Как воевать в локальных сетях

Хакер, номер #025, стр. 025-062-1

Djzlob (packets@inbox.ru)

Давным-давно в далекой-далекой локалке бушевали сетевые войны... Ты еще не подключился к локалке? Так быстро подключайся, а если в округе такой еще нет, то быстро езжай на Митьку - покупай вагон 300 метровых бухт, хабы, сетевухи, конннекторы, обжималку и собирай народ!

Подрубился? Ё! Но, как оказалось, в толпе сетевого народа есть не только друзья... Иногда так и хочется сделать что-нибудь гадкое этому тупому лоху из соседнего подъезда ;). Я помогу тебе осуществить эту заветную мечту и расскажу о вариантах атак и методах защиты в сетевой войне.

ARP Атаки

Когда в локалке несколько машин под управлением WIN имеют один и тот же IP адрес, то в Windows'e вылетает табличка, сообщающая о том, что данный IP адрес используется другим компом и интерфейс будет отключен... А фишка в том, что перед соединением с сетью комп высылает ARP-запрос, получая ответ, что нужный ему IP - занят. В итоге ты получаешь именно это сообщение. Этим можно воспользоваться и удаленно флудить машины, работающие под Win: сотнями окон, которые вряд ли кому-то под силу закрыть... проще перезагрузится ;). Занудно отмечу, что этот трюк прокатывает только в пределах сегмента сети, не ограниченного маршрутизатором или мостом.

Проделать такую операцию достаточно просто, если в твоем распоряжении есть UNIX или NT машина, т.к. только под данные платформы доступна библиотека libnet, позволяющая достаточно просто генерировать ARP пакеты. На самом деле программ такого класса, портированных под NT, не существует, но... это у всех остальных, а у тебя будет!

ЭКСКЛЮЗИВ ОТ ЖУРНАЛА - новый Х-релиз под названием Bespredel, который ты можешь выкачать с www.xakep.ru/articles/releases. Имея эту штучку, вместе с libnetNT, хаос можно будет устраивать не только пользуясь *nix`ом ;).

Юниксовые же бойцы качают это добро с:

conflictd - http://c5.hakker.com (требует наличие библиотеки libnet);

havoc - http://packetstorm.securify.com/DoS/havoc-0.1c.tgz

Анонимность

Как же остаться незамеченным и продолжать творить беспредел в локалке? Существует всего два идентификатора, по которым тебя могут распознать. Это MAC адрес сетевой карты и IP адрес. Сложность изменения данных параметров зависит от операционки, под которой ты работаешь. Если это UNIX, то IP адрес может быть измененным быстро и без перезагрузки, MAC адрес также просто изменить, но не под каждым UNIX'ом...

В Linux'е и FreeBSD ты сможешь реализовать этот финт ушами за 1 минуту, но, сидя под OpenBSD, тебе придется страдать огромным гимором :(. Если мы собираемся сниффать локалку и администратор достаточно продвинут для того, чтобы отслеживать пассивные атаки (сниффинг), - придется немного потрудиться. Но мы все равно настроим нашу систему так, чтобы ее никак нельзя было обнаружить в локалке, кроме как посмотреть на хаб - горит ли лампочка около нашего порта или нет ;).

Смена IP адреса

Тут все просто: берем и меняем твой IP утилитой ifconfig:

ifconfig <интерфейс> inet <нужный IP адрес>

Смена MAC адреса

под FreeBSD:

MAC адрес можно изменить также просто - командой ifconfig, набрав: