Хакер №024. Спецвыпуск
IP-МАСКАРАДИНГ
прячем сеть от чужих глаз
Спецвыпуск Xakep, номер #024, стр. 024-056-4
megatron A:1035 (651001) -> dns_server B:53
Порт в скобках - это порт файрволла, с которого оно осуществляет соединение и который использует для коннекта с портом 53 хоста B. А далее мы рассмотрим, как хакер может перезаписать правую часть данного соединения, чтобы подключиться к порту внутреннего хоста. Код, отвечающий за UDP-маскарадинг, проверяет только ПОРТ НАЗНАЧЕНИЯ, чтобы определить - пришел ли пакет из внутренней сетки или извне, и должен быть переслан внутрь. Затем поля PORT и HOST устанавливаются в исходный адрес и порт отправителя. Хацкеру достаточно только определить порт, открытый для соединения на файрволле, чтобы внести свои модификации в таблицу, перезаписав поля Host Z:53 cвоими данными. Но как определить, что порт из диапазона 65100 - 65096 используется для форвардинга соединений? Мы просто посылаем тестовый пакет каждому из этих хостов (файрволлу и внешнему хосту, с которым производится соединение) и просматриваем поле IP_ID в каждом из ответов. Данное поле последовательно увеличивается каждым хостом с каждым посланным пакетом, и ответы от файрволла будут иметь IP_ID ВНУТРЕННЕГО хоста (это примерно на 1000 меньше, чем IP_ID пакетов, полученных непосредственно от файрволла). В результате этих манипуляций у хацкера появился туннель к порту закрытой тачки во внутренней сети. Вот так вот. Читай доки, изучай исходники *nix`ов и пей чаек с лимоном, и тогда все будет пинцетно.
Назад на стр. 024-056-3 Содержание