Как стать автором
Обновить

Комментарии 2

Скрипты для поиска и определения заражённых маршрутизаторов Cisco:
https://github.com/fireeye/synfulknock
Там два скрипта.
Пример работы:

NSE script
nmap -sS -PN -n -T4 -p 80 --script="SYNfulKnock" 10.1.1.1/24

-- | SYNfulKnock:
-- | seq = 0x7528092b
-- | ack = 0x75341b69
-- | diff = 0xc123e
-- | Result: Handshake confirmed. Checking flags.
-- | TCP flags: 2 04 05 b4 1 01 04 02 1 03 03 05
-- |_Result: Flags match. Confirmed infected!


Python script
python ./trigger_scanner_sniff.py -d 10.1.1.1/10.1.1.2
2015-07-14 12:59:02,760 190 INFO Sniffer daemon started
2015-07-14 12:59:02,761 218 INFO Sending 2 syn packets with 10 threads
2015-07-14 12:59:03,188 110 INFO 10.1.1.1:80 - Found implant seq: 667f6e09 ack: 66735bcd
2015-07-14 12:59:03,190 225 INFO Waiting to complete send
2015-07-14 12:59:03,190 227 INFO All packets sent


Вторая статья про SYNful Knock и без этих двух скриптов.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.