Huijaus IP-osoitetta Port Scan - Osa 1

28 elokuu 2009 Chris Jätä vastaus »

Rakastan Debunking myyttejä, yksi suosikeistani on "portti skanneri on paljastaa todellisen lähteen IP-osoite". Tässä sarjassa Minä näytän sinulle, miten tehdä Porttiskannausten taas piilottaa lähde IP-osoitteen isännältä skannataan. Otan myös kertoa, miten voit havaita tekniikkaa, kun sitä käytetään sinua vastaan.

Nmap n syötti tilassa

Vaihtoehto tekniikka kuvaan on nmap n syötti tilassa. Kun syötti tilassa voit tunnistaa useita väärä lähde IP-osoitteita. Valitse kohde isäntä, se näyttää kaikki vääriä IP-osoitteita sekä todellinen lähde IP osoite, ovat kaiken esittävän Porttiskannausten samanaikaisesti. Konsepti on ylläpitäjän mukaan hyökkäys ei ole mitään keinoa tietää, mitkä IP-osoite on itse asiassa totta IP tarkistuksen tekevä.

Tämä tekniikka ei todellakaan peittävät todellisen lähteen, kuten lähteen IP-osoite on yksi IP tarkistuksen tekevä. Jos tiedät mitä etsiä, voit helposti selvittää, mikä lähde IP on todella skannaus sinua. Joten vaikka tämä tekniikka toimii, se ei ole täysin tehokkaasti piilossa lähde IP osoite.

Mikä on idle scan?

Kun teemme idle scan, emme oikeastaan ​​suoraan havaita avoimia portteja. Pikemminkin me havaita vaikutusta avoin portti olisi kolmannelle järjestelmä. Tekniikka on samanlainen kuinka monta viruksia havaitaan ihmiskehossa. Sen sijaan havaita todellinen virus, etsimme vasta-aineita saa tuottaa, kun virus on läsnä järjestelmässä. Idle scan havaitsee avata portteja paljon samalla tavalla.

Ennen kuin voimme kaivaa liian syvälle idle scan, meidän täytyy tarkastella joitakin koukeroita IP.

Ennustettavissa otsikon arvoista

Vaikka RFC on suunniteltu tarpeeksi tarkkoja, että erilaisia ​​käyttöjärjestelmiä voi silti kommunikoimaan IP, he silti jättää melko vähän tulkinnanvarainen. Esimerkiksi RFC määrittää, että suurin Time To Live (TTL) arvon, voidaan käyttää on 255. He eivät kuitenkaan määritellä, mitä alkuperäisestä TTL arvoa on käytettävä; niin erilaisia ​​käyttöjärjestelmiä käyttävät erilaiset lähtökohdat TTLS. RFC kuvaavat kuinka Ping pitäisi toimia, mutta ei ole täsmentänyt, mitä pitäisi olla hyötykuorma Echo-pyyntö paketteja. Jälleen eri valmistajat käyttävät eri arvoja. Näitä sävyjä voi sallia voit tunnistaa lähdekoodin käyttöjärjestelmä perustuu vaihtelut paketin sisältö. Tekniikka kutsutaan passiivinen sormenjälkiä .

IP tunniste (IP ID)-kenttään IP-otsikko (bytes 4 ja 5) on samanlainen tilanne. RFC 791 täsmennetään, että numero on ainutlaatuinen per isäntä, kertamaksua perusteella. Esimerkiksi sanokaamme I Etäyhteyden SSH-palvelimen. Jokainen IP ID mainittuun istuntoon on oltava yksilöllinen. Jos suljen istunto ja kytke sitten takaisin myöhemmin, se on RFC yhteensopiva, jos yksi tai useampi IP ID arvoja saa käyttää uudelleen. He eivät tarvitse, mutta jos se ei tapahdu se ei ole ongelma.

Joten RFC sanoa IP tunnus on ainutlaatuinen, mutta se ei oikeastaan ​​sitoa miten edetä tuottaa arvoa. Tämä on johtanut eri käyttöjärjestelmien käyttöön erilaisia ​​menetelmiä. Esimerkiksi Windows alkaa IP ID arvon 1 ja yksinkertaisesti kasvattaa arvoa +1 jokaisen paketin jättäen järjestelmän. Kun suurin arvo 65535 on saavutettu, se lähtee takaisin haltuunsa 1. BSD laittaa satunnaisen arvon osaksi IP kenttään jokaisesta paketista jättäen järjestelmän. Linux on satunnaisesti TCP-paketin (paitsi alustavat vastaukset, jotka ovat aina nolla), +1 inkrementaalinen varten ICMP, ja aika perustuu UDP. Vau!

Joka on mielenkiintoinen meidän kannalta on Windows. Se, että jokainen paketti jättäen järjestelmän saa +1 IP ID tekee arvo äärimmäisen ennustettavissa. Otetaan esimerkiksi seuraava lähtö:

[Root @ Fubar ~] # hping-r 192.168.100.2

HPING 192.168.100.2 (eth0 192.168.100.2): No liput on asetettu, 40 headers + 0 datatavuja

LEN = 46 IP = 192.168.100.2 TTL = 128 id = 108 urheilu = 0 LIPUT = RA seq = 0 voittaa = 0 RTT = 0,4 ms

LEN = 46 IP = 192.168.100.2 TTL = 128 id = +1 urheilu = 0 LIPUT = RA seq = 1 voitto = 0 RTT = 0,4 ms

LEN = 46 IP = 192.168.100.2 TTL = 128 id = +1 urheilu = 0 LIPUT = RA seq = 2 voittaa = 0 RTT = 0,4 ms

LEN = 46 IP = 192.168.100.2 TTL = 128 id = +2 urheilu = 0 LIPUT = RA seq = 3 voittaa = 0 RTT = 0,4 ms

LEN = 46 IP = 192.168.100.2 TTL = 128 id = +1 urheilu = 0 LIPUT = RA seq = 4 voittaa = 0 RTT = 0,4 ms

LEN = 46 IP = 192.168.100.2 TTL = 128 id = +1 urheilu = 0 LIPUT = RA seq = 5 voittaa = 0 RTT = 0,4 ms

hping on paketin askartelu työkalu jolla voit luoda omia IP-paketteja. Yllä ulostulo käytämme "-R" kytkin on hping seuranta IP ID inkrementtiä etäjärjestelmän. Tiedämme, että se on Windows-järjestelmän, koska Windows käyttää aina alkaa TTL 128. Katsokaa nyt "id =" arvoja. Ensimmäisellä rivillä tuotannon hping aina tulostaa absoluuttinen IP ID arvo käyttämä järjestelmä. Tällöin tässä arvo on 108. Jokainen seuraava rivi sitten tulostaa delta muutos edellisestä paketti. Joten toisella rivillä todellisen IP-tunnus oli 109, mikä on "+1" edellisen arvon 108. Seuraava paketti oli IP tunnus on 110, joka on "+1" Edellinen IP ID arvo 109.

Katso tarkasti neljännen rivin lähdön. Huomaa delta muutos oli "+2". Koska Windows käyttää peräkkäisiä IP-tunnukset, tämä kertoo meille paketin emme näe lähti juuri Windows-järjestelmän. Emme tiedä, missä se oli menossa, mutta se on OK. Tärkeää on, että voimme tunnistaa, kun Windows järjestelmä lähettää ja kuinka monta pakettia se lähettää. Esimerkiksi oli että linja lukenut "+5", me tiedämme, että Windows-järjestelmä lähettää neljä muuta pakettien koska vastasit viime koetin.

Havaitseminen avoimet portit

Joten kuinka voimme hyödyntää ennustettavissa IP ID arvo Windows pahaan? Yksi mahdollisuus on kääntää Windowsin järjestelmän avoin portti anturi. Näin me toimimme:

  1. Monitor nykyinen IP ID käyttävät Windows-järjestelmän. Meidän pitäisi tarkistaa arvo säännöllisin väliajoin suhteellisen lyhyessä ajassa. Sano kerran sekunnissa.
  2. Etsi kohdejärjestelmään haluamme Porttiskannausten.
  3. Vaikka huijaus lähde IP-osoite Windows-järjestelmän, lähettää SYN-paketin TCP-portin haluamme luotain kohde.

Kohdejärjestelmän lähettää vastauksen paketin takaisin Windows-järjestelmän. Tämä vastaus on joko:

RFC Valtion Sinun ei koskaan tulisi vastata virhettä paketteja, riippumatta siitä oletko pitävät niitä laillista tai ei. Joten kun Windows laatikko saa TCP nollata virheen paketin päässä tavoite isäntä, se hiljaa jättää ja hylkää paketin.

Asiat hieman mielenkiintoisempi kun SYN / ACK sai kuitenkin. Valitse Windows-järjestelmän näkökulmasta, se on vain ripustettu hoitamassa se oma liike kun jokin tuntematon järjestelmä lähettää sen SYN / ACK paketin (muista me väärennetty Windows-järjestelmän IP-osoite anturi paketin). SYN / ACK tehokkaasti tarkoittaa "Toki voit liittää minulle että TCP-portti, no problem". Tietenkin sillä Windows järjestelmä ei todellisuudessa lähettää SYN-paketin, se ei ole aavistustakaan, mitä kauko tavoite puhuu.

Tässä mielessä Windows järjestelmä lähettää TCP nollata virheen paketin takaisin tavoite isäntä. Kun reset paketti lähetetään, seuraava käytettävissä oleva IP tunnus on käytettävä IP-otsikko. Tämä puuttuu IP ID olisi havaittu, jos olemme edelleen seuranta IP ID lisäys kerran sekunnissa. Joten tarkistaa:

  • Suljettu portti target = Ei paketteja jättäen Windows-järjestelmän
  • Avaa portti target = Windows lähettää TCP nollata jopa IP tunnus

Joten seuraamalla IP ID lisäys, voimme tunnistaa kun avaa portti on havainnut vain antureita avata portteja aiheuttaa IP ID lisäys muuttaa.

Varoituksista

Et voi käyttää mitä tahansa Windows-järjestelmän tämän hyökkäyksen. Laatikko on täytettävä tietyt kriteerit:

  • Suhteellisen hyvin järjestelmä tuottaa vähän liikennettä (kuten kodin järjestelmä)
  • Ei Tilallinen suodatus TCP liikenne

Tietenkin mennä mihin tahansa kaapeli-tai DSL-verkkoa 02:00 paikallista aikaa ja löydät satoja tuhansia järjestelmiä, jotka täyttävät nämä kriteerit. Muista, että Windows järjestelmiä rakastavat mielivaltaisesti broadcast, joten sinun kannattaa suorittaa useita tarkistaa kunkin avoin portti vain varmistaa IP ID lisäys muutos oli itse asiassa johtui avata portti on kysyneet.

Exec Yhteenveto

Idle scan voit luotain avaa portit kauko tavoitteen, ja huijaavat kohde uskomaan, että jokin kolmas taho järjestelmä toimii skannata. Avoimet portit havaitaan seuraamalla väärinkäytöksiä on IP ID inkrementti Windows ruutuun.

Seuraavassa erässä me itse nähdä, mitä nämä paketit näyttävät johto sekä keskustelemaan miten havaita tyhjäkäynnillä hyökkäys kun sitä käytetään sinua vastaan.

Liittyvien virkojen:

  1. Huijaus IP-osoitetta Port Scan - Osa 2
  2. Verkon kartoitus palomuurin kautta - Osa 1
  3. Piilottaminen Backdoor Behind Active Windows Listening Port
  4. Miten Review Palomuurilokin Vuonna 15 min tai vähemmän - Osa 2
  5. Verkon kartoitus palomuurin läpi - Osa 2

Lähetetty 3-öh , Network Security , Windows Security

Tunnisteet:

Voit seurata tämän artikkelin vastauksia kautta RSS 2.0 . Voit jättää vastauksen , tai trackback omalta sivustoltasi.

Mainos

Jätä kommentti