АБСОЛЮТНО НЕВИДИМОЕ сканирование портов с поддельным IP-адресом

Основные вопросы:

Техника TCP ip - хэндшейкинга
Техника традиционных методов сканирования
ID-последовательности и их предсказание
Сканирование

Техника TCP - хэндшейкинга

Определения
Заголовок Tcp
Традиционная схема 3-х стороннего хэндшейкинга

Определения

Открытое соединение между двумя компьютерами в протоколе TCP/IP называется сокетом и определяется:
IP-адресом

Заголовок TCP пакета

16-bit source port number

16-bit destination port number

32-bit sequence number

32-bit acknowledgement

TCP/IP-хэндшейкинг

жертва

атакующий

syn

Src ip,Dst ip
Src prt, Dst Prt
Syn = in seq#
Ack = NULL
Flags =

TCP/IP - хэндшейкинг

цель

атакующий

syn

Src ip,Dst ip
Src prt, Dst Prt
Syn = src seq#
Ack =

TCP/IP-хэндшейкинг

цель

атакующий

syn

Src ip,Dst ip
Src prt, Dst Prt
Syn = src seq#
Ack = dst seq#

Установление сокета

A

B

SYN (seqa)

SYN/ACK (seqb/ack= seqa+1)

ACK (ack= seqb+1)

Традиционное сканирование

цель

атакующий

syn

Syn / Ack

Ack

цель

атакующий

syn

Syn / Ack

Невидимое SYN-сканирование

Невидимое SYN-сканирование 2

цель

атакующий

syn

Syn / Ack

Rst

Что такое IPID?

Специальным образом сгенерированная последовательность, число, характеризующее номер пакета. Используется для

Что такое ID – флаг ?

Идентифицирует каждую TCP-сессию.
В некоторых случаях используется для

Предсказание значения ID-флага

Большинство UNIX-систем дают случайное или псевдо-случайное приращение этому счетчику.
До сегодняшнего

«Поддельное» сканирование в теории

Постоянно опрашивая ложный хост на предмет увеличения его id

«Поддельное» сканирование в теории

Поскольку известно, что Windows увеличивает значение id# при отправке

«Поддельное» сканирование в теории

Если порт открыт, хост или сервер ответит пакетом syn/ack
Если

«Поддельное» сканирование в теории

Если хост принял syn ack от неизвестного источника, он

«Поддельное» сканирование на практике

Или как все это работает

Представляем участников

Цель

Атакующий

Ложный хост

10.0.0.1

192.0.0.1

172.0.0.1

Зачем трое?

Цель

Атакующий

Ложный хост

www.anycompany.com:80

unknowing.com

3vil.org

Первый шаг (синхронизация с id# ложного хоста)

Цель

Атакующий

Ложный хост

www.anycompany.com:80

unknowing.com

3vil.org

Syn:80

Первый шаг (синхронизация с id# ложного хоста)

Цель

Атакующий

Ложный хост

www.anycompany.com:80

unknowing.com

3vil.org

Syn/ack

Зачем это надо?

Теперь атакующему известно начальное значение ID# ложного хоста и характер

Шаг 2 (подделываем источник)

Цель

Атакующий

Ложный хост

10.0.0.1

192.0.0.1

172.0.0.1

Syn src = 172.0.0.1 Dst = 192.0.0.1

Шаг 3 (сброс ответов)

Цель

Атакующий

Ложный хост

10.0.0.1

192.0.0.1

172.0.0.1

Syn/Ack src = 192.0.0.1 Dst = 172.0.0.1

Шаг 3 (сброс ответов)

Цель

Атакующий

Ложный хост

10.0.0.1

192.0.0.1

172.0.0.1

Rst src == 172.0.0.1 Dst = 192.0.0.1

Шаг 4 (тест ID ложного хоста)

Цель

Атакующий

Ложный хост

10.0.0.1

192.0.0.1

172.0.0.1

Syn:80

Шаг 4 (тест ID ложного хоста)

Цель

Атакующий

Ложный хост

10.0.0.1

192.0.0.1

172.0.0.1

Syn:80

Syn/ack

Если порт открыт:

Значение ID будет увеличено.
Смотрим пример:

Первый шаг (синхронизация с id# ложного хоста)

Цель

Атакующий

unknowing.com

3vil.org

Syn:80

Ложный хост ID =0

172.0.0.1

Первый шаг (синхронизация с id# ложного хоста)

Цель

Атакующий

unknowing.com

3vil.org

Syn/ack

Ложный хост ID =1

172.0.0.1

Шаг 2 (подделываем источник)

Цель

Атакующий

Ложный хост ID =1

10.0.0.1

192.0.0.1

172.0.0.1

Syn src = 172.0.0.1 Dst =

Шаг 3 (сброс ответов)

Цель

Атакующий

10.0.0.1

192.0.0.1

Syn/Ack src = 192.0.0.1 Dst = 172.0.0.1

Ложный хост ID

Шаг 3 (сброс ответов)

Цель

Атакующий

10.0.0.1

192.0.0.1

Rst src == 172.0.0.1 Dst = 192.0.0.1

Ложный хост ID

Шаг 4 (тест ID ложного хоста)

Цель

Атакующий

10.0.0.1

192.0.0.1

Syn:80

Ложный хост ID =2

172.0.0.1

Шаг 4 (тест ID ложного хоста)

Цель

Атакующий

10.0.0.1

192.0.0.1

Syn:80

Syn/ack

Ложный хост ID =3

172.0.0.1

Если порт закрыт:

Значение ID не увеличивается.
Смотрим пример:

Первый шаг (синхронизация с id# ложного хоста)

Цель

Атакующий

unknowing.com

3vil.org

Syn:80

Л.Х. ID =0

172.0.0.1

Первый шаг (синхронизация с id# ложного хоста)

Цель

Атакующий

unknowing.com

3vil.org

Syn/ack

Л.Х. ID =1

172.0.0.1

Шаг 2 (подделываем источник)

Цель

Атакующий

Л.Х. ID =1

10.0.0.1

192.0.0.1

172.0.0.1

Syn src = 172.0.0.1 Dst = 192.0.0.1

Шаг 3 (сброс ответов)

Цель

Атакующий

10.0.0.1

192.0.0.1

Rst src = 192.0.0.1 Dst = 172.0.0.1

Л.Х. ID =1

172.0.0.1

Шаг 4 (тест ID ложного хоста)

Цель

Атакующий

10.0.0.1

192.0.0.1

Syn:80

Л.Х. ID =1

172.0.0.1

Шаг 4 (тест ID ложного хоста)

Цель

Атакующий

10.0.0.1

192.0.0.1

Syn:80

Syn/ack

Л.Х. ID =2

172.0.0.1

Итоги:

Постоянно опрашивая ложный хост на предмет увеличения его id можно увидеть, отправил

Недостатки этой техники

Если ложный хост активен и имеет несколько подключений, значение id#

Шаг 2 (подделываем источник)

target

attacker

Spoof host ID =1

10.0.0.1

192.0.0.1

172.0.0.1

(Syn src = 172.0.0.1 Dst =

Шаг 3 (сброс ответов)

target

attacker

10.0.0.1

192.0.0.1

Syn /Ack src = 192.0.0.1 Dst = 172.0.0.1

Spoof host