Minun viimeinen viesti meillä oli päättänyt, että jälki tiedosto sisälsi istunto, jossa yksi hiottu verkko perustuu tunkeutumisen havainnointi oli yrittänyt pysäyttää hyökkäyksen kohteeksi HTTP asiakkaan Web-palvelimelle. Tulimme siihen tulokseen, että asiakkaan tiedot pyynnöstä katsoivat melko epäilyttäviä, ja osoittautui kolmannen osapuolen järjestelmä (maaohjelmat) vastasi reset paketit lähetetään istunnon aikana.
Tässä postitse me vielä vastata kahteen kysymykseen:
- Oliko hyökkäys onnistuu?
- Miksi Web-palvelin ohittaa TCP reset paketti lähetetään nipin?
Oliko hyökkäys onnistuu?
Hyökkääjä oli etsimässä tunnistaa, jos tiedosto "startstop.html" sijaitsi "Administrator" hakemistoon. Otetaan katso lähetettäviin paketteihin hyökkääjä jälkeen reset paketit toimitettiin:
tshark-n-r challenge1.cap-x frame.number == 11
11 0.711825 12.33.247.4 -> 148.78.247.10 TCP [TCP edelleenlähettäminen] [TCP segmentin reassembled PDU]
0000 00 50 8b EA 20 AB 00 B0 d0 20 7d E3 08 00 45 00. P.. .... } ... E.
0010 01 A7 37 47 40 00 40 06 73 8b 0C 21 F7 04 94 4e .. 7G @. @. S..! ... N
0020 f7 0A 00 50 69 2a 3a 88 39 cd 6a 97 B9 4c 80 19 ... Pi *: 0.9. J.. L..
0030 19 20 8c d4 00 00 01 01 08 0A 3d 76 0e D3 00 ec. ... ... ..= V ....
0040 48 4b 48 54 54 50 2F 31 2e 31 20 34 30 34 20 4e HKHTTP/1.1 404 N
0050 6f 74 20 46 6f 75 6e 64 0d 0A 44 61 74 65 3a 20 OT Löytyi .. Date:
0060 54 75 65 2c 20 32 35 20 4 75 6e 20 32 30 30 32 Tue, 25 kesäkuu 2002
0070 20 30 30 3a 33 34 3a 35 38 20 47 4D 54 0d 0A 53 00:34:58 GMT .. S
0080 65 72 76 65 72 3a 20 41 70 61 63 68 65 0d 0A 43 erver: Apache .. C
0090 6f 6e 6e 65 63 74 69 6f 6e 3a 20 63 6c 6f 73 65 onnection: Sulje
00a0 0d 0A 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 .. Content-Type:
00b0 74 65 78 74 2F 68 74 6d 6c 3b 20 63 68 61 72 73 text / html; merkkiä
00c0 65 74 3d 69 73 6f 2d 38 38 35 39 2d 31 0d 0A 0d et = ISO-8859-1 ...
00d0 0A 3c 21 44 4 f 43 54 59 50 45 20 48 54 4D 4c 20. <! DOCTYPE HTML
00e0 50 55 42 4c 49 43 20 22 2D 2F 2F 49 45 54 46 2F julkinen "- / / IETF /
00f0 2F 44 54 44 20 48 54 4D 4c 20 32 2e 30 2F 2F 45 / DTD HTML 2.0 / / E
0100 4e 22 3e 0A 3c 48 54 4D 4c 3e 3c 48 45 41 44 3e N ">. <HTML> <HEAD>
0110 0A 3c 54 49 54 4c 45 3e 34 30 34 20 4e 6f 74 20. <TITLE> 404 Ei
0120 46 6f 75 6e 64 3c 2F 54 49 54 4c 45 3e 0A 3c 2F löydetty </ TITLE>. </
0130 48 45 41 44 3e 3c 42 4 f 44 59 3e 0A 3c 48 31 3e HEAD> <BODY>. <H1>
0140 4e 6f 74 20 46 6f 75 6e 64 3c 2F 48 31 3e 0A 54 Not Found </ H1>. T
0150 68 65 20 72 65 71 75 65 73 74 65 64 20 55 52 4c hän pyysi URL
0160 20 2F 63 66 69 64 65 2F 41 64 6d 69 6e 69 73 74 / cfide / Administ
0170 72 61 74 6f 72 2F 73 74 61 72 74 73 74 6f 70 2e rator / startstop.
0180 68 74 6d 6c 20 77 61 73 20 6e 6f 74 20 66 6f 75 HTML ei fou
0190 6e 64 20 6f 6e 20 74 68 69 73 20 73 65 72 76 65 ND tällä palvella
01a0 72 2e 3c 50 3e 0A 3c 2F 42 4 f 44 59 3e 3c 2F 48 r. <P>. </ BODY> </ H
01b0 54 4d 4c 3e 0A 00 03 00 07 TML> ... ..
Joten vastaus hyökkääjän kysymyksen: "Onko tiedostossa palvelimelle?, Vastataan jokaisen paketin palvelin asettaa asiakkaalle jälkeen reset paketit annettiin. Nyt kysymys on, ei hyökkääjä nähdä tämän tiedon?
Kun reset paketti lähetettiin hyökkääjä, reset olisi pitänyt tappaa TCP-istunnon. Tämä tarkoittaa, että kun nämä tiedot tulivat, vastaanottava portti (TCP/26922) olisi pitänyt suljetussa tilassa. Jos tämä itse asiassa on totta, odotan nähdä reset / ACK palaamassa hyökkääjän järjestelmä kertoo meille, että TCP/26922 on nyt suljettu. Emme koskaan näe niitä paketteja.
Joten miksi ei kauko-portin lähellä? Palauta paketti on voimassa, niin se olisi pitänyt tappaa istuntoon. Savvy hyökkääjä aikoo ajaa paketin narkomaani taustalla suorittaessaan hyökkäys. On mahdollista, että hyökkääjä olisi tajunnut mitä oli tekeillä ja yksinkertaisesti luoda palomuurisääntö heidän hyökkäys järjestelmä suodattaa pois kaiken saapuvan reset paketteja. Tämä olisi sallittua heidän työkalu jatkaa toimintaansa. Jopa ilman palomuuria suodatinta niiden pakettien narkomaani sisältäisi vastauksia he etsivät. Joten on erittäin hyvät mahdollisuudet hyökkääjä on tajunnut, mitä olemme haavoittuvia, vaikka maaohjelmissa suojella verkkoon.
Miksi Web-palvelin ohittaa reset paketti?
Meidän lopullinen kysymys on miksi Web-palvelin ohittaa reset paketti lähetetään nipin. Tämä aiheuttaa kaksi ongelmaa:
- Info hyökkääjä halusi jatkaa vuotaa
- Jos hyökkääjällä useiden tiedostojen anturit, ne voisivat täyttää istunnon taulukon Web-palvelin
Toinen erä on tavallaan pelottavaa, koska se olisi todella maaohjelmien aiheuttaa DoS hyökkäyksen vain tappamisesta puolella yhteyden oikein. Joten vaikka olimme korjattu ja ajan tasalla, myyjä vaihde maksoimme rahat päätyisivät tappaminen verkkopalvelimemme. Gee Vihaan sitä, kun vietän rahaa DoS itseäni. 
Otetaan toinen Katso noita nollata paketit:
tshark-n-r challenge1.cap frame.number == 6 tai frame.number == 7
6 0.031319 12.33.247.4 -> 148.78.247.10 TCP 80> 26922 [RST, ACK] Seq = 1 ACK = 222 Voitto = 0 Len = 0
7 0.031385 148.78.247.10 -> 12.33.247.4 TCP [TCP ACKed kadonnut segmentti] 26922> 80 [RST, ACK] Seq = 1 ACK = 222 Voitto = 0 Len = 0
Huomaa, että tshark kertoo meille paketti 7 on kadonnut segmentti. Toisin sanoen tshark kertoo meille, että TCP järjestysnumero ei sisällä ikkunan isäntä odottaa. Katso järjestyksessä ja tunnustaa numerot selittää. Arvot ovat samat pienimmille paketin 6. Saatat muistan Uusin viesti että paketti 6 ja 7 oli myös sama IP ID-arvo (45298).
Joten näyttää siltä, että täällä on mitä tapahtui:
- Asiakas lähettää HTTP hyökkäys verkkopalvelimemme
- Maaohjelmissa havaita hyökkäys
- Maaohjelmissa lähetti kelvolliset TCP palauttaa hyökkääjän tappaa istuntoon
- Maaohjelmissa vaihtoivat lähde ja kohde IP-osoitteita paketin, uudelleen CRC, ja sitten lähetti saman palautetaan Web-palvelimeen
- Web-palvelin ohittaa nollaa, koska se ei sisällä hyväksyttävää järjestysnumero
Saatat kysyä itseltäsi, "Kuinka myyjä missaa tätä?". Minun paras arvaus on, että myyjä juoksi jotkut simuloituja hyökkäyksiä; hyökkäys työkalu ei näytä heille haavoittuvia tiedostoja, joten he olettivat kaikki toimi OK. Toisin sanoen myyjä joka loi tuote suojaamaan verkkoja viiraan koskaan vaivautunut katsomaan mitä niiden tuote todella tekemässä lanka. Hummm ...
Bonus kysymys
OK, jos sinulla on hauskaa tämän kanssa, tässä on bonus kysymys vastata, että se lopullisesti todistamaan uber-geek status kun alkuun salaisen pyramidin:
Oletetaan Kiinnitämme tilallinen palomuuri välinen aliverkon ja hyökkääjä. Tuleeko hyökkääjä voi silti nähdä vastauksesi paketin narkomaani?
Laitan vastauksen ensi viikolla.
Liittyvien virkojen:
