| -=Free_m@n=- | Дата: Воскресенье, 22.02.2009, 13:17 | Сообщение # 1 |
Наблюдатель
Группа: Администратор
Сообщений: 44
Награды: 1
Репутация: 3
Статус: Отсутствует
| В этой статье мы рассмотрим атаку, идея которой сама по себе не нова, но об использовании в этих, уже общеизвестных атаках, серверов DNS заговорили относительно недавно.
Для того чтобы понять суть данной статьи, вы должны иметь представление об атаках типа IP-Spoofing, и о протоколе DNS. Но если вы об этом ничего не слышали, или подзабыли, я вам напомню, вкратце.
IP-Spoofing:
Вкратце - это подмена IP-адреса в IP-пакете. Нет не при помощи прокси-сервера… А просто при помощи формирования IP пакета с параметрами на ваш вкус. Если кто-то не знал что это возможно - то знайте. Если кто-то думал что это очень сложно - то в этой статье я докажу вам обратное.
Итак, что такое подмена IP адреса на таком - почти, что самом низком уровне?
Давайте взглянем на структуру IP-заголовка: РИС 1
Именно в IP заголовке содержится информация об IP адресе получателя и отправителя. Последнее для нас особенно важно, так как в нашей статье мы именно этот адрес и попробуем изменить, а для этого придется влезть в саму структуру IP заголовка.
Теперь небольшой пример:
Представим что ваш компьютер пингует мальчик Вася с компьютера А (с IP-адресом 192.168.0.21), то запустив сниффер на вашей машине получите примерно следующую картину: РИС 2
Как видите адрес отправителя и получателя вам видны, и протокол обмена не нарушен. Удаленный компьютер послал запрос, и получил ответ, в результате мальчик Вася убедился, что ваш компьютер в сети и отвечает на ICMP запросы.
Представим себе такую же ситуацию. Компьютер Васи отправляет запрос (размером 74 байта), и получает ответ - такой же пакет размером 74 байта. Трафик в обеих направлениях одинаковый. А теперь представьте что заместо своего IP-адреса Вася подставил адрес мальчика Пети, и запрос хоть и исходит от Васи, ответ приходит к Пете. Теперь все это помножим на кол-во компьютеров затрояненных Васей, и представим что все ответы на запросы приходят к Пете… Не позавидуешь Пете… Но тут всего лишь 74 байта, или чуть больше (98 байт) не в этом суть. Суть в равной порции трафика, от клиента и к нему.
Примечательный протокол DNS:
Протокол DNS примечателен именно тем что работает на ненадежном протоколе UDP. Что упрощает процесс отправления запроса (минуя так называемый TCP хэндшейк). И помимо этого этот протокол интересен тем, что запрос к серверу может содержать около 60 байт информации, а ответ от него - 512 байт (это максимум, и это касается спецификации RFC 1035, которая касается IPv4, протокол IPv6 имеет значительно больший объем пакета), в этом и суть усиливающего эффекта протокола DNS.
Практика:
Итак, задача - сформировать запрос к DNS службе, и отправить его с целевым IP адресом (под целевым понимается IP адрес жертвы, которую мы решили атаковать). Также мы должны знать Named сервер (DNS) к которому адресовать наш запрос, ну и естественно мы должны представлять какой запрос мы будем делать.
Для всего этого нам понадобиться perl и модуль Win32::NetPacket, а также установленный winpcap, или же все это можно написать на С, что естественно значительно более жизнеспособно в WIN32 среде.
Дорабатывайте, изучайте, пользуйтесь!
Удач!
Я объясняю на пальцах - средний видишь!?
С такой скоростью интернета только смерть и загружать.
|
| |
| |
