Как воевать в локальных сетях

Хакер, номер #025, стр. 025-062-3

DoS атаки

В настоящий момент реально эффективными DoS`ами являются по-прежнему атаки фрагментированными IGMP пакетами (kod, pimp, voidozer).

Кстати, для тех, кто не в курсе: voidozer в исходящих пакетах отсылает информацию о системе, на которой работает атакующий (имя юзера и директория запуска).

Kod - http://packetstorm.securify.com/9907-xploits/windows_kod.txt

Pimp - http://packetstorm.securify.com/DoS/pimp.c

Voidozer - http://www.void.ru/toolz/xplo/29.html

От всех этих атак для виндов существуют патчи. На www.microsoft.com (ВАУ, впервые что-то полезное можно там найти ;) - в поиске просто набираем IGMP).

Oshare-атака

http://packetstorm.securify.com/9901-exploits/oshare_1_gou.c

Достаточно эффективная атака (патч недоступен?), работающая в сегментах сети, не ограниченных маршрутизаторами. Ограничение в зоне работы объясняется тем, что у пакета незаконченная структура и он не может пройти через роутер. Работает только на Linux'е. Как написал автор проги: "Linux не думает, что она умнее программиста" :). Из-под *BSD эта штучка не будет пахать, потому что *BSD системы не позволяют отсылку пакетов с незаконченной структурой.

Флуд атаки

Флуд атаки по-прежнему остаются эффективными, особенно если у тебя 10-мбитная локалка, дешевые хабы и большие расстояния между компьютерами. В этом случае сильный пинг будет создавать большую коллизию. Плюс к этому, ОС не успевает обрабатывать такое огромное количество входящих пакетов. Например, я пинговал с машины под OpenBSD свой notebook - Celeron433,

32ram, 10mbit PCMCIA сетевая карта, когда на нем был запущен win98se.

Результат: во время флуда машина не подавала никаких признаков жизни (даже мышка не двигалась).

Осуществлять пинг-флуд лучше всего с максимальным размером пакета, который равен 65000, с флагами:

-l (использование максимальной возможной пропускной способности).

-f (режим флуда).

Опять сниффера!

Я полагаю, ты читал статью в 9-ом номере, где рассказывалось про снифферы... Так вот, далее мы поболтаем немного про снифферы и антиснифферы и добавим кое-чего, что не было отражено в предыдущей статье.

Если хочешь определить, кто же там у вас сниффает, кроме тебя, то воспользуйся, помимо уже описанных AntiSniff и Sentinel, бесплатной утилитой neped, использующей arp-метод. Утилита работает на всех платформах, для которых есть библиотека libnet.

http://kalug.lug.net/coding/nettools/neped-libnet.tar.gz

А если, допустим, твою машину взломали, установили сниффер и подменили ifconfig так, чтобы он не показывал, что карта находится в PROMISC режиме? Вешаться? Нет! Скачиваешь фирменную утилиту с паги Х-релизов: www.xakep.ru/articles/releases. Lordz называется :).

Главный миф админов локальных сетей, у которых много денег и мало мозгов, таков, что "никто не сможет сниффать на свитчах" (switch-hub).

Так вот это - полный бред (почти)! На свитчах можно сниффать, перенаправляя весь траффик к себе, используя утилиту arpredirect из пакета dsniff, про который рассказывалось в 9-ом Х. Теперь пакет dsniff портирован и под Windows. Лежит по адресу http://www.datanerds.net/~mike.