Уже много сказано и написано о TCP over ICMP или DNS и прочих способах не платить провайдеру за траффик, я не буду сейчас об этом говорить. Мой рассказ пойдет о сопредельной проблеме
- об изначальной незащищенности сетевых протоколов, и о том как легко тебя могут заставить платить за чужой траффик.
Итак есть так называемое «интернет здание». Есть хаб в подсобке и есть куча довольных жизнью потребителей интернет-траффика навешанных на этот хаб. И ты, родимый, среди них. Все зашибись…
Но если у тебя крутится WWW, или открыт любой другой TCP-порт в который можно послать хоть один байт
- ты мишень для loozy sniffing’a. Что есть «loozy sniffing»? На схеме это выглядит так:
Так как хаб это концентратор, а не коммутатор, то ВСЕ сетевые карты, в сегменте обслуживаемом этим хабом, получают ВСЕ пакеты
адресованные любой из них. Соответственно поток данных, который HackerSERV передает (через любой открытый прокси) любому открытому сервису машины MyHOST или OtherHOST так
же попадают и на сетевую карту машины HackerHOST.
Осталось дело за малым - пишется простейший сниффер, который перехватывает все пакеты адресованные определенному порту любого адреса, и сравнивает содержимое пакетов с некоей структурой. Например такой:
{
заголовок_HTTP_запроса (n bytes),
сигнатура «ХАКЕР» (5 bytes),
длина заголовка (2 bytes),
заголовок хакерского пакета (n bytes),
длина пакета (2 bytes),
данные (n byte);
}
При нахождении такового пакета из его хакерского заголовка вытаскиваются необходимые поля (например имя передаваемого файла и номер передаваемого куска) и сами данные. Вуаля! Данные у хакера, а за входящий трафик платит хозяин
MyHOST…
Теперь встает вопрос «Как от этого защищаться».
Если учесть, что длина Ethernet-пакета не зависит от того, сколько байт из него будет принято сервисом на машине-получателе, то ограничением длинны принимаемого TCP-запроса мы ничего не добьемся. Огромное количество открытых для
всех proxy-серверов говорит о том, что наш непосредственный провайдер не сможет их все зафильтровать.
Итого вывод - что бы такого не приключилось надо менять концентратор здания (тот самый хаб) на коммутатор (свич) и молить Аллаха, чтобы наш хакер не знал как этот свич обмануть (что возможно).
PS: Вышеописаный метод был проверен лично мной — работает 🙁
PPS: Может подарить моему провайдеру свич?
