Карта сайта Хакер в RSS Энциклопедия Хакера PDA версия сайта Почтовые рассылки Хакера    Хакер в Twitter Хакер в ВКонтакте Приложение Хакер для Facebook Хакер на Formspring.me
Журнал Новости Форум Видео Life Xakep Live (блоги)
Bugtrack Статьи Блог Поиск English  
История лайфлоггинга История лайфлоггинга
«Кто мне это сказал?», «Это было в понедельник или во вторник?» Такие вопросы то и дело возникают у нас в головах, и, чтобы ответить на них, приходится напрягать память, пытаться восстановить хронологию событий. Не лучше ли просто отмотать память назад и пересмотреть нужный момент заново?...
Хакер ищет продавцов рекламы Хакер ищет продавцов рекламы
Xakep.ru приглашает стажеров на должность менеджера по работе с клиентами. Резюме присылать по адресу hr@glc.ru....

АЛИСА, ЭТО СПУФИНГ! УНЕСИТЕ!

Ушаков Андрей aka A-nd-Y (Andy_@timus.ru)

Спецвыпуск Xakep, номер #032


Инструменты для спуфинга в Linux

Ты уже установил линух и с головой ушел в чтение манов и умных книжек, но за всем этим не забывай, что правильная ось изначально была и остается осью хакерской.

Среди хакерских фишек есть такой интересный и полезный прием, как спуфинг. Ты до сих пор не знаешь, что это такое? Тогда вкратце расскажу. Суть спуфинга состоит в том, чтобы подменять source адрес в отправляемых пакетах на ложный, таким образом обманывать различные системы защиты, производить DoS атаки, портить жизнь соседям и делать прочие нехорошие вещи с малой вероятностью быть обнаруженным :). Хотя я бы в какой-то мере отнес к спуфингу изменение и других параметров пакета, то есть преднамеренную генерацию ложных пакетов с заданными свойствами с целью выдать их за действительные.

СПУФИНГ КРАПЧАТЫЙ

Сетевых протоколов и технологий очень много, поэтому и спуфинг бывает разных видов. Среди самых распространенных:

  • IP спуфинг - подмена source IP, возможность производить неотслеживаемые DoS атаки, сканирование и т.п.;
  • MAC спуфинг - подмена source MAC, позволяет устраивать MAC флуд в локалке и изменить маршрутизацию в сетке, а следовательно, и вывести на какое-то время сеть из работоспособного состояния;
  • DNS спуфинг - атака на DNS, позволяющая изменить резолвинг определенных адресов, тем самым заблокировав доступ к определенным хостам, или же выдать себя за другой хост.

Также стоит отметить, что многие программы уязвимы для спуф-атак и позволяют получить таким образом поднятые привилегии в системе. Подумай, что будет, если, например, source IP будет заменен на локальный, типа 127.*.*.*?

Многие программы защищены от этого, но остались и те, что зацикливаются и теряют свою работоспособность.

Я хочу, чтобы ты сразу понял, что спуфинг не является чем-то обособленным. Непосредственно программ, направленных только на спуфинг, не так уж и много - функция спуфинга является дополнением в системах тестирования безопасности, сканерах, снифферах и прочих сетевых утилитах.

В своем обзоре я рассмотрю применение спуфинга в программах для различных задач, чтобы ты мог иметь представление, какое практическое применение имеет спуфинг.

SING

Очень функциональная программа для формирования различных пакетов с различными параметрами. Пожалуй, единственный "чистый" спуфер из представленных в обзоре.

Можно указать тип icmp пакета: Echo Reply, Router Solicitation, Destination Unreachable, длину пакета, содержание пакета и т.д. Есть возможность посылать фрагментированные пакеты, указывать маршрутизацию, адрес отправителя, MAC адрес, TTL и TOS, тип операционной системы и еще много полезных вещей.

Sing включает в себя все возможности программы ping, а также множество своих функций, поэтому является отличной заменой традиционному ping.

Пример запуска:

sing 212.23.95.156 - обычный пинг заданного хоста.

sing 212.23.95.156 -S 212.23.94.188 - пингуем хост 212.23.95.156 с поддельным source адресом 212.23.94.188.

Sing, пожалуй, можно назвать одной из лучших тулз по работе с пакетами, в частности с icmp. Эту программу можно применять для DoS атак, исследования уязвимостей в маршрутизации сети, тестирования фаерволла - все ограничивается лишь твоей фантазией. Sing - мощный инструмент для спуфинга с большим набором функций.

ETTERCAP

Не будем забывать, что, помимо функций сниффера, ettercap содержит полезные плагины, в том числе и для спуфинга:

Phantom - спуфер DNS. Отправляет на DNS сервер пакеты с указанием ложных данных, вследствие чего может получиться DNS poisoning (забивание кеша сервака ложными парами URL - IP).

Пример запуска:

ettercap - Ndp phantom

Spectre - MAC спуфер-флудилка для локалки. Засылает в сетку кучу ARP пакетов с поддельными маками, засоряя тем самым кеши сетевух, сбивая таблицы маршрутизации, таким образом нарушая работу сети на канальном уровне.

Пример запуска:

ettercap -Ndp spectre

Напомню значение используемых опций. N - запуск без графического интерфейса, d - указывает на то, что не нужно резолвить хосты, p - указывает, собственно, на то, что нужно юзать данный плагин, который указывается после опций.

В представленных плагинах отсутствует как таковая возможность самостоятельно задать параметры для отсылаемых пакетов, что ограничивает их применение лишь простыми атаками на DNS и DoS нападениями.

DNSSPOOF, ARPSPOOF

Приложения из пакета для работы с сетью Dsniff.

Dnsspoof посылает ложные ответы на DNS сервера с произвольным адресом и id в последовательности пакетов. Набор хостов и соответствующих айпишников для спуфинга указывается в файле с расширением .hosts и синтаксисом файла /etc/hosts, с поддержкой шаблонов типа *mynet.net, только без указания алиасов.

Пример запуска:

dnsspoof -i eth0 -f myspuf.hosts,

"-i eth0" указывает, какой интерфейс использовать, "-f myspuf.hosts" указывает на файл с данными для спуфинга.

Arpspoof - это ARP спуфер, используемый в пакете Dsniff для перенаправления трафика с одного хоста на другой, позволяет производить сниф на свитчах.

Запуск:

arpspoof -i eth0 -t 10.0.23.66 10.0.23.55 - перенаправляем трафик с хоста 10.0.23.66 на хост 10.0.23.55.

Не забывай, что у всех рассмотренных мною программ есть man руководства, которые неплохо было бы почитать, если ты хочешь лучше изучить эти программы.

Знание TCP/IP тоже лишним не будет, тем более что в Инете достаточно инфы по этому вопросу.

NMAP

Известный сканер портов, который также использует технологию спуфинга при сканировании. Для этого используется опция "-D" со списком хостов/айпишников, которые нужно использовать в подделанных пакетах.

nmap -sS -D 212.23.95.157,212.23.95.158,212.23.95.159,212.23.95.160,212.23.95.161 213.140.104.195

Сканим 213.140.104.195, используя спуф адреса 212.23.95.157,212.23.95.158,212.23.95.159,212.23.95.160,212.23.95.161

Nmap позволяет подставлять указанные адреса в заголовки отправляемых пакетов, тем самым создавая видимость того, что пакеты идут с различных машин, что затрудняет обнаружение сканирования данного хоста. Но у этого метода есть одна особенность, твой собственный хост также будет среди указанных в спуф-списке, даже если ты не указал его сам.

РАЗЛИЧНЫЕ ЭКСПЛОИТЫ И УЯЗВИМОСТИ

Как ты уже догадываешься, спуфинг не был бы столь распространенной хакерской фишкой, если бы не существовало софта, уязвимого к спуфингу. Как ты знаешь, чтобы использовать найденную уязвимость, пишут код aka эксплоит, который позволяет произвести атаку на дырявый софт и получить, например, поднятые привилегии или просто завалить тачку. Здесь ты уже в зависимости от конкретной задачи будешь искать нужный тебе эксплоит. Но подумай, как приятно писать экплоиты самому, а не надеяться на чужие, а еще более приятно, когда твоим творением пользуются другие люди. Из чего делай вывод - изучать программирование нужно и очень важно. В этом случае ты будешь ограничен только своей фантазией. Изучай C и Perl - это важнейшие языки для любого никса, с помощью них можно реализовать множество задумок по созданию собственных пакетов.

Как видишь, спуфинг (то есть построение пакетов с твоими собственными параметрами) мало полезен, если юзать его без каких-либо других средств. Только если использовать спуфинг комплексно с другими прогами или как средство, вносящее дополнительные возможности в этот софт, становятся видны все преимущества спуфа. В простейшем случае спуфинг может быть применен как средство для скрытия реальных хостов при DoS атаке или сканировании удаленной системы. В сложных задачах - как средство обхода фаервольной защиты, защиты маршрутизаторов, но это уже требует более тщательной подготовки и изучения, а также весьма приличного запаса знаний в области сетевых технологий и программирования.

Сетевых протоколов и технологий очень много, поэтому и спуфинг бывает разных видов.

Непосредственно программ, направленных только на спуфинг, не так уж и много - функция спуфинга является дополнением в системах тестирования безопасности, сканерах, снифферах и прочих сетевых утилитах.

Как ты уже знаешь, спуфинг не был бы столь распространенной хакерской фишкой, если бы не существовало софта, уязвимого к спуфингу.

  • http://www.securityfocus.com, http://www.securitylab.ru, http://www.void.ru - все, что тебе надо, чтобы всегда быть в курсе новостей компьютерной безопасности.
  • http://www.phrack.org - множество инфы самого высокого качества, но читать рекомендуется уже имея определенную подготовку.
  • http://www.protocols.ru - немалое количество инфы по сетевым протоколам и технологиям.

Содержание  





Предыдущие номера


Предупреждение: Вся информация представлена исключительно в образовательных целях.
Ни авторы, ни редакция не несут ответственности в случае ее использования в противозаконных целях.

    Rambler's Top100