Furt de trafic tunelurilor

Prin termenul „tunelare“ în acest
context, mă refer la lot
încapsularea de trafic IPv4 protocol interior
Servicii gratuite disponibile pentru utilizator.
Cu alte cuvinte, „ambalaj“ de ilegale
IPv4-trafic pe partea de client, în interiorul
infrastructura furnizorului de servicii și „despachetare“
acest trafic înapoi la server
parte în afara rețelei furnizorului.

Principiul de mai sus
schemă ilustrează această abordare.

Tehnologia este foarte simplu și evident:

1) Programul de proxy client pe
hacker lokalhoste efectuează
Funcția pentru stiva de rețea
programe pentru utilizator. It "" captures
și proksyuet IPv4-trafic necesare programe, "zapakovyvaya"
traficul de ieșire și „despachetare“
Primite (am folosit un set de
Programe de SocksCap scrise special pentru
aceste obiective șosete-server).

2) Programul de server proxy pe partea de receptor,
efectuează inversă este descris în [1] funcția.

3) Traficul între [1] și [2] merge la permisivitate,
în mod legal dintr-o perspectivă de politică
tunel ISP. Dacă este necesar,
relația dintre [1] și [2] este posibil să se acopere SOCKS- și HTTP proxy,
oprimat administratorilor furnizor (în
caz de detectare a traficului de furt) nu este
Am putut găsi locația serverului
program de proxy.

În general, nu există nimic în această abordare
nou și original. tunelelor și
Încapsulare este utilizat foarte activ și
peste tot: uneori, singura cale
eluda naturale și obiectivul
constrângeri topologice. dar nici unul
Oamenii inca, nu am întâlnit încă nu
tunelare este folosit în scopul
furtul de trafic (deși am repetat
auzit despre succesele acestor cifre =))

În ceea ce privește problemele tehnice
realizarea de tuneluri, care încapsulează
poate fi aproape orice și aproape
oriunde =)) tunel Ceva mai ușor
ceva - mai dificil. De exemplu, mIRC-tunel mine
succes mult mai ușor decât DNS-tunelare,
în ciuda faptului că am avut Loki programul
Journal of Phrack (emisiune 51, volumul 7), care
Acesta îndeplinește o funcție similară. Și sunt sigur că
dificultăți tehnice de punere în aplicare nu sunt
sperii tu, prietene, ci dimpotrivă,
interesează!

Există o altă dificultate obiectiv,
care se va speria mulți delfistov:
necesitatea de a avea o resursă externă,
care serverul ar putea fi încărcat
partea ... Eu văd doar două opțiuni: 1) de rupere și
captura ceea ce unii orfan de la distanță
mașini (numărul care - legiunii =))) sau 2)
achiziționarea Burzhandii legală
hosting, prețul de care este greu de oriunde
mai mult de o dată și jumătate sau doi dolari pe gigabyte.

Multe (dacă nu toate) rețelele de domiciliu, care,
în primul rând în cauză au o anumită
numărul de servicii gratuite disponibile. dedesubt
„Disponibilitatea gratuită a serviciilor“
puteți înțelege aceste servicii, plata pentru
sau nu va fi perceput utilizarea care
la toate, sau este deja inclusă în plata pentru
utilizați rețeaua locală. Acest lucru poate fi
servicii de jocuri cu acces la lume,: nimic
ICMP-trafic (ping), DNS-trafic, irc-server ...

Într-o rețea în care am efectuat teste, aceste
servicii includ e-mail, DNS-rezolving
nume arbitrare și servere cu care se confruntă mIRCului
mondială. Asta e despre utilizarea inteligentă
aceste servicii și voi spune astăzi. Voi da
aveți nevoie de un număr de practică
sfaturi privind bypass-ul cel mai eficient
capcane în acest domeniu de hacker (deși,
mai degrabă hekerskoy) activitate =)))

1) descărca fișiere și bucăți de fișiere și http
ftp;
2) împărți fișierele mari în bucăți, dorite
de către utilizator;
3) ambalaje fișiere în codificarea pe care
"Eats" e-mail-violat un server.

Dacă nu se ocupă cu hekerstvom, și anume dacă nu
scrie un server întreg de la zero în bază sau
asamblare, apoi pune în aplicare un astfel de program
poate fi o grămadă de bash + sendmail + Netcat + wget + orice + ai + doriți. cum
îl vezi - cel mai ușor de a pune în aplicare și
utilizați mod de a descărca fișiere
MIL. Dar, în același timp, cel mai ușor de
detectat.

În plus, această metodă este foarte simplu
lupta. Administratorul trebuie să introduceți numai
o cotă pentru numărul de megabytes de e-mail pe zi
pentru fiecare utilizator obișnuit.

Această metodă este mult mai elegant și mai flexibilă
anterior: aici este deja destul de real
trafic Tunelarea în timp real.
Chiar și atunci când comunicarea cu serverul irc Bouncer-servakah
printr-un SOCKS-proxy, am avut un „ping“ mediu
aproximativ 400 de milisecunde. Această metodă (în special
sub sarcină destul de puternic irc-servaka)
mai dificil de detectat. În plus, standardul
admin este puțin probabil să lovi cu piciorul-o jumătate de a veni cu
o protecție adecvată împotriva irs-tunelare, cu excepția
că perpetua necontenit lor irc-servaku
modelarea și cotele crude (de asteptare,
prin urmare, val de nemulțumire în rândul onest
și utilizatorii civili =))).

Avantajele acestei metode sunt evidente, iar dacă
server nu nick'i afișate în orice irc-canale,
Puteți trece neobservate în mod arbitrar
mult timp. Dar dezavantajele acestei metode ar trebui să fie
discutate separat:

1) pe un server care în cazul în care a evoluat
am testat la o rată mai mare de 2
kb / sec, am obținut stabil la Flood în exces
partea de primire. Prin urmare, trebuie să vă fie
stick la această limită sau
introducă unele „ciupituri“ -prinimateley
și de a lucra în paralel cu ele.

2) Evitați semnătură stabilă
hoți protocol încapsulare
trafic. Acest lucru se aplică la oricare dintre
opţiuni de lot
Tunelarea: orice sistem IDS (chiar
homegrown cum ar fi bazate pe sforăit) poate fi
configurat pentru a captura orice stabil
secvență octet sau rezistente
dimensiunea datagramă, sau ambele, și multe altele
în același timp.

În general, protocolul de încapsulare
Acesta ar trebui să fie proiectate cu nevoi speciale
de îngrijire fără a supraîncărca-l
informații redundante, necesitatea
care este îndoielnic. Cu alte cuvinte, nu
Ar trebui să fie rescris pentru a se potrivi TCPv4 dvs.
are nevoie. Este suficient să pună în aplicare
Unele dintre principalele sale caracteristici:

1) Dacă vorbim despre irc-tunelare (sau despre
tunelare prin orice alt serviciu pe bază-TCS)
este suficient să se elibereze doar numerotarea
următoarea rafală de date.

2) Dacă faci pachete de protocol
încapsularea (sus, de exemplu, udp sau icmp),
trebuie să adăugați software-ul
integritatea fluxului de date transmise
sumă de control suplimentar.
Protocolul ar fi frumos să fie echipate cu capacitatea de a
contractul între client și server pe
viteza dorită și intensitatea traficului
între ele.

3) criptare și compresie a datelor dinamice
poate avea și locul său de drept în
protocol încapsulare. puteți
utilizarea de deschis și foarte confortabil
libbzip2 Biblioteca și rsaeuro, compresie și
date encrypta fluxuri, respectiv.
Apropo, în curând voi publica pe acest site
mici Programare havtu cu
Folosind aceste biblioteci.

Deci, mIRC-tunelare - o piesă interesantă și
romantic.

Aceasta este - cel mai dificil și dur de recuperat
căile noastre =)) Deci, dacă aveți
capacitatea de a controla orice nume
server din Marea Internet (în mod ideal - dns-server
se află direct deasupra dns-server
violat furnizorul de tine), acest lucru
modul în care - pentru tine.

Avantajele acestei metode sunt evidente: prioritatea în dns-interogare
este atât de mare încât să puteți descărca
întregul canal de pe un furnizor de maxim. cu excepția
de trafic UDP-spoofing - este foarte
simplu și nu împovărătoare, și puteți
cu ușurință și fără a strecurat pentru a înlocui orice
o pereche de MAC / IP a segmentului, trimiterea de cu ei
anchete și cazuri de vin pentru a le răspunsurile
sniffer.

Prin contra, desigur, includ
dificultăți de punere în aplicare a acestei metode, precum și
limitări foarte neplăcute asociate
DNS / protocolul UDP: Nu v-aș recomanda
genera cereri de la mai mult de 8 cuvinte
Dimensiunea de mai mult de 25 de caractere fiecare.
Vă rugăm să respectați unicitatea fiecărui
următoarea solicitare, deoarece mare
probabilitatea ca dns-server va
mai degrabă cache multi-megabit
solicitările dumneavoastră. În plus, există o posibilitate
faptul că unul dintre serverele DNS-oprimate (furnizor de servicii Internet
sau orice transmite) poate cădea corny,
în cazul în care baza de date cache-ul nu este ghemuit pe
dimensiune fixă.

ICMP-tunelelor și vorbesc despre ea sunt la fel de vechi ca
Internet =) am considerat că este necesar să nu uităm despre el,
dar i-am spus că nu.

Eu, probabil, pur și simplu nu știu cum să folosească
motoarele de căutare ... Dar nu am reușit să găsească
nicio implementare publică a acestor specii
tunelare, pe traficul în timp real
Ți-am spus. Și dă-mi
motive să credem că astfel de realizări
nu este pur și simplu nu. Prin urmare, veți avea o mulțime
faci singur. Ia libbind, libbzip2, rsaeuro, rfc 791, 792,
793, 768, 1122, 1034, 1035, precum și cele
reglementează protocoalele disponibile pentru tine
Servicii gratuite și ... noroc! =)))

Respectuos, [Confidențialitate]

Arată acest articol unui prieten: