дневник заведен 22-04-2002
постоянные читатели [23]
all_rnd, Coooooper, cpcat, Desperate, glv12 Marla Zinger, kibik, Killaruna, Morticia Addams, Nadezda1234, qwa, shmel, SoulOfTheI, toxxa, vitacha, volshebnik, xaoc, yimmar, Арина, Барби, дух Саши, Журнал, Пепел, Ростов-папа
all_rnd, Coooooper, cpcat, Desperate, glv12 Marla Zinger, kibik, Killaruna, Morticia Addams, Nadezda1234, qwa, shmel, SoulOfTheI, toxxa, vitacha, volshebnik, xaoc, yimmar, Арина, Барби, дух Саши, Журнал, Пепел, Ростов-папа
цитатник:
- • лента
дневник:
- • список
- • календарь записей
- • группы записей
- • rss
21-01-2003 18:35 Пусть неудачник платит?
http://www.xupypr.ru/?issue=xm030121.999
Уже много сказано и написано о TCP over ICMP или DNS и прочих способах не платить провайдеру за траффик, я не буду сейчас об этом говорить.
Мой рассказ пойдет о сопредельной проблеме — об изначальной незащищенности сетевых протоколов, и о том как легко тебя могут заставить платить за чужой траффик.
Итак есть так называемое «интернет здание». Есть хаб в подсобке и есть куча довольных жизнью потребителей интернет-траффика навешанных на этот хаб. И ты, родимый, среди них. Все зашибись…
Но если у тебя крутится WWW, или открыт любой другой TCP-порт в который можно послать хоть один байт — ты мишень для loozy sniffing’a.
Что есть «loozy sniffing»? На схеме это выглядит так:
Так как хаб это концентратор а не коммутатор, то ВСЕ сетевые карты, в сегменте обслуживаемом этим хабом, получают ВСЕ пакеты адресованые любой из них. Соответственно поток данных, который HackerSERV передает (через любой открытый прокси) любому открытому сервису машины MyHOST или OtherHOST так-же попадают и на сетевую карту машины HackerHOST.
Осталось дело за малым — пишется простейший сниффер, который перехватывает все пакеты адресованные определенному порту любого адреса, и сравнивает содержимое пакетов с некоей структурой. Например такой:
{ заголовок_HTTP_запроса (n bytes),
сигнатура «ХАКЕР» (5 bytes),
длина заголовка (2 bytes),
заголовок хакерского пакета (n bytes),
длина пакета (2 bytes),
данные (n byte);
}
При нахождении такового пакета, из его хакерского заголовка вытаскиваются необходимые поля (например имя передаваемого файла и номер передаваемого куска) и сами данные. Вуаля! Данные у хакера, а за входящий трафик платит хозяин MyHOST…
Теперь встает вопрос «Как от этого защищаться».
Если учесть, что длина Ethernet-пакета не зависит от того, сколько байт из него будет принято сервисом на машине-получателе, то ограничением длинны принимаемого TCP-запроса мы ничего не добьемся. Огромное количество открытых для всх proxy-серверов говорит о том, что наш непосредственный провайдер не сможет их все зафильтровать.
Итого вывод — чтоб такого не приключилось надо менять концентратор здания (тот самый хаб) на коммутатор (свич) и молить Аллаха, чтобы наш хакер не знал как этот свич обмануть (что возможно).
PS: Вышеописаный метод был проверен лично мной — работает
PPS: Может подарить моему провайдеру свич?
Уже много сказано и написано о TCP over ICMP или DNS и прочих способах не платить провайдеру за траффик, я не буду сейчас об этом говорить.
Мой рассказ пойдет о сопредельной проблеме — об изначальной незащищенности сетевых протоколов, и о том как легко тебя могут заставить платить за чужой траффик.
Итак есть так называемое «интернет здание». Есть хаб в подсобке и есть куча довольных жизнью потребителей интернет-траффика навешанных на этот хаб. И ты, родимый, среди них. Все зашибись…
Но если у тебя крутится WWW, или открыт любой другой TCP-порт в который можно послать хоть один байт — ты мишень для loozy sniffing’a.
Что есть «loozy sniffing»? На схеме это выглядит так:
Так как хаб это концентратор а не коммутатор, то ВСЕ сетевые карты, в сегменте обслуживаемом этим хабом, получают ВСЕ пакеты адресованые любой из них. Соответственно поток данных, который HackerSERV передает (через любой открытый прокси) любому открытому сервису машины MyHOST или OtherHOST так-же попадают и на сетевую карту машины HackerHOST.
Осталось дело за малым — пишется простейший сниффер, который перехватывает все пакеты адресованные определенному порту любого адреса, и сравнивает содержимое пакетов с некоей структурой. Например такой:
{ заголовок_HTTP_запроса (n bytes),
сигнатура «ХАКЕР» (5 bytes),
длина заголовка (2 bytes),
заголовок хакерского пакета (n bytes),
длина пакета (2 bytes),
данные (n byte);
}
При нахождении такового пакета, из его хакерского заголовка вытаскиваются необходимые поля (например имя передаваемого файла и номер передаваемого куска) и сами данные. Вуаля! Данные у хакера, а за входящий трафик платит хозяин MyHOST…
Теперь встает вопрос «Как от этого защищаться».
Если учесть, что длина Ethernet-пакета не зависит от того, сколько байт из него будет принято сервисом на машине-получателе, то ограничением длинны принимаемого TCP-запроса мы ничего не добьемся. Огромное количество открытых для всх proxy-серверов говорит о том, что наш непосредственный провайдер не сможет их все зафильтровать.
Итого вывод — чтоб такого не приключилось надо менять концентратор здания (тот самый хаб) на коммутатор (свич) и молить Аллаха, чтобы наш хакер не знал как этот свич обмануть (что возможно).
PS: Вышеописаный метод был проверен лично мной — работает
PPS: Может подарить моему провайдеру свич?
Комментарии:
10-02-2003 05:38
Подари ХОРОШИЙ свитч - простым свитчам можно просто засрать память под MAC адреса и они становятся просто хабами. 
личный канал - коли так всё запущено, иначе спать не будешь ни при каких хабах/свичах.
Znatok.ru
[Print]
Ширинка