English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật [Hỏi] cách spoof source IP  XML
  [Question]   [Hỏi] cách spoof source IP 17/04/2008 11:51:48 (+0700) | #1 | 125768
[Avatar]
 nhuhoang
Elite Member
[Minus]    0    [Plus]
Joined: 27/06/2007 00:49:10
Messages: 111
Location: /dev/null
Offline
[Profile] [PM] [WWW]
Trong các tài liệu về firewall hay nói về một số phương pháp tấn công bằng cách spoof source IP, mình cũng đã thử tìm hiểu nhưng toàn thấy tài liệu về phòng chống chứ ko thấy cách tấn công. Các bạn cho mình hỏi có phần mềm hoặc đoạn code nào cho phép sửa source IP của gỏi tin ko?

Mục đính để kiểm tra firewall
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách fake source IP 17/04/2008 12:11:20 (+0700) | #2 | 125771
binbui
Member
[Minus]    0    [Plus]
Joined: 19/03/2008 22:31:34
Messages: 11
Offline
[Profile] [PM] [Yahoo!]
bạn lên mạng tìm môt số phần mềm fake ip .
hôm rồi mình có nghịch một lần nhưng ko hiểu sao sau khi nghịch xong thì mai cái máy hết vào mạng được luôn
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách fake source IP 17/04/2008 12:20:34 (+0700) | #3 | 125773
[Avatar]
 nhuhoang
Elite Member
[Minus]    0    [Plus]
Joined: 27/06/2007 00:49:10
Messages: 111
Location: /dev/null
Offline
[Profile] [PM] [WWW]

binbui wrote:
bạn lên mạng tìm môt số phần mềm fake ip .
hôm rồi mình có nghịch một lần nhưng ko hiểu sao sau khi nghịch xong thì mai cái máy hết vào mạng được luôn 


fake bằng proxy như soft "Hide IP" thì không nói làm gì. Mình muốn nói đến cách fake trực tiếp đến một IP xác định. VD mình muốn gửi một đi gói tin có source và destination đều là 118.71.134.121 chẳng hạn.

[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách fake source IP 17/04/2008 12:29:19 (+0700) | #4 | 125777
[Avatar]
 secmask
Elite Member
[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]
http://erwan.l.free.fr/sniffer.zip , trong tools này có phần spoof ip, nhưng không hiểu sao mình mới chỉ test được phần ICMP Information Request là được, còn echo, ... thì bị báo error code xxx, bạn thử download về dùng thử xem sao.
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách fake source IP 18/04/2008 12:18:46 (+0700) | #5 | 125978
[Avatar]
 nhuhoang
Elite Member
[Minus]    0    [Plus]
Joined: 27/06/2007 00:49:10
Messages: 111
Location: /dev/null
Offline
[Profile] [PM] [WWW]

secmask wrote:
http://erwan.l.free.fr/sniffer.zip , trong tools này có phần spoof ip, nhưng không hiểu sao mình mới chỉ test được phần ICMP Information Request là được, còn echo, ... thì bị báo error code xxx, bạn thử download về dùng thử xem sao. 


Một phần mềm cực hay, cám ơn secmask. Bạn không spoof được gói echo là do bạn để mode raw IP, mình đã thử chỉnh sang mode winpcap thì chạy được tất cả các tính năng mà nó cung cấp. Phải nói là spoof được mọi loại packets smilie
[Up] [Print Copy]
  [Question]   Re: [Hỏi] cách spoof source IP 18/04/2008 12:31:10 (+0700) | #6 | 125983
[Avatar]
 secmask
Elite Member
[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]
^^, ok rồi, hôm trước là do mình dùng version cũ hơn nên hình như nó còn bug.
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách fake source IP 18/04/2008 20:52:00 (+0700) | #7 | 126009
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

nhuhoang wrote:

binbui wrote:
bạn lên mạng tìm môt số phần mềm fake ip .
hôm rồi mình có nghịch một lần nhưng ko hiểu sao sau khi nghịch xong thì mai cái máy hết vào mạng được luôn 


fake bằng proxy như soft "Hide IP" thì không nói làm gì. Mình muốn nói đến cách fake trực tiếp đến một IP xác định. VD mình muốn gửi một đi gói tin có source và destination đều là 118.71.134.121 chẳng hạn.

 


smilie đây là lỗ hổng kinh khủng nhất của firewall (phần màu đỏ). Nhiều FW cản rất chặt chẽ nhưng nếu một gói tin (dù là giả) có nguồn là chính IP của nó, nó cho vào smilie

Test FW không chỉ dừng lại ở chỗ test từ bên ngoài vào mà còn test từ bên trong ra và test các IP giả mạo khác.

Một gói tin đi vào từ external interface (NIC tiếp diện với Internet) không thể có IP chính là IP của firewall được. Nếu gói tin này thật sự được FW tạo ra, nó phải đi từ loopback.

Thông thường các FW cho phép mọi gói tin đi từ bên trong ra (từ ngay chính FW tạo ra hoặc trong mạng mà FW bảo vệ) và đây cũng là lỗ hổng nghiêm trọng (thử hình dung đến back door connection port smilie ).
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách fake source IP 21/04/2008 11:41:11 (+0700) | #8 | 126571
[Avatar]
 nhuhoang
Elite Member
[Minus]    0    [Plus]
Joined: 27/06/2007 00:49:10
Messages: 111
Location: /dev/null
Offline
[Profile] [PM] [WWW]

conmale wrote:
smilie đây là lỗ hổng kinh khủng nhất của firewall (phần màu đỏ). Nhiều FW cản rất chặt chẽ nhưng nếu một gói tin (dù là giả) có nguồn là chính IP của nó, nó cho vào smilie
 


Thưa anh conmale, em đã "nghiền" bài post của anh mấy hôm nay

Em có một chút thắc mắc về tác hại của những gói tin dạng này đối với hệ thống. Bình thường ta hiếm khi đưa tham số -s vào các rule trong chain INPUT, nên dĩ nhiên source của gói tin này là gì thì cũng có thể vượt qua được firewall, trừ khi nó bị drop vì các thành phần khác của gói tin. Vậy thì anh có thể nêu một ví dụ nào đó được không?

Đối với attacker thì Spoof source IP có mang lại hiệu quả gì không? bởi vì gói tin hồi đáp không đến được với attacker, attacker không thể thu nhận được thêm thông tin gì từ hệ thống thì spoof làm gì
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Cách fake source IP 24/04/2008 07:50:43 (+0700) | #9 | 127192
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

nhuhoang wrote:

conmale wrote:
smilie đây là lỗ hổng kinh khủng nhất của firewall (phần màu đỏ). Nhiều FW cản rất chặt chẽ nhưng nếu một gói tin (dù là giả) có nguồn là chính IP của nó, nó cho vào smilie
 


Thưa anh conmale, em đã "nghiền" bài post của anh mấy hôm nay

Em có một chút thắc mắc về tác hại của những gói tin dạng này đối với hệ thống. Bình thường ta hiếm khi đưa tham số -s vào các rule trong chain INPUT, nên dĩ nhiên source của gói tin này là gì thì cũng có thể vượt qua được firewall, trừ khi nó bị drop vì các thành phần khác của gói tin. Vậy thì anh có thể nêu một ví dụ nào đó được không?
 


- Em nên dùng -s trên các rule. Nên nhớ rằng, firewall càng cụ thể càng vững. Ví dụ, em chỉ cho phép -s là một IP (hoặc chuỗi IP) được quyền access đến cổng SSH (22) chẳng. Cái lợi của -s ở đây là nó loại bỏ gần như 99.9% tình trạng brute force SSH login (bởi vì chẳng mấy ai biết có cổng 22 đang mở ở IP nào đó trên server của em vì hầu hết những dạng tấn công này khởi đầu bằng việc scan hàng loạt).

- Đối với linux kernel và netfilter hiện nay, việc spoof bằng cách giả mạo source IP để đi vào bởi thế source có IP là IP của FW nhưng lại đi vào từ eth0 (chẳng hạn) thì sẽ không thể thực hiện được qua các giá trị:

Code:
/proc/sys/net/ipv4/conf/*/rp_filter
/proc/sys/net/ipv4/conf/*/send_wwwects
/proc/sys/net/ipv4/conf/*/accept_source_route
/proc/sys/net/ipv4/conf/*/log_martians


- Nếu em cẩn thận và cụ thể hơn với -i và -o trên iptables rules, tình trạng spoof không thể xảy ra được (hoặc hiếm có kẻ hở). Tuy nhiên, trên các server *nix ở mặc định có thể không có iptables / ipf và các kernel parameters như trên ấn định nên server vẫn sẽ tiếp nhận spoofed packets như thường.

nhuhoang wrote:

Đối với attacker thì Spoof source IP có mang lại hiệu quả gì không? bởi vì gói tin hồi đáp không đến được với attacker, attacker không thể thu nhận được thêm thông tin gì từ hệ thống thì spoof làm gì 

- Điểm này thì tùy vào perimeter của cuộc tấn công. Nếu kẻ tấn công có thể sniff được packets xuyên qua wire trong khi spoofing thì hắn vẫn có thể thấy được những gì phản hồi từ server (replied packets) và bởi thế, spoofing không chỉ dừng lại ở chỗ đánh... gió smilie.

- Nếu attacker có khả năng contruct vài source route (do đã kiểm soát được perimeter bằng những cách nào đó) thì hắn hoàn toàn có thể route những replied packets về máy của hắn thay vì đến địa chỉ IP bị spoofed.

Hai ví dụ trên ở bình diện WAN (Internet) thì cực khó bởi vì việc sniff xuyên qua router hoặc source route xuyên qua nhiều network là việc hầu như không được (ngoại trừ hắn đã từng bước nhân nhượng các routers trên đường đi). Phần lớn spoofed packets lọt qua firewall là để thực hiện những hành động tấn công không cần biết nội dung của replied packets là gì, ví dụ như DDoS smilie. Bởi thế, nếu FW không phân biệt đâu là packet thật và đâu là spoofed packets thì cơ hội bị DDoS sẽ dung hại hơn rất nhiều vì cơ chế phòng thủ của FW bị bỏ ngỏ trong trường hợp này.

Thân.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|