18:35 21-01-2003 Пусть неудачник платит?
http://www.xupypr.ru/?issue=xm030121.999
Уже много сказано и написано о TCP over ICMP или DNS и прочих способах не платить провайдеру за траффик, я не буду сейчас об этом говорить.
Мой рассказ пойдет о сопредельной проблеме — об изначальной незащищенности сетевых протоколов, и о том как легко тебя могут заставить платить за чужой траффик.
Итак есть так называемое «интернет здание». Есть хаб в подсобке и есть куча довольных жизнью потребителей интернет-траффика навешанных на этот хаб. И ты, родимый, среди них. Все зашибись…
Но если у тебя крутится WWW, или открыт любой другой TCP-порт в который можно послать хоть один байт — ты мишень для loozy sniffing’a.
Что есть «loozy sniffing»? На схеме это выглядит так:
[изображение]
Так как хаб это концентратор а не коммутатор, то ВСЕ сетевые карты, в сегменте обслуживаемом этим хабом, получают ВСЕ пакеты адресованые любой из них. Соответственно поток данных, который HackerSERV передает (через любой открытый прокси) любому открытому сервису машины MyHOST или OtherHOST так-же попадают и на сетевую карту машины HackerHOST.
Осталось дело за малым — пишется простейший сниффер, который перехватывает все пакеты адресованные определенному порту любого адреса, и сравнивает содержимое пакетов с некоей структурой. Например такой:
{ заголовок_HTTP_запроса (n bytes),
сигнатура «ХАКЕР» (5 bytes),
длина заголовка (2 bytes),
заголовок хакерского пакета (n bytes),
длина пакета (2 bytes),
данные (n byte);
}
При нахождении такового пакета, из его хакерского заголовка вытаскиваются необходимые поля (например имя передаваемого файла и номер передаваемого куска) и сами данные. Вуаля! Данные у хакера, а за входящий трафик платит хозяин MyHOST…
Теперь встает вопрос «Как от этого защищаться».
Если учесть, что длина Ethernet-пакета не зависит от того, сколько байт из него будет принято сервисом на машине-получателе, то ограничением длинны принимаемого TCP-запроса мы ничего не добьемся. Огромное количество открытых для всх proxy-серверов говорит о том, что наш непосредственный провайдер не сможет их все зафильтровать.
Итого вывод — чтоб такого не приключилось надо менять концентратор здания (тот самый хаб) на коммутатор (свич) и молить Аллаха, чтобы наш хакер не знал как этот свич обмануть (что возможно).
PS: Вышеописаный метод был проверен лично мной — работает
PPS: Может подарить моему провайдеру свич?
Уже много сказано и написано о TCP over ICMP или DNS и прочих способах не платить провайдеру за траффик, я не буду сейчас об этом говорить.
Мой рассказ пойдет о сопредельной проблеме — об изначальной незащищенности сетевых протоколов, и о том как легко тебя могут заставить платить за чужой траффик.
Итак есть так называемое «интернет здание». Есть хаб в подсобке и есть куча довольных жизнью потребителей интернет-траффика навешанных на этот хаб. И ты, родимый, среди них. Все зашибись…
Но если у тебя крутится WWW, или открыт любой другой TCP-порт в который можно послать хоть один байт — ты мишень для loozy sniffing’a.
Что есть «loozy sniffing»? На схеме это выглядит так:
[изображение]
Так как хаб это концентратор а не коммутатор, то ВСЕ сетевые карты, в сегменте обслуживаемом этим хабом, получают ВСЕ пакеты адресованые любой из них. Соответственно поток данных, который HackerSERV передает (через любой открытый прокси) любому открытому сервису машины MyHOST или OtherHOST так-же попадают и на сетевую карту машины HackerHOST.
Осталось дело за малым — пишется простейший сниффер, который перехватывает все пакеты адресованные определенному порту любого адреса, и сравнивает содержимое пакетов с некоей структурой. Например такой:
{ заголовок_HTTP_запроса (n bytes),
сигнатура «ХАКЕР» (5 bytes),
длина заголовка (2 bytes),
заголовок хакерского пакета (n bytes),
длина пакета (2 bytes),
данные (n byte);
}
При нахождении такового пакета, из его хакерского заголовка вытаскиваются необходимые поля (например имя передаваемого файла и номер передаваемого куска) и сами данные. Вуаля! Данные у хакера, а за входящий трафик платит хозяин MyHOST…
Теперь встает вопрос «Как от этого защищаться».
Если учесть, что длина Ethernet-пакета не зависит от того, сколько байт из него будет принято сервисом на машине-получателе, то ограничением длинны принимаемого TCP-запроса мы ничего не добьемся. Огромное количество открытых для всх proxy-серверов говорит о том, что наш непосредственный провайдер не сможет их все зафильтровать.
Итого вывод — чтоб такого не приключилось надо менять концентратор здания (тот самый хаб) на коммутатор (свич) и молить Аллаха, чтобы наш хакер не знал как этот свич обмануть (что возможно).
PS: Вышеописаный метод был проверен лично мной — работает
PPS: Может подарить моему провайдеру свич?
Комментарии:
Гость
05:38 10-02-2003
Подари ХОРОШИЙ свитч - простым свитчам можно просто засрать память под MAC адреса и они становятся просто хабами. 
23:31 24-02-2003
личный канал - коли так всё запущено, иначе спать не будешь ни при каких хабах/свичах.