Firemoon Jun 11 2018 at 21:52

Стеганография в IP-пакетах

4 min

20K

Python*Network technologies*

+28

Comments 12

blind_oracle Jun 11 2018 at 23:18

Представляет чисто академический интерес, ИМХО.
Проще в безобидный на вид payload стеганограммы добавлять: в картинки, в текст, в звук — вариантов куча.

Ну, или на крайний случай, действительно в ICMP — помнится на заре проводного интернета у Корбины между разными районами столицы ходили только пинги. И мы с друганом гоняли траффик через pingtunnel :)

ukhegg Jun 12 2018 at 14:22

Не всегда имеется доступ к полезной нагрузке. Например при стеке ip/esp/ip/tcp/http всё, что после esp шифруется(типичный стек для ipsec туннеля). Поэтому в таком случае только и остается, что модифицировать внешний ip-заголовок.

blind_oracle Jun 12 2018 at 14:48

Какой-либо real life use case можете показать где это бы пригодилось?

ukhegg Jun 12 2018 at 15:46

ну тут уж вопросы к автору статьи, где ему это нужно)лично я встречал передачу нескольких лишних байт информации в сетевых пакетах, где длина, указанная в заголовке, несколько меньше реальной длины. При это глазами это очень сложно заметить, даже тот же Wireshark даже не подсвечивает. Что там передает супостат, остается только гадать

blind_oracle Jun 12 2018 at 16:29

Нормальные роутеры, по идее, должны такие пакеты дропать нафиг как битые.

ukhegg Jun 12 2018 at 16:32

В том то и дело, что в наиболее широко используемых протоколах типа ip/udp/tcp/icmp все отлично, поле длины совпадает с длиной байтового массива, а вот протоколы уровня представления уже не настолько невинны. Так что для роутера они вполне пригодны к употреблению.

blind_oracle Jun 12 2018 at 16:36

А, я думал речь об IP-пакетах где длина в заголовке не совпадала с фактической — такие бы роутеры дропнули. А более глубоко копать большинство, конечно, не будет — только всякие специализированные девайсы вроде ASA с функционалом L7-инспекции. И прочий DPI.