Спуфинг UDP в Internet

Discussion in 'Безопасность и Анонимность' started by vvs777, 9 Mar 2012.

  1. vvs777

    vvs777 Elder - Старейшина

    Joined:
    16 Nov 2004
    Messages:
    393
    Likes Received:
    211
    Reputations:
    4
    Программно отправляется RAW IP пакет (UDP) со строчкой TEST.
    В случае если на машине XP SP3 отсутствует интерфейс с заданным исходящим IP (проще говоря если src_ip от балды) SendTo возвращает ошибку 10004 Операция блокирования прервана вызовом WSACancelBlockingCall - это именно то о чем люди пишут когда говорят про невозможность спуфинга из под XP SP3. Нормальные RAW IP с XP SP3 доходят.

    Взял 2 машины Windows Server 2003 SP2, подключеные к разным провайдерам (для чистоты эксперимента). Это меня друг попросил пару раз подменить его на работе, не упускать же такую возможность а то где еще найдешь 2 высокоскоростных подключения с белыми IP.

    №1 напрямую с белым IP,
    №2 используется в качестве гейта (провайдерский VPN расшарен в LAN).
    Между машинами расположены 6 узлов (по trace).

    Задача добиться отправки пакета с левым исходящим адресом с 1 на 2 либо с 2 на 1

    Что происходит:
    При отправке с №1 на №2 RAW IP пакета с реальными IP адресами пакет нормально доходит.
    Если src_ip взять чуть чуть левый (к последней цифре +-1) или совсем левый (8.8.8.8, 127.0.0.1 итд) пакет нормально уходит но не доходит.

    Если отправлять тот же самый RAW IP пакет с №2 на №1 с реальным IP опять же все нормально доходит.

    А теперь самое интересное.
    Если с №2 на №1 отправить пакет с левым IP (не важно, будет ли это IP из локалки или тот же 8.8.8.8), но в процессе передачи в него (самим гейтом win2003) подставляется его IP и доходит он с ним. Т.е. win2003 на №2 считает что это траффик из локалки (не проверяя) и пробрасывает порт подставляя свой IP - это я так понял в случае настроенного connection sharing.

    Как уже написал, если на машине IP, например, 81.2.3.45, а отправлять якобы от 81.2.3.46 то пакет тоже режется.
    Магистральное железо (оптика2ethernet) не может быть настолько умным, чтобы определять левак (при условии что тот самый левый 81.2.3.46 может быть реальной физической машиной, стоящей в соседнем офисе и подключенной к тому же железу), все что "на той стороне оптики" также может получать как пакеты от 81.2.3.45 так и от 81.2.3.46.

    Так все же кто из тех промежуточных 6 узлов режет левые пакеты и как он определяет левый пакет или настоящий?

    Только не говорите что запустить левак за пределы локальной сети невозможно.
    Есть куча фактов организации DDoS с помощью UDP спуфинга и DNS либо TCP SYN спуфинга, а также MITM атак через интернет с помощью поддельного исходящего IP.

    P.S. мне чисто в образовательных целях :)
    если не в тот раздел, поправьте, пожалуйста.
     
  2. ZodiaX

    ZodiaX Reservists Of Antichat

    Joined:
    7 May 2009
    Messages:
    533
    Likes Received:
    308
    Reputations:
    51
    Чисто теоретически пакет может отбрасываться самим узлом получателя, т.к отправитель считает контрольную сумму под свой ip, потом только Вы заменяете ip.
     
  3. boortyhuhtyu

    boortyhuhtyu Member

    Joined:
    2 Feb 2011
    Messages:
    727
    Likes Received:
    26
    Reputations:
    -6
    сгенерировать ложный DNS-ответ на атакующий хост в Internet?
     
  4. drim

    drim Member

    Joined:
    27 Aug 2009
    Messages:
    347
    Likes Received:
    33
    Reputations:
    4
    ты плохого мнения о провайдерском железе =) . Те же старые 26хх циски с прошивкой ISP Feature Set могут на сабинтерфейсе отфильтровать спуф. Включается всего одной командой
    Code:
    ip verify unicast reverse-path
    и вуаля - src_ip из другой подсети не пройдёт. Навскидку нашёл блог, где человек просто и подробно разжевал сие таинство.

    Между тем, фича не сработает, если пров на несколько офисов выдаёт большую подсеть из белых адресов (глупо, но на практике встречается нередко) - в этом случае изменив ip на соседний (в пределах подсети), пакет пройдёт. Маска у твоих ip какая?
    И ты уверен, что заспуфеный пакет вообще покидает интерфейс? Wireshark'ом смотрел?

    P.S. и, да, такие вещи делают не на магистральном железе, а на уровне доступа и/или дистрибуции (распределения)
     
  5. stilyaga22

    stilyaga22 New Member

    Joined:
    7 Dec 2011
    Messages:
    72
    Likes Received:
    2
    Reputations:
    3
    мак подделывать надо серв не дура
     
  6. drim

    drim Member

    Joined:
    27 Aug 2009
    Messages:
    347
    Likes Received:
    33
    Reputations:
    4
    зачем MAC подделывать? ты понимаешь как ip spoof работает и что такое arp?
     
Loading...