...
Цитата:
Portal of Russian Hackers (http://www.xakepy.ru/index.php)
- Хакинг и безопасность (http://www.xakepy.ru/forumdisplay.php?f=11)
- - Rst атака. (http://www.xakepy.ru/showthread.php?t=8944)
n0lik 15.08.2005 18:49
Rst атака.
Каспер выдал:
18:45:30 Сканирование порта 217.16.26.180 TCP (2260, 2326, 2259, 2342, 2332, 2231)
18:44:36 Rst атака 217.16.26.180 -> 217.16.26.180
Чё это за атака?
Что даёт сканирование этих (2260, 2326, 2259, 2342, 2332, 2231) портов?
n0lik 15.08.2005 19:06
Ответ: Rst атака.
Я ваще фигею.
Сначала во время это атаки, выскочило окошко, в котором, в строке айпи адреса было написано: "ruhelp.com"
А щас вообще, атака:
Тип атаки: Сканирование порта
IP-адрес: FORUM.ANTICHAT.RU <----!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
просканированные порты: TCP (2690, 2669, 2688, 2677, 2681, 2668)
Чё такое?
### 16.08.2005 02:55
Ответ: Rst атака.
да не нервничай, если я неошибаюсь это перестраховка каспера, раньше такое у outposta я наблюдал и у ZA.
ais 16.08.2005 03:31
Ответ: Rst атака.
Это админы античата тебя сканят =).
ЗЫ. атака rst - это отправка IP-пакетов с флагом закрытия соединения (RST). если отправлять такие пакеты на какую либо машину - сеть на этой машине (атакуемой) практически перестает работать. реакция машины на такие пакеты во многом зависит от реакции ОС, под управлением которой данная машина работает. для виндов - ситуация печальна. (с) ктото
R4!n 16.08.2005 16:40
Ответ: Rst атака.
Мое мнение, это Squid... наблюдаю такое уже несколько лет... сквид с нифига отсканивает несколько непривилегированных портов, и затихает, продолжая работать дальше... зачем он это делает не знаю, эта фишка работает на разных версиях сквида и разных настройках... возможно это поиск соседних проксей, при не отключенном взаимодействии с ними
Цитата:Это админы античата тебя сканят =).
ЗЫ. атака rst - это отправка IP-пакетов с флагом закрытия соединения (RST). если отправлять такие пакеты на какую либо машину - сеть на этой машине (атакуемой) практически перестает работать. реакция машины на такие пакеты во многом зависит от реакции ОС, под управлением которой данная машина работает. для виндов - ситуация печальна. (с) ктото
нет, на полноценную рст, это не похоже... рст вообще предназначена для обрыва долговременного соединения путем генерации пакетов с флагом RST или SYN, но пакеты должны сыпаться водопадом, так как при этом атакующему надо попасть в ширину окна TCP и угадать порт соединения второго хоста... при личных экспериментах, кстати, я рвал таким методом ssh-соединение примерно за 20-30 минут на 100 МБит канале...
а чтоб обрушить таким макаром сеть, надо рвать долговременные соединения между маршрутизаторами, когда они обмениваются таблицами маршрутизации, тогда принимающий маршрутизатор действительно из-за поврежденных таблиц роутинга уходит в даун... а если просто обсыпать машину рст-пакетами ничего страшного не произойдет
n0lik 16.08.2005 17:36
Ответ: Rst атака.
И кому это может быть нужно?
R4!n 16.08.2005 17:58
Ответ: Rst атака.
Цитата:И кому это может быть нужно?
когда обнаружили эту уязвимость в TCP, ее позиционировали как возможность нового вида DoS атак следующего поколения, так сказать, НО (без НО в жизни не обходится), чтоб попасть в окно tcp надо чтобы оно было широким (окно - в данном случае это максимально возможный SN (секуэнс намбер - порядковый номер) пакета в соединении после чего он обнуляется... то есть вы установили соединение и пошли пакетики 1,2,3,... ну скажем 10000 и снова 1,2,3..., то есть ширина окна 10000, теперь атакующий шлет пакет с номером 5637 подставив ваш IP, а вы уже шлете скажем пакет номер 7899, так вот пакет атакующего будет обработан и соединение порвется...
это на пальцах так сказать
все немного сложнее... так как эти 10000 плавают между 0 и 4 294 967 295... так вот... если у вас ширина большая, например, 1000000000 то четыре попытки и я попал в SN, который будет принят и обработан... сообственно, я зная, что ширина окна у Вас 1000000000 перебираю всего 4 варианта и в один из них попаду... чем меньше ширина окна тем сложнее туда попасть... у меня например окно 50000... это раз...
второе, например мы рвем ssh-соединение, мы знаем, что коннект происходит на 22 порт, но с какого порта ???? их мы тоже перебираем параллельно с SN, а портов у нас 65535 (или шесть ? :) )... количество вариантов увеличивается в 65536 раз... соответственно пока мы перебираем, соединение может и прекратиться... нужен оч. широкий канал...
почему это интересно ? потому что протокол типа BGP (бордер гатэвэй протокол - для обмена данных между маршрутизаторами) держит очень длительные соединения, кода обменивается с соседями таблицами маршрутизации размерами в гигабайты (рассмотри крупный маршрутизатор :) ), если маршрутизатору номер 2 не получилось полностью загрузить обновленную таблицу роутинга от маршрутизатора номер 1, то он работает, но так как таблицы повреждены он не маршрутизирует пакеты, и сеть за ним становится недоступной...
третий момент, Cisco и 3Com в своих маршрутизаторах закрыли данную уязвимость, запатентовав две разные технологии фильтрации левых SN'ов... а вот маршрутизаторы на обычных платформах x86, sparc, alpha с обычными Unix и Win операционками еще уязвимы к этому... но нужен очень большой канал...
фу... устал печатать... но это вкратце...
Mihan_rus 19.08.2005 23:30
Ответ: Rst атака.
В сети Internet каждый хост имеет уникальный IPадрес, на который поступают все сообщения из глобальной сети. Однако протокол IP это не столько сетевой, сколько межсетевой протокол обмена, предназначенный для связи между объектами в глобальной сети. На канальном уровне пакеты адресуются по аппаратным адресам сетевых карт. В сети Internet для взаимно однозначного соответствия IP и Ethernet адресов используется протокол ARP (Address Resolution Protocol). Первоначально хост может не иметь информации о Ethernet-адресах других хостов, находящихся с ним в одном сегменте, в том числе и о Ethernet-адресе маршрутизатора. Соответственно, при первом обращении к сетевым ресурсам хост отправляет широковещательный ARP-запрос, который получат все станции в данном сегменте сети. Получив данный запрос, маршрутизатор отправляет на запросивший хост ARP-ответ, в котором сообщает свой Ethernet-адрес. Данная схема работы позволяет хакеру послать ложный ARP-ответ, в котором объявить себя искомым хостом, (например, маршрутизатором), и, в дальнейшем, активно контролировать весь сетевой трафик "обманутого" хоста.
DЕMON 20.08.2005 03:47
Ответ: Rst атака.
n0lik слезай с бакнета, самый незащищеный из наших провайдеров. Переходи на аданет, хрен тебя кто отсканирует!
Часовой пояс GMT +4, время: 21:49.
vBulletin v3.6.8, Copyright ©2000-2007, Portal of Russian Hackers.
© 2002-2007 Portal Of Russian Hackers
|
|
