>*ВОПРОС* > Действительно RSK ACK пакетом можно что-то просканить? > (или это мальчики просто тренируются?) В принципе, можно. Особенно, если ищут сущность нестандартную ;)
Severity: Identification of Honeyd installations allows an
adversary to launch attacks specifically against
Honeyd. No remote root exploit is currently known.
Details:
=========
Honeyd is a virtual honeypot daemon that can simulate virtual hosts on
unallocated IP addresses.
A bug in handling NMAP fingerprints caused Honeyd to reply to TCP
packets with both the SYN and RST flags set. Watching for replies, it
is possible to detect IP addresses simulated by Honeyd.
Although there are no public exploits known for Honeyd, the detection
of Honeyd IP addresses may in some cases be undesirable.
Вопрос связан со старой темой - исследованием систем.
Появился вопрос в связи с двумя обстоятельствами:
1) То, что ниже вряд ли может использоваться для исследования систем.
На мой взляд, конечно. Поскольку я знаю, что на пакет TCP с RST ACK флагами (одновременно) хосты не отвечают вне зависимости есть listener, или нет.
2) Второе обстоятельство связано с тем, что тех, кто это делал (см. IP) врядли можно назвать болванами. Значит таким образом всё ж можно получить некую информацию об удалённом хосте. Ну, и на плохое администрирование сервисов того хоста тоже "не спишешь" из-за
квалификации товарищЪей.
Вот такие пакеты приезжают регулярно по разным портам и сдостаточно большим промежутком времени (думают, что не видно ;)) ).
Например,
*** заголовок IP***
45 00 00 28 a3 3e 00 00 72 06 21 01 d5 18 e7 e1 d5 18 f2 7d
*** собственно пакет TCP (из одного заголовка)* 05 8c 05 9e 00 00 00 00 22 89 00 01 50 14 00 00 fd 8b 00 00
Анализировать байты не очень приятно на форуме. Поэтому вот "расшифровка":
Packet : 18:10:47 213.24.231.225
IP: dump 45 00 00 28 a3 3e 00 00 72 06 21 01 d5 18 e7 e1 d5 18 f2 7d
IP: dumplen = 20
IP: ID = 0xA33E; Proto = 6; Len: 40
IP: Version = 4 (0x4)
IP: Header Length = 20 bytes (5 32-bit words)
IP: Type of Service = 0
IP: Total Length = 40 (0x28)
IP: Identification = 41790 (0xa33e)
IP: Flags = 0 (0x0)
IP: Reserved = 0
IP: Cannot fragment datagram = 0
IP: More fragments = 0
IP: Fragment Offset = 0 (0x0) bytes
IP: Time to Live = 114 (0x72)
IP: Protocol = 6
IP: Checksum = 0x2101 CRC ok
IP: Source Address = 213.24.231.225
IP: Destination Address = 213.24.242.125
IP: Data: Number of data bytes remaining = 20 (0x14)
С нашего хоста, естественно, никаких паткетов небыло. Так, что - это попытка скана читейшей воды. Кстати, не очень хорошо замаскированная, т.к., думаю, надо б им хоть Sequence Number = 0 (0x0) поставить ненулевым.
*** ВОПРОС* Действительно RSK ACK пакетом можно что-то просканить?
(или это мальчики просто тренируются?)
ПС. Письмо им, конечно, направили. Ждёмс.
Всем спасибо. Бум двигаться в другом направлении...25.01.04 02:32 Автор: void <Grebnev Valery> Статус: Elderman
Благодаря одному из постов в нитке попытался проанализировать логи - что, и в связи с чем едет с сетей 213.24.x.y. Кстати там сетки и нашего оператора связи. Там и мы. Так вот, с большой вероятность думаю это могут быть косяки нашего оператора с гордым именем "провайдер".
Там и до этого был бардак (не по вине техперсонала). Знаю об этом от бывшего админа (парень - просто умница). А как его "ушли" с работы и взяли полного отморозка, так всё и началось. С этим .... даже разговаривать не возможно.
Будем пробовать разобраться со своими (если, конечно, руководство проятит к этому волю). Может и к другому провайдеру переедем. Вопрос давно назрел.
В принципе, можно. Особенно, если ищут сущность...22.01.04 07:19 Автор: cybervlad <cybervlad> Статус: Elderman
>*ВОПРОС* > Действительно RSK ACK пакетом можно что-то просканить? > (или это мальчики просто тренируются?) В принципе, можно. Особенно, если ищут сущность нестандартную ;)
Severity: Identification of Honeyd installations allows an
adversary to launch attacks specifically against
Honeyd. No remote root exploit is currently known.
Details:
=========
Honeyd is a virtual honeypot daemon that can simulate virtual hosts on
unallocated IP addresses.
A bug in handling NMAP fingerprints caused Honeyd to reply to TCP
packets with both the SYN and RST flags set. Watching for replies, it
is possible to detect IP addresses simulated by Honeyd.
Although there are no public exploits known for Honeyd, the detection
of Honeyd IP addresses may in some cases be undesirable.
> В принципе, можно. Особенно, если ищут сущность > нестандартную ;)
Спасибо за реакцию. Вот дополнительная информация и
мои размышления.
Они исследуют "горло" сетки. Я очень слабый специалист. Но! Мне кажется, что минимум, что надо - это знание и навыки программирования RAW-сокетов, чтобы написать такого нестандартного "сервера-гадёныша" и "клиента-гадёныша". Да и firewall необходимо заставить "не слушать" определённые порты, гдеб слушал "гадёныш". Это очень и очень не простые задачи на мой взгляд .... Наверное, они думают, что в Магадане на каждом углу по хакеру;))) Чудаки на букву "М" ;)))
ПС. На наше письмо они так и не ответили, где мы спрашивали чё им надо ;(
Да почему горло-то?
23.01.04 10:52 Автор: cybervlad <cybervlad> Статус: Elderman
> Они исследуют "горло" сетки. Я очень слабый специалист. Но! Да почему горло-то?
Все сканирования с нестандартными сочетаниями флагов направлены на поиск какой-то определенной сущности - например, конкретной реализации IP-стека с определенной ошибкой, или эмулятора IP-стека (тоже с ошибкой), как в приведенном вчера примере.
> Мне кажется, что минимум, что надо - это знание и навыки > программирования RAW-сокетов, чтобы написать такого > нестандартного "сервера-гадёныша" и "клиента-гадёныша". Да Не, если писать на RAW-сокетах, это легче застрелиться, потому как это, фактически, своя реализация стека (а в открытии самих raw-сокетов нт ничего сложного - 10 строчек на С).
Проще использовать любой свободный IP-протокол, например 11, как в одном из примеров у СПицнера.
> и firewall необходимо заставить "не слушать" определённые > порты, гдеб слушал "гадёныш". Это очень и очень не простые > задачи на мой взгляд .... Наверное, они думают, что в Файрвол "уболтать" - это да, задача ;)
> ПС. На наше письмо они так и не ответили, где мы спрашивали > чё им надо ;( Ты хоть знаешь, чем эта контора занимается? ;) И не надейся, никогда не ответят ;)
Да почему горло-то?24.01.04 02:42 Автор: void <Grebnev Valery> Статус: Elderman
> > Они исследуют "горло" сетки. Я очень слабый > специалист. Но! > Да почему горло-то?
Я постил про дальше про фаревол. И ты, кстати, согласился ;))
Может я и не внятно простил, но имелось в виду именно то, "уболтать" фаревол не так просто. ТоварищЪи об этом знают.
> Все сканирования с нестандартными сочетаниями флагов > направлены на поиск какой-то определенной сущности - > например, конкретной реализации IP-стека с определенной > ошибкой, или эмулятора IP-стека (тоже с ошибкой), как в > приведенном вчера примере.
Да, это я понял. Кстати, спасибо за разъяснения.
> > Мне кажется, что минимум, что надо - это знание и навыки > > программирования RAW-сокетов, ..... > Не, если писать на RAW-сокетах, это легче застрелиться, > потому как это, фактически, своя реализация стека (а в > открытии самих raw-сокетов нт ничего сложного - 10 строчек > на С).
Да открыть-то raw-сокет не проблема. Надоть знать, как заполнять "поля"
заголовков IP & TCP. Если думаешь, что каждый программер это знает - ошибаешься (надо хотьбы RFC-спецификации IP & TCP знать). Программерам в 90% это не надо. Используют обычные сокеты, а зачастую и асинхронное барахло в M$VC++.
> Проще использовать любой свободный IP-протокол, например > 11, как в одном из примеров у СПицнера. Да я о другом. Как записывать нестандартные комбинации флагов-то, если не пользоваться RAW-сокетами? Обычные сокеты не позволяют этого сделать. Да там это и не надо.
> > ПС. На наше письмо они так и не ответили, где мы > спрашивали > > чё им надо ;( > Ты хоть знаешь, чем эта контора занимается? ;) И не > надейся, никогда не ответят ;)
Мы им написали: "Мы госконтора и вы госконтора .....чё надо?".
Когда писали - подозревали, что не ответят. Написали, поскольку этого требует не то чтобы наши должностные инструкции, но около того.
похоже на FIN-сканирование21.01.04 09:13 Автор: fly4life <Александр Кузнецов> Статус: Elderman Отредактировано 21.01.04 09:27 Количество правок: 3
В двух словах:
например, в программке nmap есть способ сканирования, называемый FIN-сканированием, при которым удалённому хосту посылается пакет с флагом FIN. Только виндовс никак не реагирует на такой скан (попросту говоря, виндовс машины так не посканируешь - ничего полезного из этого не получишь), а вот *никсы вполне удачно можно сканировать таким методом.
Может что-то подобное происходит и с тобой?
Не совсем22.01.04 05:45 Автор: void <Grebnev Valery> Статус: Elderman
> Только виндовс никак не > реагирует на такой скан (попросту говоря, виндовс машины > так не посканируешь - ничего полезного из этого не > получишь), а вот *никсы вполне удачно можно сканировать > таким методом.
Это, разумеется, вы правильно говорите. Но!!!
В тех пакетах, о которых я постил, одновременно два флага RST ACK.
Та инфа, которая у меня есть показывает,
что хост не должен отвечать вообще на такой пакет.
Т.е в отличие от FIN сканирования *nix систем,
которые на FIN могут ответить RST,
пакет с RST ACK должен быть просто отброшен.
Этого не могут не знать "умные".
Вот я и думаю, а может это я чегось недопонимаю?
Вообще-то существует достаточно большое количество...23.01.04 11:00 Автор: Luka Статус: Незарегистрированный пользователь
> Это, разумеется, вы правильно говорите. Но!!! > В тех пакетах, о которых я постил, одновременно два флага > RST ACK. > Та инфа, которая у меня есть показывает, > что хост не должен отвечать вообще на такой пакет. > Т.е в отличие от FIN сканирования *nix систем, > которые на FIN могут ответить RST, > пакет с RST ACK должен быть просто отброшен. > > Этого не могут не знать "умные". > Вот я и думаю, а может это я чегось недопонимаю?
Вообще-то существует достаточно большое количество комбинаций т.н. "скрытого" сканирования. Нужно оно для того, чтобы определить что-то конкретное на сканируемом узле/сети - ОС, дыры и т.п. Проблема в том, что многие RFC (в т.ч. и на TCP) описывают, как надо реагировать на ПРАВИЛЬНЫЕ пакеты, но ничего не говорят о том, как реагировать на НЕПРАВИЛЬНЫЕ пакеты. Поэтому каждый производитель по-совему реализует такой обработчик, что и позволяет идентифицировать ОС, устройство и т.п. А уж потом, зная конкретную ОС, подбирать под нее атаки.
А может это просто ошибка работы сетевого устройства - такое тоже может быть ;-(
> А может это просто ошибка работы сетевого устройства - > такое тоже может быть ;-(
1) Если Вы имеете сетевые устройства в нашей конторе, то вряд ли.
Хотя на 100% может быть уверен только недалёкий человек.
2) Если говорить о сетевых устройствах на ближайших площадках (наш оператор связи) - да может быть. У них там перестройка, взяли нового админа... конченого. Я сним сильно ругался два года назад, когда и он, и я работали в других организациях. Тогда я где-то перебдел за Отчизну, где-то всё ж был прав. О том, что я перебдел тогда мне один Luka подсказал. ;))
Возможно и этот Luka, и в это раз прав. ;))
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
