Sicness23 окт 2010 в 16:26

Анонимное сканирование портов при помощи hping3

4 мин

41K

Информационная безопасность *

+75

Комментарии 35

jcmvbkbc 23 окт 2010 в 17:15

В теоретическом введении ошибка:

Как можно увидеть на википедии, каждому отправляемому TCP пакету назначается его номер, хранимый в специальном 32х битном поле. При переполнении поля счет начинается с нуля. Сделав 2 замера номеров TCP пакета можно судить о сетевой активности по протоколу TCP наблюдаемого компьютера.

если внимательно прочитать статью в википедии на которую дана ссылка, можно увидеть что в TCP заголовке два номера, один считает байты одной стороны, другой — второй стороны соединения.
Эти номера выбираются случайным образом при установлении соединения и имеют смысл только для этого соединения.

id на который ты смотришь, это 16-битный id из IP заголовка.

Sicness 23 окт 2010 в 17:17

Да, номера два, верно, подзабыл.
Но все же поле имеет смысл не только для этого соединения. Проверенно на практике.

jcmvbkbc 23 окт 2010 в 17:30

Прочитай хотя бы внимательно пункт ru.wikipedia.org/wiki/Tcp#.D0.A3.D1.81.D1.82.D0.B0.D0.BD.D0.BE.D0.B2.D0.BA.D0.B0_.D1.81.D0.BE.D0.B5.D0.B4.D0.B8.D0.BD.D0.B5.D0.BD.D0.B8.D1.8F по своей ссылочке.

Sicness 23 окт 2010 в 17:35

Ох… Этот метод работает, проверен мной, описан в книге Джонс К.Д., Шема М., Джонсон Б.С. «Инструментальные средства обеспечения безопасности» и описан в официальном мануале по hping3.
Если Вы не верите ничему из этого, попробуйте сами.

jcmvbkbc 23 окт 2010 в 17:44

Я не про метод, а про его интерпретацию. id — идентификационный номер IP-датаграммы, к SEQ/ACK из TCP не имеющий никакого отношения.

Sicness 23 окт 2010 в 17:48

Да, действительно. Спасибо, сейчас поправлю.

vanaf 23 окт 2010 в 17:36

Интересно.
Но хочется отметить что оно будет работать если сканируемый и сканирующий хосты находятся в одной подсети или если в разных то сканирующий и подставной хосты должны находятся в одной подсети (в противном случае маршрутизатор скорее всего отвергнет пакет с адресом не соответствующим интерфейсу)

amarao 23 окт 2010 в 18:38

Почему отвергнет? Для этого требуется особая настройка маршрутизатора, которая вовсе не гарантирована. Другое дело, что ответ не придёт.

НЛО прилетело и опубликовало эту надпись здесь

Sicness 23 окт 2010 в 17:45

Ну я же не обзор существующих методов сканирования пишу, а всего лишь частный случай :)
Тем более что я сомневаюсь что nmap способен на такой трюк (то есть через не контролируемого посредника). Я буду только рад, если Вы меня поправите.

jcmvbkbc 23 окт 2010 в 17:51

nmap с ключом -sI

-sI zombie host[:probeport] (idle scan).
This advanced scan method allows for a truly blind TCP port scan of the target (meaning no packets are sent to the
target from your real IP address). Instead, a unique side-channel attack exploits predictable IP fragmentation ID
sequence generation on the zombie host to glean information about the open ports on the target. IDS systems will
display the scan as coming from the zombie machine you specify (which must be up and meet certain criteria). This
fascinating scan type is too complex to fully describe in this reference guide, so I wrote and posted an informal
paper with full details at nmap.org/book/idlescan.html.

НЛО прилетело и опубликовало эту надпись здесь

Sicness 23 окт 2010 в 18:02

Я позаимствую картинку в статью для наглядности…

НЛО прилетело и опубликовало эту надпись здесь

Calvrack 24 окт 2010 в 07:58

habrahabr.ru/blogs/personal/40413/ на хабре было два года назад.

stas_agarkov 24 окт 2010 в 11:51

но там не было пошагового выполнения с командами!

Sicness 24 окт 2010 в 12:19

Там общая теория с ссылкой на мануал по nmap. Эта же статья про hping3 и когда я писал, я не знал что nmap так умеет. В предварительном поиске по хабру старая статья мне не попалась.
Да и это наверное не плохое дополнение.

lunatik42 23 окт 2010 в 18:51

Наверно потому что nmap действует от лица машины, на которой он запущен.

lunatik42 23 окт 2010 в 18:52

Упс… не стоило отвечать через час после того, как открыл статью и не обновлял комментарии. Вопрос снят =)

AstonMartin 23 окт 2010 в 18:00

Не особо понятен смысл данного действия. В сканировании портов нет ничего опасного и поэтому незачем прятаться.

НЛО прилетело и опубликовало эту надпись здесь

AstonMartin 23 окт 2010 в 18:36

Каждый публично доступный сервер в интернете каждый день сканируется десятки, сотни раз. Это боты ищут уязвимости. И никто на эти сканы не реагирует, только если это не сайт пентагона какого-нибудь.

amarao 23 окт 2010 в 18:41

Я одно время развлекался с автобаном любого IP, обратившегося на 21ый порт. Я точно знаю, что telnet'а у меня наружу нет, если кто-то постучался, значит что-то сканит.

Для злоумышленника с большой вероятностью это означает, что при линейном сканировании все порты будут закрыты (все используемые порты находятся выше), при рандомном сканировании хост просто перестанет отвечать через некоторое время.

AstonMartin 23 окт 2010 в 18:50

Одно дело развлекаться, а другое: стали бы вы внедрять эту схему на сервер хостинга с парой сотен клиентов?

Это я все к чему? К тому что нет никакого смысла скрывать работающие сервисы. Принцип «безопасность через неясность» не работает.

amarao 23 окт 2010 в 19:47

Именно там бы и стал, если бы руки дошли. В нормальной ситуации не должно быть обращения к посторонним портам, особенно если исключить невинные класса finger/whois. Если на хостинг кто-то стучится по 3389 порту (а там линух внутрях), то это явный злоумышленник, или направленный им клиент. Забанить на 5 минут — вполне разумное решение.

AstonMartin 24 окт 2010 в 05:47

Ну вот смотрите. Вы забанили злоумышленника на 5 минут. Он сразу это понимает и берет из пачки другой 3-х долларовый впс и начинает исследовать ваш хост дальше, уже более аккуратно. Плюс он сейчас знает, что админ параноик и надо действовать очень осторожно. Т.е. увеличения безопасности вашей системы не произошло.

Кроме того, IDS сами часто имеют серьезные уязвимости. Например, Snort Unified1 Output Remote Denial Of Service Vulnerability

Плюс я сам несколько раз сталкивался с ложными срабатываниями IDS когда банился «дружественный» хост и диагностировать эту плавающую причину пропадания коннекта весьма сложно.

Sicness 24 окт 2010 в 05:54

А что Вы предлагаете? Сэкономить злоумышленнику 3х долларовый впс? :)
Блокировка может защитить от некоторых автоматизированных систем и отгородится от лишнего траффика с ламерами.

amarao 23 окт 2010 в 18:42

то есть, пардон, 23ий. Попутал.

lybin 23 окт 2010 в 19:38

Спасибо, интересно!

moooV 23 окт 2010 в 20:46

А почему злоумыщленник — принтер? о_0

jcmvbkbc 23 окт 2010 в 21:47

Не злоумышленник, а «зомби» — подставной хост. Потому что принтер, скорее всего, не будет ни с кем трепаться по IP в свободное время, а это — ключевой момент технологии.

mafet 24 окт 2010 в 09:36

Да, интересный способ =)

mafet 24 окт 2010 в 09:37

Правда относительно сложно нынче найти подставной хост с наличием инета (в пределах локалки, думаю это теперь мало кому интересно), такой, который не будет проявлять вообще никакой активности. Как показано на картинке — это может быть только какое-нибудь устройство типа принтера, свитча и тп.

Sicness 24 окт 2010 в 12:22

Да не, в корпоративных и крупных сетях часто можно найти такие ПК.

stas_agarkov 24 окт 2010 в 13:15

спасибо!
очень интересно, понятно написано

Зарегистрируйтесь на Хабре, чтобы оставить комментарий