-
Ведение Блога С Помощью Wordpress
19 Oct, 24 -
Разведка С Помощью Geo2Ip И Обратного Whois
19 Oct, 24 -
До Свидания <Время>
19 Oct, 24 -
Доверяйте Интернет-Магазинам
19 Oct, 24
