Согласен с Вами. Итак в студию весь раздел! Spoofing - общее название для сетевых атак, когда один участник маскируется под другого. Наиболее распространённые spoofing-атаки: * MAC-spoofing - атака канального уровня, заключающаяся в том, что на сетевой карте изменяется MAC-адрес, что заставляет коммутатор отправлять на порт, к которому подключен злоумышленник, пакеты, которые до этого он видеть не мог; * ARP-spoofing - атака, эксплуатирующая слабость протокола ARP, позволяющая разместить в ARP-кэше жертвы ложную запись о соответствии IP-адреса другой жертвы MAC-адресу атакующего; * IP-spoofing - атака, заключающаяся в использовании в IP-пакетах, отправляемых жертве, IP-адресов хоста, которому она доверяет; легко осуществима в UDP, в некоторых случаях возможна в TCP-соединениях; * DNS-spoofing - атака, базирующаяся на заражении кэша DNS-сервера жертвы ложной записью о соответствии DNS-имени хоста, которому жертва доверяет, и IP-адреса атакующего.
Для чего делается спуфинг? Скрыть свой IP и MAC! Для чего думаю не надо объяснять! Допустим крутая локалка на 500 машин под своим прокси. Как их искать то бум? Без содействия местных админов - фиг Вам! И не факт, что админы сами не в "теме"! А дискуссия становится действительно интересной. Был у меня случай! Один недобросовестный малый сидел в нашей локалке и делал спуфинг IP адреса. Проставил себе IP вполне уважаемой тетки. То ли Сокс поставил, то ли Hide IP какой нить, не помню уже... Под этой всей фигней качал конфу. Готовился сбыть.... Составляли карты передачи пакетов - бестолку. Все в нашей сети. Установили по МАС-у. Я еще тогда подумал, что этот "перец" мог и MAC подменить (причем реально мог). Тогда бы помучились.... Представьте себе, хотя бы на минуту, что он бы использовал ARP спуфинг или MAC.... Кстати, админы его проспали полностью. Сканирования портов не заметили, впрочем, как и взлом трех машин и закачку "внутреннего сайта", вместе со всей Pass таблицей. Выявлен был только оперативным путем!!!! Когда взяли, был немало удивлен, что спалили....
Re: Анонимность.dr_kennelJuly 6 2009, 17:34:21 UTC
Сказать что вам сказочно повезло при таком подходе к поиску, очобенно учитывая то что "малой" оказался не настолько умен что бы и mac-адрес продублировать или хотя бы с поломаного хоста это делать (хотя может на то были причины), и то что сеть админами не контроллируется. В таких случаях, если сеть на коммутаторах построена, последовательно, начиная от центрального, меняем коммутатор на управляемый (хотя бы второго уровня) и смотрим откуда пакетики льются, и так далее по всей "звезде" сети к конечному юзеру до выяснения конкретного ethernet-порта и соответственно кабеля. Хотя могло оказаться что "малой" не причем, а с его компьютера рулит совсем другой малой :) Но это другая история.
Еще очень хорошо в такой борьбе помогает подмена шлюза у "малого", и перехват всего его трафика, с последующим разбором и анализом.
СУПЕРРР! В принципе так и вышли. Спасибо за коммент. Чувствуется подготовка! А рулил именно он, это точно - я его каждый шаг знал. Но на личность вышли только после того, как прошерстили все коммутаторы и догадались построить звезду, после чего сличили Мас-и поняли откуда вылезли "потные ноги". Отдельно стоящая идея ваабче молодца по моему!
Там есть такие участники, как Vinni и Loo. Я уверен, что вам будет интересно и полезно с ними пообщаться - и сейчас, и вообще. Я совершенно не настаиваю, а просто высказываю свое мнение.
Re: Анонимность.dr_kennelJuly 6 2009, 19:04:29 UTC
Спасибо большое за приглашение, обязательно воспользуюсь, но так как владелец журнала вы, полагаю, будет более уместно если вы сами перенесете тему на форум.
Spoofing - общее название для сетевых атак, когда один участник маскируется под другого. Наиболее распространённые spoofing-атаки:
* MAC-spoofing - атака канального уровня, заключающаяся в том, что на сетевой карте изменяется MAC-адрес, что заставляет коммутатор отправлять на порт, к которому подключен злоумышленник, пакеты, которые до этого он видеть не мог;
* ARP-spoofing - атака, эксплуатирующая слабость протокола ARP, позволяющая разместить в ARP-кэше жертвы ложную запись о соответствии IP-адреса другой жертвы MAC-адресу атакующего;
* IP-spoofing - атака, заключающаяся в использовании в IP-пакетах, отправляемых жертве, IP-адресов хоста, которому она доверяет; легко осуществима в UDP, в некоторых случаях возможна в TCP-соединениях;
* DNS-spoofing - атака, базирующаяся на заражении кэша DNS-сервера жертвы ложной записью о соответствии DNS-имени хоста, которому жертва доверяет, и IP-адреса атакующего.
Для чего делается спуфинг? Скрыть свой IP и MAC! Для чего думаю не надо объяснять! Допустим крутая локалка на 500 машин под своим прокси. Как их искать то бум? Без содействия местных админов - фиг Вам! И не факт, что админы сами не в "теме"!
А дискуссия становится действительно интересной.
Был у меня случай! Один недобросовестный малый сидел в нашей локалке и делал спуфинг IP адреса. Проставил себе IP вполне уважаемой тетки. То ли Сокс поставил, то ли Hide IP какой нить, не помню уже... Под этой всей фигней качал конфу. Готовился сбыть.... Составляли карты передачи пакетов - бестолку. Все в нашей сети. Установили по МАС-у. Я еще тогда подумал, что этот "перец" мог и MAC подменить (причем реально мог). Тогда бы помучились.... Представьте себе, хотя бы на минуту, что он бы использовал ARP спуфинг или MAC....
Кстати, админы его проспали полностью. Сканирования портов не заметили, впрочем, как и взлом трех машин и закачку "внутреннего сайта", вместе со всей Pass таблицей. Выявлен был только оперативным путем!!!!
Когда взяли, был немало удивлен, что спалили....
Reply
В таких случаях, если сеть на коммутаторах построена, последовательно, начиная от центрального, меняем коммутатор на управляемый (хотя бы второго уровня) и смотрим откуда пакетики льются, и так далее по всей "звезде" сети к конечному юзеру до выяснения конкретного ethernet-порта и соответственно кабеля.
Хотя могло оказаться что "малой" не причем, а с его компьютера рулит совсем другой малой :) Но это другая история.
Еще очень хорошо в такой борьбе помогает подмена шлюза у "малого", и перехват всего его трафика, с последующим разбором и анализом.
Reply
Чувствуется подготовка! А рулил именно он, это точно - я его каждый шаг знал. Но на личность вышли только после того, как прошерстили все коммутаторы и догадались построить звезду, после чего сличили Мас-и поняли откуда вылезли "потные ноги".
Отдельно стоящая идея ваабче молодца по моему!
Reply
Мне кажется, вам имеет смысл выложить этот пример на форум СПКР: http://forum.razved.info
Там есть такие участники, как Vinni и Loo. Я уверен, что вам будет интересно и полезно с ними пообщаться - и сейчас, и вообще.
Я совершенно не настаиваю, а просто высказываю свое мнение.
Reply
Reply
Reply
Leave a comment