Анализ "Attack Responses directory listing"

Осталось всего два зарегистрированных
сигнала, соответственно Attack Responses directory listing
и Attack Responses 403 Forbidden. Как видно по результатам
работы snortsnarf триггер сработал три раза,
адрес - 192.168.101. Первый пакет пришел в
14:02:13.164600 и мы можем сразу перейти к нему.
Однако в реальной жизни файл с логами может
быть черезвычайно велик, так что придется
создавать bpf фильтр для показа всех пакетов,
которыми обменивались два хоста:

C:\ windump.exe -r log_file -nXvSs 0 ip and host 192.168.1.100 and
192.168.1.101 > responses

Как и в предыдущих случая можно
ограничится только "полезными" PSH/ACK
пакетами:

C:\ windump.exe -r log_file -nXvSs 0 ip and host 192.168.1.100 and host
192.168.1.101 and tcp[13] = 24 > psh_responses

Это хзороший способ быстро просмотреть
что передавали два компьютера между собой,
однако я опять хочу отметить, что гораздо
полезнее смотреть на всю активность в целом.

Получив данные можно увидеть, что
атакующий запроси список директорий и
получил его. Точно так же в этом можно
убедится и в двух других случаях.

Анализ "Attack Responses 403 Forbidden"

Остался последний пропущенный звонок.
Исходный адрес для этой тревоги 199.60.115.193,
используя базу данных адресов можно понять,
что этот адрес принадлежит одному из
онлайновых магазинов. Как и в предыдущих
случаях используем фильтр для получения
только относящихся к этому случаю PSG/ACK
пакетов. Если посмотреть на размер
выходного файла, то можно увидеть, что он
все равно достаточно велик и найти в нем
нужный пакет будет трудновато. Как
уменьшить размер? Snortsnarf показывает, что
можно искать только пакеты с ACK флагом. Флаг
АСК это 16 в 13 байте с начала ТСР заголовка,
соответственно указываем tcp[13]=16 и
скармливаем фильтр windump. Смотрим обратно на
выходной файл и видим его грандиозность.
Как еще его можно уменьшить? Вернемся к
пакету, который вызвал срабатывание:

Можем включить в фильтр адрес 192.168.1.101 и
порт 1337:

C:\ windump.exe -r log_file -nXvSs 0 ip and src host 199.60.115.193 and dst
host 192.168.1.101 and dst port 1337 and tcp[13] = 16 > new_output

Смотрим на результат и видим, что он
заметно меньше и вполне культурно выглядит
- можно теперь и поискать в нем пакет со
временем 14:04:41.410107. Открываем файл и видим,
что самый первый пакет и есть нужный нам.
Внимательно посмотрев на него можно
сказать: машина 192.168.1.101 запросила некий
ресурс с веб-сервера 199.60.115.193, который не
разрешил доступ - вернул 403 ошибку.

 

На этом мы заканчиваем разбор полетов,
надеюсь вам было интересно читать. Изучайте
протоколы, программы и конечно эксплоиты -
оно все вам пригодится в дальнейшем. Да и
для описанного выше анализа вам
понадобится всего лишь три компьютера и
желание понять их работу!

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии