Некоторые приема снифа

Сегодня мы будем говорить о снифах. Вы
много могли прочитать о них в журнале или на
сайте "Хакер", но там мало говорилось о
грамотном использовании их. Конечно не
секрет, что снифер используется для
перехвата информации, но как уже говорилось,
этой информацией нужно грамотно
пользоваться....

Случай первый: "поиск"

Я сломал сайт, но как это обычно бывает,
самым большим гемором оказалось найти ту
самую страничку "начальной загрузки",
т.е. тот файл index.htm (default.htm & etc), который
нужно заменить для дефэйса. Итак, что мы
делаем.... Мы точно знаем, что протокол, по
которому передаются данные через браузер, -
http. Мы настраиваем
сниф для работы с этим протоколом и
перехватываем все, что к нам поступает извне. Таким образом, мы перехватываем ответ
на запрос GET, получая название файла (не
пути к нему, а только файла). Остается только
его заменить... и найти на диске.

Случай второй: "админ чата"

Как-то раз в нашем сетевом чате кто-то (потом
я узнал кто) начал материться (строго
запрещено=) и флудить, т.к. чат был отстойным,
прекратить это было физически невозможно.
Пользователь поставил себе имя из пробелов,
т.е. никто не знал, кто это.... ну тут не сложно
догадаться, что я сделал...

Случай третий: "подстава"

Не секрет, что во многих нынешних снифах
есть генераторы пакета....Сильное оружие в
сети =)))) Используя это оружие грамотно,
можно превратить жизнь односетчан в ад....
Представьте себе, вы сидите в чате, и вдруг
кто-то начинает говорить от вашего имени.
Конечно, во многих чатах существует
контрольная сумма для сообщения, как раз на
тот случай, чтобы не подделывали=((( но нас-то
это не остановит. Все, что нужно, это
перехватить пакет от врага и начать его
подставлять, дублируя его.... Очень забавно
смотреть на летящие пакеты со скоростью 1000
в секунду (кто говорил, что мы не можем
устраивать флуд ? =), а если еще немного
изменить размер.... Админ сети тебе явного
спасибо не скажет.... Он его скажет тому, от
чьего имени пакеты летели, а они летели от
"врага"=))))

Случай четвертый: "подстава2 или
возвращение"

Теперь мы перестанем играть и перейдем к
делу. Вы наверное знаете, что в сети якобы невозможно нахождение двух машин с одним ИП
адресом? Скажу я вам, что это лажа... это
придумала Майкрософт. "Ваш интерфейс
временно отключен, т.к. появился комп под
вашим ИП" - вот что вы видите, включив комп
однажды. Не совсем, то, что вы хотели....
Настраиваем снифер на АРП (читай в сети доки
или статью на хакере про ARP-спуффинг).
Перехватываем запрос от врага... Далее
меняем в пакете мак (не обязательно весь,
можно только один байтик) и отсылаем
обратно врагу, зачем нам эта гадость=))) у
врага начнут появляться таблички о
нахождении компа с таким же,  как у него
ИП... Прикольно, да?

Случай пятый "ака Фаервол"

В юниксе существует syslogd, почему в виндах
нету? ЕСТЬ! Точнее нет, но будет. Настраиваем
на прием IGMP, ICMP, ARP-простенькая конфигурация.....
Не стоит настраивать на глобальный прием:
ловите пакеты, адресованные вашему ИП, иначе
вы будете разгребать логи веками. Стоит
заметить, что этот метод применения не
защитит вас, так что следует использовать
параллельно еще и файервол.

Случай шестой:"зло"

Следует из предыдущих пунктов. Поймав
вражеский пакет, мы его отсылаем врагу...
Хотя зачем врагу - сразу Админу..... Угадайте,
что ему будет, конечно же ничего, но вот
понравится ли ему (Админу), что на него "наехали"...

Это лишь часть тех приемов, которыми НУЖНО
пользоваться в сети, чтобы выжить, да и не
только чтоб выжить, но и победить!!!

Best reGUARDs, /dev/0id