Як воювати в локальних мережах

Давним-давно в далекій-далекій локалке вирували мережеві війни. Ти ще не долучився до локалке? Так швидко підключайся, а якщо в окрузі такої ще немає, то швидко їдь на Митьку - купуй вагон 300 метрових бухт, хаби, мережевої, конннектори, обжімалку і збирай народ!

Підробити? Е! Але, як виявилося, в натовпі мережевого народу є не тільки друзі. Іноді так і хочеться зробити що-небудь бридке цьому тупому лоху з сусіднього під'їзду;). Я допоможу тобі здійснити цю заповітну мрію і розповім про варіанти атак і методах захисту в мережевий війні.

Виконати таку операцію досить просто, якщо в твоєму розпорядженні є UNIX або NT машина, тому що тільки під дані платформи доступна бібліотека libnet, що дозволяє досить просто генерувати ARP пакети. Насправді програм такого класу, портірованних під NT, не існує, але. це у всіх інших, а у тебе буде!

ЕКСКЛЮЗИВ ВІД ЖУРНАЛУ - новий Х-реліз під назвою Bespredel, який ти можеш викачати з www.xakep.ru/articles/releases. Маючи цю штучку, разом з libnetNT, хаос можна буде влаштовувати не тільки користуючись * nix`ом;).

Юніксовие ж бійці качають це добро з:

У Linux'е і FreeBSD ти зможеш реалізувати цей фінт вухами за 1 хвилину, але, сидячи під OpenBSD, тобі доведеться страждати величезним гимора :(. Якщо ми збираємося сніффать локалку і адміністратор досить просунутий для того, щоб відстежувати пасивні атаки (сніффінг), - доведеться трохи попрацювати. Але ми все одно налаштуємо нашу систему так, щоб її ніяк не можна було виявити в локалке, крім як подивитися на хаб - горить лампочка біля нашого порту чи ні;).

Тут все просто: беремо і міняємо твій IP утилітою ifconfig:

Під Linux це робиться так:

ifconfig <интерфейс> down

ifconfig <интерфейс> up

До речі, перед завантаженням модуля не забудь встановити securelevel ядра на рівень 0, тому що за замовчуванням використовується рівень 1, при якому неможлива завантаження lkm.

Ще один хороший спосіб збереження анонімності - правильна настройка firewall'a. Можна конфігурувати firewall таким чином, що твоя система не буде відповідати НА ВСЕ запити: немає відповіді на пінг, всі порти прикриті. При такому розкладі вже важко сказати: є машина в мережі чи ні. Якщо ти використовуєш Firewall IPfilter, то просто додай дану рядок "block out all" в список правил і потім примусь ipf перечитати правила.

Якщо ти використовуєш IPChains, то набери таку пургу:

ipchains -A output -j DENY -s 0/0 -d 0/0

У ipfwadm це буде виглядати так:

ipfwadm -O -p DENY

А в ipfw це буде виглядати так:

ipfw add deny from any to any out

З існуючих в даний момент способів віддаленого визначення сніфферов дійсно швидким і ефективним є ARP метод. З ним, якщо не вжито спецзаходів, ймовірність виявлення сніффер - 99%.

Правда, знаючим людям (тепер ти один з них) з цим методом дуже просто боротися. Треба всього лише відключити використання протоколу ARP на інтерфейсі, набравши: ifconfig <интерфейс> -arp

Відмовлятися від використання протоколу ARP на інтерфейсі варто тільки на час сніффінга, тому що без нього ти просто не зможеш використовувати iNet.

На даний момент реально ефективними DoS`амі є як і раніше атаки фрагментованими IGMP пакетами (kod, pimp, voidozer).

До речі, для тих, хто не в курсі: voidozer в вихідних пакетах відсилає інформацію про систему, на якій працює атакуючий (ім'я користувача і директорія запуску).

Від усіх цих атак для виндов існують патчі. На www.microsoft.com (ВАУ, вперше щось корисне можна там знайти;) - в пошуку просто набираємо IGMP).

Флуд атаки як і раніше залишаються ефективними, особливо якщо у тебе 10-Мбітних локалка, дешеві хаби і великі відстані між комп'ютерами. В цьому випадку сильний пінг буде створювати велику колізію. Плюс до цього, ОС не встигає обробляти таку величезну кількість вхідних пакетів. Наприклад, я пінгувати з машини під OpenBSD свій notebook - Celeron433,

32ram, 10mbit PCMCIA мережева карта, коли на ньому був запущений win98se.

Результат: під час флуда машина не подавала ніяких ознак життя (навіть мишка не рухалася).

Здійснювати пінг-флуд найкраще з максимальним розміром пакета, який дорівнює 65000, з прапорами:

-l (використання максимальної можливої пропускної здатності).

Я вважаю, ти Новомосковскл статтю в 9-му номері, де розповідалося про сніфери. Так ось, далі ми поговоримо трохи про сніфери і антісніффери і додамо дечого, що не було відображено в попередній статті.

Якщо хочеш визначити, хто ж там у вас сніффает, крім тебе, то скористайся, крім вже описаних AntiSniff і Sentinel, безкоштовною утилітою neped, що використовує arp-метод. Утиліта працює на всіх платформах, для яких є бібліотека libnet.

А якщо, припустимо, твою машину зламали, встановили сниффер і підмінили ifconfig так, щоб він не показував, що карта знаходиться в PROMISC режимі? Вішатися? Ні! Скачувати фірмову утиліту з паги Х-релізів: www.xakep.ru/articles/releases. Lordz називається :).

Головний міф адмінів локальних мереж, у яких багато грошей і мало мізків, такий, що "ніхто не зможе сніффать на світча" (switch-hub).

Для сніффінга в мережах, побудованих на світча, існує кілька методів.

чином вийде, що пакети від ворожої тачки йтимуть одночасно

Найефективніший метод, заснований на тому, що свитчи мають ліміт пам'яті. Тобто зафлуженний switch не зможе контролювати передачу пакетів і буде слати все пакети на всі порти як звичайнісінький тупий хаб.

Відмінною утилітою, що реалізує ці методи, є:

Який чат використовується у вашій локалке? Напевно це Vypress Chat або IRC! Як же поприколюватися з чатами?

А якщо ж у твоїй локалке використовується ІРК, то і тут можна пожартувати з допомогою утиліти irchijack, яка дозволяє тобі перехоплювати з'єднання

з irc сервером, творити що завгодно на сервері від імені цієї людини!

/ ADMsniffID <интерфейс> <желаемый IP> <нужное имя хоста> <тип записи>

/ ADMsniffID eth0 192.168.6.66 microsoft.com 1

Підводячи підсумок, я хочу сказати, що, ІМХО, найефективнішою операційною системою для даного виду діяльності є Linux, в порівнянні з Windows, FreeBSD і OpenBSD. На жаль, я не можу порівнювати її з комерційними юнікс-клонами типу Solaris, AIX, UnixWare і т.д.

- відсилати пакети з нестандартною / незакінченої структурою (що потрібно для дос атак);

- досить просто писати сніфери (всі пакети можна ловити через RAW_SOCK). А під операційними системами * BSD, що використовують систему bpf (berkley packet filter), через RAW_SOCK можливо ловити всі пакети, окрім TCP, UDP і ICMP`ей 8 першого типу (echo request).

Коротше, кукішь на БЗДЕ, що зробиш. Усілякі розмови про те, що Линух - це UNIX для дітей, не зовсім коректні;).

at last. let the wars begin!

ЕКСКЛЮЗИВ ВІД ЖУРНАЛУ - новий Х-реліз під назвою Bespredel, який ти можеш викачати з www.xakep.ru/articles/releases. Маючи цю штучку разом з libnetNT, хаос можна буде влаштовувати не тільки користуючись * nix`ом;).

Так ось це - повна маячня (майже)!

ifconfig - стандартна програма в ОС UNIX, яка використовується для конфігурації і зміни параметрів мережевих інтерфейсів.

ARP-Таблиця. Щоб не засмічувати мережу незліченними ARP запитами на відповідність "IP -> MAC", отримані раніше результати заносяться в спеціальну таблицю. Записи в цій таблиці бувають динамічними (часто оновлюються) і статичними, які не змінюються ні за яких умов. Подивитися arp-таблицю можна командою arp-a.

Gateway / гейт (шлюз). Якщо твій комп направляє пакет всередині локальної сітки, то тут все ясно. А що робити, якщо треба пульнуть інфу в іншу мережу, в Інет, наприклад? А то, що потрібен шлюз, через який попрямує пакет в зовнішнє Net.