Хакер №024. Спецвыпуск
ПУТЕВОДИТЕЛЬ
Спецвыпуск Xakep, номер #024, стр. 024-066-3
DNS ТУННЕЛИ
А теперь возьмем другой вариант, когда провайдер открыл пользователям тестовый доступ только на свои странички. То есть пользователь дозванивается в интернет и может смотреть странички провайдера, а вот смотреть другие странички не дает файрвол.
И в таком случае хакер не унывает, поскольку он может использовать протокол DNS (Domain Name Service). Этот протокол используется для определения IP-адреса по имени странички. Обычно не очень грамотный провайдер этот протокол не фильтрует и можно отправить DNS-запрос любому серверу в интернете. Поэтому хакер вешает на бесплатном сервере в сети скрипт-робот, который претворяется DNS-сервером. А на самом деле в DNS запросах содержится самый обычный Интернет-трафик. Получился туннель TCP/IP over DNS.
Культовая статья о возможностях туннелирования DNS на сайте: http://list.nfr.com/pipermail/firewall-wizards/2000-September/009091.html
Инструменты для DNS tunneling: http://nstx.dereference.de/
На русском: http://tj.ru/cgi-bin/engine.cgi?tj2;8450315;1;
HTTP ТУННЕЛИ
Раз уж мы заговорили о бедных жертвах фашистов-администраторов, которые не могут сидеть сидеть на работе в интернете, нужно вспомнить другую крайность. Часто администраторы разрешают доступ к web-страничкам, если он нужен по работе, но запрещают ICQ, IRC, и наконец мыло.
В таком случае самые обычные сотрудники (не хакеры) пользуются WEB-гейтами. Сейчас можно получить доступ к Ирке, Аське и конечно к мылу через WEB-интерфейс. В таком случае получается ICQ/IRC/e-mail over HTTP. И это опять туннель.
А теперь допустим, что хакеру понадобилось проникнуть через файрволл с разрешенным протоколом HTTP. Понятно, что через HTTP хакер может проложить любой тоннель.
О HTTP туннелировании можно узнать подробнее и качнуть необходимый софт здесь: http://www.htthost.com/ (или просто перевернуть страницу :)).
ICMP ТУННЕЛИ
Принцип туннелирования прост, ведь каждый протокол несет в своем теле какую-то полезную информацию. То есть у всех протоколов в том или ином виде должно быть информационное поле, в которое этот полезный груз записывается. Такие поля можно найти даже в протоколе ICMP (Internet Control Message Protocol). Если ты помнишь, эхо запросы и эхо ответы могут содержать специальные тестовые пакеты, для тестирования качества соединения. Так вот вместо этих пакетов хакеры научились подставлять пакеты TCP/IP. Обычно если файрвол позволяет пинговать компьютеры расположенные за ним, то он позволит проложить ICMP-туннель. Обычно этот метод хакеры используют для обхода файрволов при взломе серьезных серверов.
ICMP туннели и софт для них на сайте: http://www.phrack.com/show.php?p=51&a=6
О возможностях использования ICMP-прохода: http://www.iss.net/security_center/static/1452.php
ACK ТУННЕЛИ
А что же делать хакеру, если попался начитанный администратор, который сумел закрыть на файрволе возможности тунелирования SMTP, HTTP, DNS, ICMP? Для этого он разработал очень сложные правила фильтрования пакетов, и теперь файрвол пропускает пакеты в зависимости от кучи параметров, а также файрвол не дает установить соединение по определенным адресам.
Назад на стр. 024-066-2 Содержание Вперед на стр. 024-066-4