Cum de a lupta în rețelele locale
Cu mult timp în urmă într-un război violent lokalke rețea foarte îndepărtat. Nu v-ați alăturat încă lokalke? Deci, conectați rapid și dacă în județ încă acest lucru, apoi repede Ride Mitya - cumpara masina 300 golfurile metru, hub-uri, placă de rețea, konnnektory, obzhimalku și a aduna oamenii!
Am trage în sus? Yo! Dar, după cum se pare, nu sunt doar prieteni într-o mulțime de oameni în rețea. Uneori mă simt ca să fac ceva urât acest lohu prost de la ușă următoare;). Te voi ajuta să faci acest vis devenit realitate și să vă spun despre opțiunile de atacuri și tehnici de apărare în războiul de rețea.
Pentru a face o astfel de operațiune este destul de simplu, dacă la dispoziția dumneavoastră există o mașină UNIX sau NT, deoarece Doar în aceste platforme disponibile biblioteca libnet, permițând doar suficient pentru a genera pachete ARP. De fapt, această clasă de software portat pentru NT, nu există încă. este toată lumea lui, și veți avea!
EXCLUSIV din revista - noua versiune X intitulat Bespredel, pe care o puteți dezumfla cu www.xakep.ru/articles/releases. Cu această caracteristică, împreună cu libnetNT, haosul poate aranja nu numai cu ajutorul nix`om *;).
Unix luptători același leagăn este bun cu:
În Linux și FreeBSD, va fi capabil să realizeze acest urechi fentă timp de 1 minut, dar stând sub OpenBSD, trebuie să suferi gimor imens :(. Dacă vom sniffat administrator lokalku și suficient de avansată pentru a monitoriza atacurile pasive (sniffing) - va avea ceva de lucru, dar noi încă înființat sistemul nostru, astfel încât nu a putut fi detectată în LAN, dar să se uite la hub-ul - fie despre lumina noastră de port este pornit sau nu)..
Totul este simplu: ia IP-ul și de a schimba utilitatea ifconfig:
acest lucru se face sub Linux, după cum urmează:
ifconfig <интерфейс> jos
ifconfig <интерфейс> în sus
Apropo, nu uitați să instalați securelevel kernel-ul la nivelul 0 înainte de încărcare modul, ca implicit este nivelul 1, în cazul în care nu se poate descărca LKM.
O altă modalitate bună de a păstra anonimatul - firewall'a setarea corectă. Puteți configura firewall-ul, astfel încât sistemul nu va răspunde tuturor solicitărilor: nici un răspuns la comanda ping, toate porturile sunt acoperite. Într-o astfel de situație, este greu de spus, există o mașină de pe rețea sau nu. Dacă utilizați Firewall ipfilter, apoi se adaugă pur și simplu această linie „bloca toate“ în lista de reguli, și apoi forțat să reciti regulile IPF.
Dacă utilizați ipchains, apoi tastați următoarea viscol:
ieșire ipchains -A -j DENY -s 0/0 -d 0/0
Ipfwadm va arăta astfel:
ipfwadm -O -p DENY
Și în ipfw va arăta astfel:
ipfw adăuga neagă de la orice la orice afară
Dintre metodele existente în prezent de îndepărtare a anumitor sniffer metodă foarte rapid și eficient este ARP. Cu el, în cazul în care nu au fost luate spetsmer, probabilitatea de detecție sniffer - 99%.
Cu toate acestea, oameni informați (acum ești unul dintre ei), cu această metodă este lupta foarte ușor. Trebuie doar să dezactivați utilizarea ARP pe interfața prin tastarea: ifconfig <интерфейс> -arp
Renunțe la folosirea ARP pe interfața ar trebui să numai în timp ce sniffing, deoarece fără ea pur și simplu nu se poate folosi iNet.
În momentul de față, într-adevăr eficiente DoS`ami sunt ataca încă pachete fragmentate IGMP (Kod, proxenet, voidozer).
Apropo, pentru cei care nu știu: voidozer în pachete de ieșire trimite informații despre sistemul pe care se execută atacator (numele de utilizator și începe directorul).
Din toate aceste atacuri pentru patch-uri pentru Windows există. Pe www.microsoft.com (WOW, prima dată, care poate fi găsit ceva util acolo;) - pentru a găsi un IGMP recrut).
Atacurile de inundații sunt încă eficiente, mai ales dacă aveți un lokalku 10-Mbit, hub-uri ieftine și distanțe lungi între calculatoare. În acest caz, un ping puternic va crea un conflict mai mare. În plus, sistemul de operare nu poate face față cu un astfel de număr foarte mare de pachete de intrare. De exemplu, am apelată cu masina OpenBSD sub computerul portabil - Celeron433,
32ram, 10Mbit placă de rețea PCMCIA atunci când a fost lansat Win98SE.
Rezultat: În timpul inundației masina a arătat nici un semn de viață (chiar și mouse-ul nu se misca).
Punerea în aplicare un ping de inundații este cel mai bine cu dimensiunea maximă de pachete, care este egală cu 65.000, cu steaguri:
-l (utilizarea tranzitată maxim posibil).
Presupun că ai citit un articol în camera nouă, unde a fost spus despre sniffere. Deci, apoi am stat de vorbă despre sniffere și antisniffery și adaugă ceva ce nu a fost reflectat în articolul precedent.
Dacă doriți să stabiliți cine ai acolo sniffaet în afară de tine, utilizarea, pe lângă cele deja descrise AntiSniff și Sentinel, un utilitar gratuit numit neped, folosind arp-metoda. Utilitarul funcționează pe toate platformele pentru care există bibliotecă libnet.
Și dacă, să zicem, mașina a rupt, sniffer instalat și ifconfig înlocuit, astfel încât el nu a demonstrat că placa este în modul promisc? Hung? Nu! Descarcă utilitate proprietate de la pagi X de presă: www.xakep.ru/articles/releases. Lordz numit :).
Principalii administratori mitul rețelelor locale care au o mulțime de bani și nu suficient de creier, este că „nimeni nu poate sniffat în comutatorul“ (comutator-hub).
Pentru sniffing rețele construite în comutator, există mai multe metode.
o cale de ieșire, ca pachetele de masinile inamice vor merge în același timp
Cea mai eficientă metodă se bazează pe faptul că switch-uri au o limită de memorie. Ie Comutatorul zafluzhenny nu va fi în măsură să controleze transmiterea pachetelor și va trimite toate pachetele la toate porturile ca un hub mut obișnuit.
O mare utilitate care pune în aplicare aceste metode este:
Ceea ce este utilizat în chat lokalke ta? Cu siguranță Vypress Chat sau IRC! Cum se poate poprikalyvatsya cu camere de chat?
Și dacă în lokalke dumneavoastră utilizat CIG, și aici puteți glumi prin utilitate irchijack care vă permite să intercepteze conexiunea
cu serverul irc, face ceva pe server, în numele acelei persoane!
/ ADMsniffID <интерфейс> <желаемый IP> <нужное имя хоста> <тип записи>
/ ADMsniffID eth0 192.168.6.66 microsoft.com 1
Rezumând, vreau să spun că, IMHO, sistemul de operare cel mai eficient pentru acest tip de activitate este Linux, comparativ cu Windows, FreeBSD, și OpenBSD. Din păcate, nu se poate compara cu clone comerciale, cum ar fi Unix Solaris, AIX, UnixWare, etc.
- trimite pachete cu structura precară / incompletă (care este necesară pentru atacuri DOS);
- pur și simplu a scrie sniffer (toate pachetele pot fi capturate prin RAW_SOCK). Și în conformitate cu sistemele de operare * BSD, folosind sistemul bpf (filtru de pachete Berkley), prin RAW_SOCK posibil pentru a captura toate pachetele cu excepția TCP, UDP si ICMP`ey tip opta (echo request).
Pe scurt, kukish BZDE pe ce să facă. Totul vorbim despre ce linuh - UNIX este pentru copiii care nu sunt destul de corecte;).
în sfârșit. să înceapă războaiele!
EXCLUSIV din revista - noua versiune X intitulat Bespredel, pe care o puteți dezumfla cu www.xakep.ru/articles/releases. Cu acest lucru mic cu libnetNT, haosul poate aranja nu numai cu ajutorul nix`om *;).
Principalii administratori mitul rețelelor locale care au o mulțime de bani și nu suficient de creier, este că „nimeni nu poate sniffat în comutatorul“ (comutator-hub).
Deci asta este - rahat (aproape)!
ifconfig - un program standard în sistemul de operare UNIX, care este utilizat pentru configurarea și de rețea se schimba parametrii de interfață.
ARP-Table. Deci, ca să nu blocheze rețeaua cu nenumărate cereri ARP la „IP -> MAC“, rezultatele anterioare sunt înregistrate într-un tabel special. Intrările sunt dinamice în acest tabel (actualizate frecvent) și statice, care nu se modifică în nici un caz. A se vedea arp-tabel poate comanda ARP-.
Gateway / poarta (gateway). În cazul în care computerul va transmite pachetul în cadrul rețelei locale, atunci totul este clar. Dar ce se întâmplă dacă aveți nevoie pentru a pulnut vechi într-o altă rețea în Internet, de exemplu? Iar faptul că avem nevoie de o poarta de acces prin care să pachete traseu la Net extern.