Tweet
Bom pessoal navegando por ai encontrei esse Materia espero que sirva para vocês nem que seja para fins de conhecimentos .
Ataques de pacotes - Versão 1.1
Deixe-me começar por dizer a internet está cheia de ferramentas e papéis maravilhosos como este. Muitas dessas coisas podem ajudá-lo
aumentar o seu conhecimento , talvez seu trabalho ou mais. Mas, tão facilmente como você pode aprender a partir deles, as pessoas lêem para eles
muito e decidir mal de outras pessoas para trabalhar sem nenhuma razão aparente . Que seja sabido que não é de forma o objetivo deste
de papel. Um verdadeiro hacker é aquele que se esforça para atingir as respostas por si mesmas através da curiosidade . Seu caminho que tomamos para
aquelas respostas que nos faz hackers não , a destruição de outros povos de trabalho. Então, com isso , disse , por favor, gosto do meu trabalho , como eu
gozaram escrevê-lo.
O fluxo de dados sempre capturou meu interesse. Apenas como isso funciona , como podemos dissecá-lo e usá-lo para nossa vantagem.
Bem, eu passei muito tempo estudando tudo isso, e é por isso que eu escrevi este artigo . É uma coleção de correr em s
entences sobre os ataques de pacotes diferentes e como eles funcionam. Ora, todos sabemos que você pode aprender tudo o que você sempre quis saber sobre o
especificações de um protocolo com a leitura de seus 30 documento RFC página. Mas esse é o protocolo de acordo com o projeto , no estado selvagem
é uma história diferente todos juntos. Ataques ' pacote ' cobre tudo, desde ataques básicos de TCP hijacking DOS / IP. Daí o
Ataques nome de " pacotes ". Este documento também não se concentra apenas sobre os ataques , mas soluções práticas para prevenir tais ataques e idéias sobre
novos métodos para nos ajudar a detê-los e proteger nossas redes.
Introdução.
Bem, eu presumo que a maioria dos que estão lendo este artigo já tem um bom entendimento do TCP / IP e como ele funciona por isso vai começar a
muito em detalhes sobre isso, mas vai raspar a superfície das peças que precisamos discutir . A internet é uma teia de MASSIVE
todas as máquinas conectadas umas às outras através de uma série de dispositivos de hardware conhecidos como roteadores , switches, hubs, pontes e
muito mais. Todos estes dispositivos (embora alguns são mais inteligentes que outros ) ao longo de empurrar pacotes. Nossos sistemas operacionais e
aplicações artesanais esses pacotes , a fim de enviar dados para um outro sobre o fio. Cada pacote , embora variando em tamanho ,
carrega um pequeno pedaço de dados a partir de um hospedeiro para outro . Cada pacote também deve levar as suas próprias informações pessoais, tais
como onde nasceu e onde sua cabeça . É claro que há muito mais para um pacote , em seguida, apenas esta informação. Mas , na medida
como ataques de ir esta é a informação crucial que precisamos olhar. Agora há muitos muitos tipos diferentes de protocolos que
embarcações de vários tipos diferentes de pacotes. E todos eles são lidos de forma diferente quando eles são recebidos na outra extremidade . Quando, como
um pacote ARP pode dizer a um host que tem este endereço MAC nesta sub-rede, um pacote TCP pode transferir os últimos detalhes que poucos
MP3 do seu download . Não obstante os dados, todos estes pacotes use o mesmo fio para passar a partir de locais . Eu não poderia
possivelmente, discutir todos os protocolos e estrutura de pacotes neste trabalho um. O usuário final médio toma para concedido tudo isso
execução em segundo plano enquanto eles navegam na net. A maioria das pessoas não entendem a complexidade da internet que estamos todos,
familiarizado com o bate-papo etc quartos, mas há pessoas que fazem e há pessoas que se aproveitam disso. Reverso
engenharia levou à criação de ataques com os fundamentos básicos desses protocolos confiar. E uma vez que o TCP / IP é tão
incorporado em nossa infra-estrutura que deve se adaptar e aprender a defender cada novo ataque.
Modelo de Open Systems Interconnection , é um design sete camadas de rede. Seu padrão de uma indústria que define exatamente como
dados transffered protocolo entre o protocolo. Nem todo protocolo segue o modelo OSI e alguns fazem exatamente . o TCP
internets principal modo de transporte de dados não seguem exatamente. Deixe-me levá-lo através de uma breve visão sobre o modelo OSI.
Sete camadas : Camada de Aplicação
Esta camada é obviamente aplicação específica , que fornece tudo, desde a autenticação de e-mail para ftp e telnet , o
lista continua. Sua especificamente para os processos de usuário final , aquilo que a entrada em nossas aplicações , podemos ver em nossas telas .
Seis Layer : Camada de Apresentação
Esta camada muda e, possivelmente, criptografa os dados de modo que a camada de aplicação pode compreendê-lo. (Você vai entender o que
isto significa que em poucos minutos )
Cinco Layer : Camada de Sessão
Pense em como essa camada Criação , Controle e Encerramento das sessões formado pela
cliente (aplicação) para um host remoto (servidor).
Quatro Layer : Camada de Transporte
Esta camada é responsável pela transferência de dados entre invisível hospedeiro para outro. Ele está lá para garantir a transferência de dados
vai nesse sentido. Os protocolos utilizados são , UDP e TCP.
Três camadas : Camada de Rede
Esta camada é a correção de erros , o seqüenciamento de pacotes e de transmissão de dados de nó em nó . Dirigindo- se também
outra função desta camada em redes inter- .
Dois Layer : Camada de enlace de dados
Esta camada decodifica e codifica os pacotes em pedaços para que eles estão prontos para a camada física. Ele também lida com a correção de erros
na camada física. Essa camada também é dividida em dois sub- níveis. O LLC ( nexo lógico de controle ) e MAC
(Media access control ) camadas sub . A camada de sub LLC fornece controle de sincronização de quadro e verificação de erros. O MAC
camada de sub controla como um computador na rede tem acesso aos dados.
Uma camada : Camada Física
Esta camada é o movimento real dos dados. Utilizando impulsos elétricos ou alguma outra forma de movimentação de dados é empurra o
fluxo de bits para o outro host. Esta camada é a nível de hardware , a placa ethernet , o fio etc Há muitas
protocolos nesta camada.
Você pode perguntar-se porque eu já mencionadas, estes 7-1 . Bem eu fiz para mostrar como o modelo OSI realmente funciona. Seven Layer
realmente vem em primeiro lugar , o utilizador final digita algo em seu mensageiro instantâneo (por exemplo) e os fluxos de dados ao longo
do modelo OSI ser encapsulados e trocado a cada nível tem que ser mudado ou corrigido no . Os dados viaja pelo fio
e na outra extremidade que se move para trás o modelo OSI todo o caminho de volta até sete camadas , onde o outro host pode lê-lo em
a forma original que foi enviada. Então há um MUITO compreensão básica do modelo OSI e como ele funciona para transmitir dados de
hospedeiro para outro. Existe um protocolo muito mais e as peças para o modelo OSI , mas essa representação deve fornecer uma base firme
compreensão.
Para entender tudo isso mais por favor profundidade começar suas mãos em um RFC poucos ( pedido de comentário ) documentos e começar a ler.
Porque ele vai te levar muito tempo para entender exatamente como TCP / IP funciona. Se o seu grande conhecedor da forma
TCP / IP funciona, então este papel deve fazer muito sentido para você , talvez até mesmo furá-lo ! Triste Por outro lado, se você não
compreender TCP / IP , assim como você gostaria, você ainda pode tirar algum proveito disso. Eu tentar explicar todas as
redação técnica tão facilmente como eu posso. Sinta-se livre para me e-mail se tiver alguma pergunta ou comentário. Graças Smile
Data_Clast
----------------------------------------------------------------------------------------------------------------
O ataque mais comuns na internet hoje é um ataque de negação de serviço. Existem muitos programas na internet hoje
que vai ajudar na elaboração de qualquer um destes ataques . A parte triste é que tão fácil como eles estão a fazer o seu poder pode ser
destrutivo quando usado corretamente. Não importa que tipo de pacote de ataque pode ser mais se baseiam no mesmo princípio , volume.
Milhares e milhares de pacotes falsos comerão os recursos de rede em poucos minutos , engasgo e praticamente " matando "
qualquer rede. Existem muitos tipos de ataques de pacotes. Alguns são mais sofisticados que outros. Também vou falar sobre TCP / IP
seqüestro e seu porto típico e scans de vulnerabilidade , entre outras coisas .
Por que as pessoas lançar esses ataques? Como eles são lançados ? Como eles mesmo ( tecnicamente falando ) " engasgar uma rede ? !
Segure firme im chegar a isso. A extremidade inferior da estes ataques são geralmente lançada pelo que a hacker comunidade chama de
script kiddie. Você vê uma hacker isnt um web mindless desfigurar juvenil ( consulte o manifesto mentores ). A hacker é uma
pessoa do verdadeiro intelecto e nunca tal ofício um ataque sem motivo. Mas estes ataques são normalmente inferior
lançado em povos máquinas individuais. Seu endereço de IP pode provir de uma sala de chat IRC , Yahoo Messenger , AOL , ICQ, ou
qualquer outro messenger que você pode usar . ataques Embora não tão sofisticado, acabar com esses " menores "pode ainda bater um
offline máquina individual em minutos. Os ataques um pouco mais avançada pode ser destinada a uma empresa concorrente , a fim de
lento das vendas ou perturbar a sua ligação à Internet de saída. Seja qual for o motivo pode ser que eles são lançados para um
razão. Atacar uma caixa sem motivo é geralmente inútil e só vai ter a sua própria largura de banda .
Os ataques mais sofisticados são contra o governo e os pontos de raiz da internet. DNS como os atentados na raiz
servidores em outubro de 2002. Estes ataques foram sofisticados na forma como eles foram criados. Os ataques duraram mais de um
horas e com êxito tirou alguns dos servidores. Se o ataque durou apenas alguns minutos a mais que sabe o dano
poderia ter causado. A possibilidade de as autoridades resolver estes ataques e apreender os infratores é a slim
nenhum porque eles são criados e lançados pela qualificados indivíduos mal-intencionados . Foram ainda distribuídos de negação de serviço
ataques. O que significa o ' zumbi ' máquinas que atacou os servidores estavam espalhados por todo o mundo. Vamos tocar mais
em que, mais tarde ainda .
Você vai aprender mais sobre como esses ataques individuais são criados e como eles funcionam , mais adiante neste artigo , mas este é
pequena introdução para que você possa ter uma vaga idéia . Criando pacotes spoofed exige uma tomada aberta. Esta tomada liga-se a uma
IP e uma porta e lhe permite injectar um pacote para o fio ou aceitar qualquer pacote de entrada para o IP e porta. * NIX
apoia abertamente soquete programação aberta ( muitos tutoriais sobre este tipo de programação ). O que significa que programas de código que pode
criar pacotes e depois injetá-las na rede com facilidade. Um exemplo disto seria um programa chamado " SENDIP ", que
permite criar pacotes personalizados, e suporta vários protocolos ( outro programa bom é inimigo ). Tenho escrito alguns
tutoriais usando SENDIP , eu acho que é um ótimo programa para os avançados e os engenheiros de rede nova para usar . Ela vai ajudar você
aprender sobre a estrutura de pacotes e os diferentes protocolos que ele suporta. A Microsoft não é uma empresa de open source , o que praticamente
tanto torna ainda mais difícil de encontrar ajuda na criação destes tipos de programas para Windows. Mas é possível construir estes
ataques de dentro de um ambiente Windows. Sua referência a " programação Winsock . De facto a maioria destes ataques DDOS são
porque de caixas do Windows vulneráveis para fora na net. Eles são alvos fáceis para os cavalos de tróia e outros programas que a embarcação
estes ataques a servidores , quando comandou a partir de um programa cliente para fazê-lo. A maioria dos usuários finais que não entendem de segurança e como
é fácil de quebrar em alguém computador em casa , assim que a falta de firewalls e antivírus . Isso leva a muitos zumbis
máquinas disponíveis para os hackers disposição na rede. Tudo o que se tem a fazer é digitalizar uma sub-rede classe C para as portas abertas e trojan
hack seu caminho para os trojans e usá-los como uma porta , um outro zombie é criado para atacar alvos à distância. Quase
cada programa que interage com o TCP / IP gera pacotes de e para os lugares, este é o tráfego válido. Enquanto você lê você
distinguir a diferença entre válido e não válido , porque fácil fácil de entender o que estou explicando , quando eu digo
"Ataque" . Ao criar um socket aberto e crafting pacotes falsos esses programas dizer ao kernel que estão indo
construir seus próprios cabeçalhos IP. Normalmente esta informação é colocada em pelo kernel antes de sair da máquina. Mas, neste
exemplo, estamos dizendo que o kernel que queremos especificar nossa própria informação. Nem todos os sistemas operacionais permitem isso. E
não, eu não tenho uma lista detalhada dos que fazem e que não. A maioria das experiências que tenho realizado na minha rede utilizada
diferentes versões de Linux RedHat , Mandrake Linux, e Windows XP.
Existem vários tipos diferentes de ataques de pacotes. Theres a simples inundação de pacotes ICMP bruta que inunda uma rede
e come toda a banda disponível . E depois há os ataques mais sofisticados, como o Smurf / ou ataque SYN ACK.
Todos estes ataques destino coisas diferentes. Embora o ataque Smurf pode ter como alvo a rede geral, seu ataque, o
SYN / ACK ataque tem como alvo um determinado host ou serviço executado em um host. Devemos também ter em consideração quando a meta é
atacado , não pode ser a única máquina afetada. Existem muitos roteadores e outras caixas transferência de dados entre o ponto
A e B. Outro ponto povos dados legítimos está fluindo entre eles, e pode ser interrompido pelo dilúvio de pacotes. Até mesmo uma top
o roteador de linha só pode lidar com tantos dados . E, infelizmente, é muito fácil de alcançar código Soure por esses ataques
toda a web . Vamos dar uma olhada mais detalhada em cada ataque.
ICMP ataque de inundação brutal.
ICMP funciona em cima de TCP. O protocolo ICMP é simples, mas muito eficaz. Sua rede utilizada para correção de erros e testes
conectividade. Seu programa PING média usa pacotes ICMP para testar a conectividade da rede. Ao enviar uma pequena quantidade de
dados arbitrários em um pacote ECHO_REQUEST ele aguarda uma resposta do host de destino simples, certo? Um pacote ICMP típico é
chamado ECHO_REQUEST . Você envia 4 ou 5 desses em uma máquina de destino e quando chega lá, pede um ECHO_REPLY .
Isso é quando tudo é feito de acordo com o projeto. Se você quiser mais informações sobre um pacote ICMP e como ele funciona , em seguida, ler o meu
tutorial sobre isso!
Neste ataque o endereço IP de origem é falsificado. Então agora centenas, milhares de pacotes de rush ECHO_REQUEST para a sua
destino. Eles alcançam o ponto B , um pedido para cada ECHO_REPLY ECHO_REQUEST enviada. Ponto B diz OK, lê o IP de origem .
O IP de origem acaba sendo inacessível. Mas o ponto B está esperando uma pequena quantidade de tempo ( milisegundos ) para determinar que, para
cada pacote thats batê-lo . Será um pouco mais antes que o processo perde este pequeno pedaço de memória de volta
para o sistema. Isso se soma a uma grande quantidade de pacotes e de alocação de memória edificação . Agora, se esses pacotes estão chegando
a partir de múltiplas fontes zombies (DDOS ), então isto significa que cada provenientes de diferentes rotas. Portanto, mesmo se a pessoa pára de ISP
ataque, há ainda muitas mais máquinas zumbis atacando a vítima. Tudo isso está comendo o tempo e largura de banda , porque
com cada milésimo de segundo que passa mais e mais largura de banda está sendo retomada . Finalmente, o ponto B não pode mais manter-se com
o ECHO_REQUESTS e sua conexão está completamente alagado e sem uso. Em um sistema desprotegido ou roteador este ataque
pode ser muito demorado. Este ataque também é às vezes chamado de um ataque de largura de banda. Mesmo que o destino está em execução um
avançada de firewall não pode proteger os fios conectados a ele de ser inundado com pacotes. Houve mudanças na
este ataque também. Na rede há o que chamamos de amplificadores. Em cada rede existem na rede e sub-
endereços. Em muitas configurações padrão quando você ping qualquer um desses endereços se multiplicam as solicitações de eco de 4
ou mais. Assim, um zumbi atacaria uma rede vulneráveis ( 0,0 ) ou sub- endereço ( 0,255 ) com uma fonte spoofed IP , sendo o
vítimas IP real. Assim, mesmo tho o tráfego torna-se válida na medida em que os endereços IP ir. A vítima fica bombardeados com massiva
ECHO_REPLY pacotes . Você verá mais esta descrição em outros ataques , como ele funciona para algumas pessoas para .
zombie [ máquina ] -> ECHO_REQUEST ICMP (fonte IP = 1.1.1.1) -->-->--> [alvo]
[??????????????] ECHO_REPLY ICMP (destino ] 1.1.1.1 ?)<-- [ alvo
Esperemos que o desenho simples e mostra -lhe exatamente como esse ataque funciona. É muito simples, com enormes pacotes ICMP
endereço falsificado está levando os recursos da rede. O mais simples dos ataques.
ataque Smurf .
( primeira parte é repetir a partir do ataque ICMP ) Houve mudanças no ataque ICMP. Na rede há o que chamamos
amplificadores. Em toda rede existem os endereços de rede e de sub-rede . Em muitas configurações padrão quando você quer ping
um desses endereços se multiplicam as solicitações de eco de 4 ou mais. Assim, um zumbi atacaria uma rede vulneráveis ( 0,0 ) ou
endereço de sub-rede ( 0,255 ) com uma fonte spoofed IP , sendo as vítimas IP real. Assim, mesmo tho o tráfego torna-se válida na medida em que
endereços IP ir. A vítima fica bombardeados com pacotes ECHO_REPLY maciça. Você verá mais esta descrição de outros
ataques , como ele funciona para aqueles que .
Você pode tentar o ataque em sua rede doméstica , basta abrir um packet sniffer em cada máquina que está ligada. Escolha uma máquina,
qualquer máquina e ping o seu endereço de broadcast. O meu é 192.168.0.255 Imediatamente você vê cada máquina recebe uma transmissão
pacote. Agora imagine o seu várias centenas , e cada um tem um endereço IP de origem falsificado . É um ataque ICMP bruta em um grande
escala , esta possibilidade de este ataque são infinitas. Você pode facilmente implementar este ataque de qualquer maneira que você escolheu. Você pode
falsificar as vítimas IP real como seu IP de origem e criar grandes volumes de pacotes ECHO_REPLY legit. Mesmo que a sua validade
tráfego , a 4x ou mais vezes a carga normal de tráfego válido. Isso consome a conexão e não consigo passar válido tráfego,
ou passa tão lentamente que não faz diferença para o usuário final.
zombie [ máquina ] -> ip 10.2.2.2 ICMP fonte ECHO_REQUEST = -> para: router broadcast 4.1.0.255 (router multiplica o
pacotes ECHO_REPLY por 4x ! -> -> -> -> vítima [ 10.2.2.2 ]
SYN / ACK ataque .
A SYN / ACK ataque é um ataque muito poderoso. pacotes SYN / ACK também são usadas no TCP hijacking, e TCP / IP três vias
aperto de mão. Quando uma aplicação quer conectar com um servidor em algum lugar ao longo da rede através de uma conexão TCP ( vs conexão
transferência de dados sem conexão (UDP) ) -o primeiro envia um pacote SYN. O pacote SYN diz a máquina de destino que quer fazer
uma conexão em uma determinada porta especificada, e em seguida, enviar os dados . Quando a máquina de destino ler o pacote SYN, ele responde
o host original com um pacote SYN própria e um ACK (reconhecimento ) de pacotes com números de seqüência e ACK. Estes SEQ
e os números de ACK são usados para sincronizar a transferência de dados, meter um ou dois pacotes fica perdido ou retardado ao longo de sua
rota, que pode ser montada novamente na ordem correta . A máquina orignal responde novamente com um outro pacote SYN ACK
combinação de reconhecer os números de seqüência e , em seguida, ele começa a enviar dados. Quando se cria essa ligação de uma pequena
pedaço de memória é alocada para manter a conexão , enquanto os pacotes estão em rota. Agora, um SYN / ACK ataque consistiria
spoofing do endereço IP de origem no pacote SYN inicial. O destino recebe a solicitação de uma conexão , lê o
fonte spoofed IP e tenta enviar o seu próprio SYN e ACK para um destino que não existe. A maioria dos sistemas operacionais
continuará a enviar pacotes SYN / ACK , se não receber uma resposta como método de correção de erros e garantiu dados
entrega. Assim como no ataque ICMP da máquina tem que esperar alguns milisegundos antes de abandonar toda a esperança de chegar
a máquina. Portanto, estes pequenos espaços de memória alocado a construir -se com todos os pacotes falsificados que chegam ao destino.
Este ataque é muito poderoso e pode desativar um serviço em execução na máquina de destino em questão de minutos. Já para não falar
toda a banda disponível é consumida com milhares e milhares de pacotes falsos . Portanto, não há o SYN / ACK em um ataque
breve descrição.
zombie [ máquina ] -> pacotes SYN ( IP de origem 1.1.1.1 , porta telnet = 23 ) (seq = 100) -> [ meta ]
[??????????????] <- SYN / ACK pacotes enviados (seq = 300) (ACK = 101) <- ] [ alvo
Como você pode ver a partir do simples desenho acima na máquina de destino não tem idéia de quem está enviando os pacotes SYN e telnet
servidor que está executando na porta 23 iria falhar mais provável. Na melhor das hipóteses o daemon telnet não permitiria que qualquer outro legítimo
tráfego através , como não poderia reunir recursos suficientes (memória, largura de banda) para fazer a conexão devido a todos os falsificados
pacotes.
Outro uso deste ataque é para desconectar um usuário da sua sessão atual TCP . Por falsificação de pacotes SYN / ACK para um servidor
um cliente está usando atualmente. Um invasor poderia colocar um " flag FIN " nos pacotes , diz ao servidor o cliente é feito
envio dos dados. Cliente usa a sua conexão e atacante vai embora sem serem detectados, porque só tomou um pacote para realizar
isso.
ataque UDP
UDP é um protocolo que é usado para transferência de dados. Curto para o User Datagram Protocol . UDP oferece correção de erro muito pequena
e é usado como um meio alternativo para transferência de dados . Ele não exige que o handshake de 3 vias , como o método SYN / ACK ,
assim o seu ataque inicial não pode derrubar um servidor remoto , o mais rapidamente . UDP é geralmente usado para transmitir mensagens através de uma
rede. Um ataque UDP seria composto por falsificação de endereços IP de origem e especificar um número de porta como no ataque SYN
supra. Os pacotes UDP são geralmente grandes , porque eles são geralmente usados em closed 100mb sub-redes ( LANs). Então, seria um ataque conjunto
bandeiras nos pacotes e fragmentar-los (quebra -los e pavilhão onde no pacote que quebrou, assim que podem ser remontados
no fim de recepção ). Por exemplo, no Windows 2000, houve um DOS remoto UDP explorar que utilizaram o serviço IKE em execução
porta 500 . Todos um atacante tinha a fazer era ligar a porta 500 na máquina ao acaso, com que abrir a porta . Iniciar o envio maciço
pacotes UDP ( acima de 500 bytes) para que o serviço eo uso da CPU teria atingido 99% ea máquina trava . O típico
portas que aceitar pacotes UDP são 7, 13, 19 e 37 em uma caixa de Windows.
ataque de DNS
O DNS é um ataque especial. Não é tão facilmente trabalhada como os outros, lá arent que muitas ferramentas disponíveis para o
script kiddie médio para a construção de um tal ataque. O protocolo DNS é utilizado para a resolução de nomes, 216.239.35.100 google.com =
simples como isso ? Bem, não realmente. Um ataque de DNS é baseado no fato de que uma consulta DNS tem poucos dados e largura de banda
criar, mas uma resposta de DNS é muito maior. Assim isto é como um ataque de DNS pareceria.
10.10.10.10 = vítimas IP
[ dns pacote de consulta (que é google.com )] - > Fonte IP é 10.10.10.10 -] > servidor dns [
dns server [ ] -> -> - > [ dns resposta ] [ dns resposta ] [ dns ] Resposta - ]> [ vítima
Como você pode ver o tipo de ataque é transmitida de um servidor DNS legítimos. Embora os pacotes de resposta DNS são « legítimas »
há uma inundação maciça deles porque o servidor DNS que está enviando é uma máquina muito boa muito boa
conexão. O usuário final , provavelmente um PC em casa, fica alagada com esses enormes pacotes de resposta DNS que nunca pediu.
ataque ARP
O ataque de arp é especial , ele pode ser usado para ' seqüestrar 'a conexão TCP actualmente em sessão ou ele pode ser usado para
sniff o tráfego legítimo em um outro fio , então o seu próprio. Que é uma coisa muito perigosa no mundo da informação que
vivemos hoje. Existem alguns métodos de ataque. Vamos dizer que pessoa1 , atacante, e do servidor estão todos na mesma sub-rede .
Person1 servidor e , actualmente, uma sessão de FTP aberto. Atacante envia o servidor e pessoa1 um pacote ARP contendo um
endereço MAC inválido. Agora, tanto de suas tabelas ARP estão bagunçados pelo menos durante 30 segundos. Server e não consigo achar que pessoa1
endereço MAC inválido para que envie seus dados para o seu IP associado com o atacante. Portanto, neste caso o invasor tem um
sniffer instalação e hes coletar uma tonelada de dados. Agora, o atacante ( um avançado em que ) pode emitir comandos como a pessoa1
o servidor. Este ataque leva tempo e habilidade para tirar na internet, mas em uma LAN é muito fácil . Ele apenas permite a
talvez 30 ou mais segundos de sniffing, até à sua tabela ARP é construído corretamente novamente.
ataque DRDOS
Um ataque DRDOS usa um pouco de outros ataques para infligir danos. Este ataque spoofs o endereço IP de origem dos pacotes SYN
para o IP da vítima. Ela exige um terceiro. Esta é a parte do ataque que o torna tão fácil. Tudo que precisa é
alguns ftp, servidor web , telnet .. Qualquer serviço que irá responder com um pacote ACK, em qualquer lugar na internet. Poderia ser angelfires
servidores de FTP gratuito, pode ser o seu servidor web vizinhos correndo seu compaq 233mhz com IIS 4.0. Não importa ! O SYN
pacotes são enviados para que os serviços de endereço IP e , claro, responder com um fluxo contínuo de pacotes SYN / ACK para a vítima.
O mais provável é dirigida para uma porta aberta na máquina das vítimas , deixando de funcionar esse serviço e do sistema. Estes ataques são
quase impossível de rastrear . Este ataque é muito possivelmente o mais forte ataque DOS , na minha opinião . Para todos os pacotes SYN
enviar o homem médio , ele envia até 4 combinações SYN / ACK para a vítima. E cada vez que a vítima não responde
o homem médio emite mais ( correção de erros ). Isso permite que o invasor contruct um ataque maciço a partir de apenas um
máquina com uma conexão de banda larga . Há mais perigos para o ataque , bem , existem centenas de milhares de FTP,
webservers e muitos mais serviços em execução na rede hoje que irá desviar estes pacotes SYN / ACK na vítima. Assim, em
teoria, este ataque pode usar qualquer número de "homem médio " servidores de bombardear a rede com pacotes.
__________________________________________________ ________________________
Autor: Anonymo.
Bom pessoa e iso aé já que não posso contribuir com fazendo um tuto da minha autoria por não ter conhecimento suficiente busco na red coisas que possa servi para todos nos
(Campanha não seja um PARASITA, se não poder contribuir de uma forma contribua de outra mas contribua.) Se gostaram da um Obrigado aé ¬_¬
Ataques de pacotes - Versão 1.1
Deixe-me começar por dizer a internet está cheia de ferramentas e papéis maravilhosos como este. Muitas dessas coisas podem ajudá-lo
aumentar o seu conhecimento , talvez seu trabalho ou mais. Mas, tão facilmente como você pode aprender a partir deles, as pessoas lêem para eles
muito e decidir mal de outras pessoas para trabalhar sem nenhuma razão aparente . Que seja sabido que não é de forma o objetivo deste
de papel. Um verdadeiro hacker é aquele que se esforça para atingir as respostas por si mesmas através da curiosidade . Seu caminho que tomamos para
aquelas respostas que nos faz hackers não , a destruição de outros povos de trabalho. Então, com isso , disse , por favor, gosto do meu trabalho , como eu
gozaram escrevê-lo.
O fluxo de dados sempre capturou meu interesse. Apenas como isso funciona , como podemos dissecá-lo e usá-lo para nossa vantagem.
Bem, eu passei muito tempo estudando tudo isso, e é por isso que eu escrevi este artigo . É uma coleção de correr em s
entences sobre os ataques de pacotes diferentes e como eles funcionam. Ora, todos sabemos que você pode aprender tudo o que você sempre quis saber sobre o
especificações de um protocolo com a leitura de seus 30 documento RFC página. Mas esse é o protocolo de acordo com o projeto , no estado selvagem
é uma história diferente todos juntos. Ataques ' pacote ' cobre tudo, desde ataques básicos de TCP hijacking DOS / IP. Daí o
Ataques nome de " pacotes ". Este documento também não se concentra apenas sobre os ataques , mas soluções práticas para prevenir tais ataques e idéias sobre
novos métodos para nos ajudar a detê-los e proteger nossas redes.
Introdução: Pacotes TCP / IP Switching Networks Modelo OSI
--- Capítulo 1 .---
Seção A.
Introdução ao DDOS / DOS e ataques Packet
Seção B.
Como os ataques são criados
--- Capítulo 2 .---
Seção A. ( ataques)
ICMP
Smurf
SYN / ACK
UDP
DNS
ARP
DrDOS
Bot Especial / Trojans
Worm DOS
Unicode ping flood (novo!)
Seção B.
Faseamento
Seção c. ( hacks )
TCP hijacking
Sniffing
Scans
Coleta de informações / Footprinting
Secção d.
Defesa contra esses ataques
Attack Detection
Detecção de Intrusão
Secção e.
IPSEC
NAT como um meio de segurança
--- Capítulo 3 .---
Seção A.
O futuro do TCP / IP como um meio de usar IPv6
--- Capítulo 4. ---
Seção A.
Novo aplicativo de segurança de protocolo /
-----
Ataques de pacotes
--- Capítulo 1 .---
Seção A.
Introdução ao DDOS / DOS e ataques Packet
Seção B.
Como os ataques são criados
--- Capítulo 2 .---
Seção A. ( ataques)
ICMP
Smurf
SYN / ACK
UDP
DNS
ARP
DrDOS
Bot Especial / Trojans
Worm DOS
Unicode ping flood (novo!)
Seção B.
Faseamento
Seção c. ( hacks )
TCP hijacking
Sniffing
Scans
Coleta de informações / Footprinting
Secção d.
Defesa contra esses ataques
Attack Detection
Detecção de Intrusão
Secção e.
IPSEC
NAT como um meio de segurança
--- Capítulo 3 .---
Seção A.
O futuro do TCP / IP como um meio de usar IPv6
--- Capítulo 4. ---
Seção A.
Novo aplicativo de segurança de protocolo /
-----
Ataques de pacotes
Introdução.
Bem, eu presumo que a maioria dos que estão lendo este artigo já tem um bom entendimento do TCP / IP e como ele funciona por isso vai começar a
muito em detalhes sobre isso, mas vai raspar a superfície das peças que precisamos discutir . A internet é uma teia de MASSIVE
todas as máquinas conectadas umas às outras através de uma série de dispositivos de hardware conhecidos como roteadores , switches, hubs, pontes e
muito mais. Todos estes dispositivos (embora alguns são mais inteligentes que outros ) ao longo de empurrar pacotes. Nossos sistemas operacionais e
aplicações artesanais esses pacotes , a fim de enviar dados para um outro sobre o fio. Cada pacote , embora variando em tamanho ,
carrega um pequeno pedaço de dados a partir de um hospedeiro para outro . Cada pacote também deve levar as suas próprias informações pessoais, tais
como onde nasceu e onde sua cabeça . É claro que há muito mais para um pacote , em seguida, apenas esta informação. Mas , na medida
como ataques de ir esta é a informação crucial que precisamos olhar. Agora há muitos muitos tipos diferentes de protocolos que
embarcações de vários tipos diferentes de pacotes. E todos eles são lidos de forma diferente quando eles são recebidos na outra extremidade . Quando, como
um pacote ARP pode dizer a um host que tem este endereço MAC nesta sub-rede, um pacote TCP pode transferir os últimos detalhes que poucos
MP3 do seu download . Não obstante os dados, todos estes pacotes use o mesmo fio para passar a partir de locais . Eu não poderia
possivelmente, discutir todos os protocolos e estrutura de pacotes neste trabalho um. O usuário final médio toma para concedido tudo isso
execução em segundo plano enquanto eles navegam na net. A maioria das pessoas não entendem a complexidade da internet que estamos todos,
familiarizado com o bate-papo etc quartos, mas há pessoas que fazem e há pessoas que se aproveitam disso. Reverso
engenharia levou à criação de ataques com os fundamentos básicos desses protocolos confiar. E uma vez que o TCP / IP é tão
incorporado em nossa infra-estrutura que deve se adaptar e aprender a defender cada novo ataque.
Modelo OSI
Modelo de Open Systems Interconnection , é um design sete camadas de rede. Seu padrão de uma indústria que define exatamente como
dados transffered protocolo entre o protocolo. Nem todo protocolo segue o modelo OSI e alguns fazem exatamente . o TCP
internets principal modo de transporte de dados não seguem exatamente. Deixe-me levá-lo através de uma breve visão sobre o modelo OSI.
Sete camadas : Camada de Aplicação
Esta camada é obviamente aplicação específica , que fornece tudo, desde a autenticação de e-mail para ftp e telnet , o
lista continua. Sua especificamente para os processos de usuário final , aquilo que a entrada em nossas aplicações , podemos ver em nossas telas .
Seis Layer : Camada de Apresentação
Esta camada muda e, possivelmente, criptografa os dados de modo que a camada de aplicação pode compreendê-lo. (Você vai entender o que
isto significa que em poucos minutos )
Cinco Layer : Camada de Sessão
Pense em como essa camada Criação , Controle e Encerramento das sessões formado pela
cliente (aplicação) para um host remoto (servidor).
Quatro Layer : Camada de Transporte
Esta camada é responsável pela transferência de dados entre invisível hospedeiro para outro. Ele está lá para garantir a transferência de dados
vai nesse sentido. Os protocolos utilizados são , UDP e TCP.
Três camadas : Camada de Rede
Esta camada é a correção de erros , o seqüenciamento de pacotes e de transmissão de dados de nó em nó . Dirigindo- se também
outra função desta camada em redes inter- .
Dois Layer : Camada de enlace de dados
Esta camada decodifica e codifica os pacotes em pedaços para que eles estão prontos para a camada física. Ele também lida com a correção de erros
na camada física. Essa camada também é dividida em dois sub- níveis. O LLC ( nexo lógico de controle ) e MAC
(Media access control ) camadas sub . A camada de sub LLC fornece controle de sincronização de quadro e verificação de erros. O MAC
camada de sub controla como um computador na rede tem acesso aos dados.
Uma camada : Camada Física
Esta camada é o movimento real dos dados. Utilizando impulsos elétricos ou alguma outra forma de movimentação de dados é empurra o
fluxo de bits para o outro host. Esta camada é a nível de hardware , a placa ethernet , o fio etc Há muitas
protocolos nesta camada.
Você pode perguntar-se porque eu já mencionadas, estes 7-1 . Bem eu fiz para mostrar como o modelo OSI realmente funciona. Seven Layer
realmente vem em primeiro lugar , o utilizador final digita algo em seu mensageiro instantâneo (por exemplo) e os fluxos de dados ao longo
do modelo OSI ser encapsulados e trocado a cada nível tem que ser mudado ou corrigido no . Os dados viaja pelo fio
e na outra extremidade que se move para trás o modelo OSI todo o caminho de volta até sete camadas , onde o outro host pode lê-lo em
a forma original que foi enviada. Então há um MUITO compreensão básica do modelo OSI e como ele funciona para transmitir dados de
hospedeiro para outro. Existe um protocolo muito mais e as peças para o modelo OSI , mas essa representação deve fornecer uma base firme
compreensão.
Para entender tudo isso mais por favor profundidade começar suas mãos em um RFC poucos ( pedido de comentário ) documentos e começar a ler.
Porque ele vai te levar muito tempo para entender exatamente como TCP / IP funciona. Se o seu grande conhecedor da forma
TCP / IP funciona, então este papel deve fazer muito sentido para você , talvez até mesmo furá-lo ! Triste Por outro lado, se você não
compreender TCP / IP , assim como você gostaria, você ainda pode tirar algum proveito disso. Eu tentar explicar todas as
redação técnica tão facilmente como eu posso. Sinta-se livre para me e-mail se tiver alguma pergunta ou comentário. Graças Smile
Data_Clast
----------------------------------------------------------------------------------------------------------------
Capítulo 1.
- Seção A.
O ataque mais comuns na internet hoje é um ataque de negação de serviço. Existem muitos programas na internet hoje
que vai ajudar na elaboração de qualquer um destes ataques . A parte triste é que tão fácil como eles estão a fazer o seu poder pode ser
destrutivo quando usado corretamente. Não importa que tipo de pacote de ataque pode ser mais se baseiam no mesmo princípio , volume.
Milhares e milhares de pacotes falsos comerão os recursos de rede em poucos minutos , engasgo e praticamente " matando "
qualquer rede. Existem muitos tipos de ataques de pacotes. Alguns são mais sofisticados que outros. Também vou falar sobre TCP / IP
seqüestro e seu porto típico e scans de vulnerabilidade , entre outras coisas .
Por que as pessoas lançar esses ataques? Como eles são lançados ? Como eles mesmo ( tecnicamente falando ) " engasgar uma rede ? !
Segure firme im chegar a isso. A extremidade inferior da estes ataques são geralmente lançada pelo que a hacker comunidade chama de
script kiddie. Você vê uma hacker isnt um web mindless desfigurar juvenil ( consulte o manifesto mentores ). A hacker é uma
pessoa do verdadeiro intelecto e nunca tal ofício um ataque sem motivo. Mas estes ataques são normalmente inferior
lançado em povos máquinas individuais. Seu endereço de IP pode provir de uma sala de chat IRC , Yahoo Messenger , AOL , ICQ, ou
qualquer outro messenger que você pode usar . ataques Embora não tão sofisticado, acabar com esses " menores "pode ainda bater um
offline máquina individual em minutos. Os ataques um pouco mais avançada pode ser destinada a uma empresa concorrente , a fim de
lento das vendas ou perturbar a sua ligação à Internet de saída. Seja qual for o motivo pode ser que eles são lançados para um
razão. Atacar uma caixa sem motivo é geralmente inútil e só vai ter a sua própria largura de banda .
Os ataques mais sofisticados são contra o governo e os pontos de raiz da internet. DNS como os atentados na raiz
servidores em outubro de 2002. Estes ataques foram sofisticados na forma como eles foram criados. Os ataques duraram mais de um
horas e com êxito tirou alguns dos servidores. Se o ataque durou apenas alguns minutos a mais que sabe o dano
poderia ter causado. A possibilidade de as autoridades resolver estes ataques e apreender os infratores é a slim
nenhum porque eles são criados e lançados pela qualificados indivíduos mal-intencionados . Foram ainda distribuídos de negação de serviço
ataques. O que significa o ' zumbi ' máquinas que atacou os servidores estavam espalhados por todo o mundo. Vamos tocar mais
em que, mais tarde ainda .
- Seção B
Você vai aprender mais sobre como esses ataques individuais são criados e como eles funcionam , mais adiante neste artigo , mas este é
pequena introdução para que você possa ter uma vaga idéia . Criando pacotes spoofed exige uma tomada aberta. Esta tomada liga-se a uma
IP e uma porta e lhe permite injectar um pacote para o fio ou aceitar qualquer pacote de entrada para o IP e porta. * NIX
apoia abertamente soquete programação aberta ( muitos tutoriais sobre este tipo de programação ). O que significa que programas de código que pode
criar pacotes e depois injetá-las na rede com facilidade. Um exemplo disto seria um programa chamado " SENDIP ", que
permite criar pacotes personalizados, e suporta vários protocolos ( outro programa bom é inimigo ). Tenho escrito alguns
tutoriais usando SENDIP , eu acho que é um ótimo programa para os avançados e os engenheiros de rede nova para usar . Ela vai ajudar você
aprender sobre a estrutura de pacotes e os diferentes protocolos que ele suporta. A Microsoft não é uma empresa de open source , o que praticamente
tanto torna ainda mais difícil de encontrar ajuda na criação destes tipos de programas para Windows. Mas é possível construir estes
ataques de dentro de um ambiente Windows. Sua referência a " programação Winsock . De facto a maioria destes ataques DDOS são
porque de caixas do Windows vulneráveis para fora na net. Eles são alvos fáceis para os cavalos de tróia e outros programas que a embarcação
estes ataques a servidores , quando comandou a partir de um programa cliente para fazê-lo. A maioria dos usuários finais que não entendem de segurança e como
é fácil de quebrar em alguém computador em casa , assim que a falta de firewalls e antivírus . Isso leva a muitos zumbis
máquinas disponíveis para os hackers disposição na rede. Tudo o que se tem a fazer é digitalizar uma sub-rede classe C para as portas abertas e trojan
hack seu caminho para os trojans e usá-los como uma porta , um outro zombie é criado para atacar alvos à distância. Quase
cada programa que interage com o TCP / IP gera pacotes de e para os lugares, este é o tráfego válido. Enquanto você lê você
distinguir a diferença entre válido e não válido , porque fácil fácil de entender o que estou explicando , quando eu digo
"Ataque" . Ao criar um socket aberto e crafting pacotes falsos esses programas dizer ao kernel que estão indo
construir seus próprios cabeçalhos IP. Normalmente esta informação é colocada em pelo kernel antes de sair da máquina. Mas, neste
exemplo, estamos dizendo que o kernel que queremos especificar nossa própria informação. Nem todos os sistemas operacionais permitem isso. E
não, eu não tenho uma lista detalhada dos que fazem e que não. A maioria das experiências que tenho realizado na minha rede utilizada
diferentes versões de Linux RedHat , Mandrake Linux, e Windows XP.
Capítulo 2.
- Seção A
Existem vários tipos diferentes de ataques de pacotes. Theres a simples inundação de pacotes ICMP bruta que inunda uma rede
e come toda a banda disponível . E depois há os ataques mais sofisticados, como o Smurf / ou ataque SYN ACK.
Todos estes ataques destino coisas diferentes. Embora o ataque Smurf pode ter como alvo a rede geral, seu ataque, o
SYN / ACK ataque tem como alvo um determinado host ou serviço executado em um host. Devemos também ter em consideração quando a meta é
atacado , não pode ser a única máquina afetada. Existem muitos roteadores e outras caixas transferência de dados entre o ponto
A e B. Outro ponto povos dados legítimos está fluindo entre eles, e pode ser interrompido pelo dilúvio de pacotes. Até mesmo uma top
o roteador de linha só pode lidar com tantos dados . E, infelizmente, é muito fácil de alcançar código Soure por esses ataques
toda a web . Vamos dar uma olhada mais detalhada em cada ataque.
ICMP ataque de inundação brutal.
ICMP funciona em cima de TCP. O protocolo ICMP é simples, mas muito eficaz. Sua rede utilizada para correção de erros e testes
conectividade. Seu programa PING média usa pacotes ICMP para testar a conectividade da rede. Ao enviar uma pequena quantidade de
dados arbitrários em um pacote ECHO_REQUEST ele aguarda uma resposta do host de destino simples, certo? Um pacote ICMP típico é
chamado ECHO_REQUEST . Você envia 4 ou 5 desses em uma máquina de destino e quando chega lá, pede um ECHO_REPLY .
Isso é quando tudo é feito de acordo com o projeto. Se você quiser mais informações sobre um pacote ICMP e como ele funciona , em seguida, ler o meu
tutorial sobre isso!
Neste ataque o endereço IP de origem é falsificado. Então agora centenas, milhares de pacotes de rush ECHO_REQUEST para a sua
destino. Eles alcançam o ponto B , um pedido para cada ECHO_REPLY ECHO_REQUEST enviada. Ponto B diz OK, lê o IP de origem .
O IP de origem acaba sendo inacessível. Mas o ponto B está esperando uma pequena quantidade de tempo ( milisegundos ) para determinar que, para
cada pacote thats batê-lo . Será um pouco mais antes que o processo perde este pequeno pedaço de memória de volta
para o sistema. Isso se soma a uma grande quantidade de pacotes e de alocação de memória edificação . Agora, se esses pacotes estão chegando
a partir de múltiplas fontes zombies (DDOS ), então isto significa que cada provenientes de diferentes rotas. Portanto, mesmo se a pessoa pára de ISP
ataque, há ainda muitas mais máquinas zumbis atacando a vítima. Tudo isso está comendo o tempo e largura de banda , porque
com cada milésimo de segundo que passa mais e mais largura de banda está sendo retomada . Finalmente, o ponto B não pode mais manter-se com
o ECHO_REQUESTS e sua conexão está completamente alagado e sem uso. Em um sistema desprotegido ou roteador este ataque
pode ser muito demorado. Este ataque também é às vezes chamado de um ataque de largura de banda. Mesmo que o destino está em execução um
avançada de firewall não pode proteger os fios conectados a ele de ser inundado com pacotes. Houve mudanças na
este ataque também. Na rede há o que chamamos de amplificadores. Em cada rede existem na rede e sub-
endereços. Em muitas configurações padrão quando você ping qualquer um desses endereços se multiplicam as solicitações de eco de 4
ou mais. Assim, um zumbi atacaria uma rede vulneráveis ( 0,0 ) ou sub- endereço ( 0,255 ) com uma fonte spoofed IP , sendo o
vítimas IP real. Assim, mesmo tho o tráfego torna-se válida na medida em que os endereços IP ir. A vítima fica bombardeados com massiva
ECHO_REPLY pacotes . Você verá mais esta descrição em outros ataques , como ele funciona para algumas pessoas para .
zombie [ máquina ] -> ECHO_REQUEST ICMP (fonte IP = 1.1.1.1) -->-->--> [alvo]
[??????????????] ECHO_REPLY ICMP (destino ] 1.1.1.1 ?)<-- [ alvo
Esperemos que o desenho simples e mostra -lhe exatamente como esse ataque funciona. É muito simples, com enormes pacotes ICMP
endereço falsificado está levando os recursos da rede. O mais simples dos ataques.
ataque Smurf .
( primeira parte é repetir a partir do ataque ICMP ) Houve mudanças no ataque ICMP. Na rede há o que chamamos
amplificadores. Em toda rede existem os endereços de rede e de sub-rede . Em muitas configurações padrão quando você quer ping
um desses endereços se multiplicam as solicitações de eco de 4 ou mais. Assim, um zumbi atacaria uma rede vulneráveis ( 0,0 ) ou
endereço de sub-rede ( 0,255 ) com uma fonte spoofed IP , sendo as vítimas IP real. Assim, mesmo tho o tráfego torna-se válida na medida em que
endereços IP ir. A vítima fica bombardeados com pacotes ECHO_REPLY maciça. Você verá mais esta descrição de outros
ataques , como ele funciona para aqueles que .
Você pode tentar o ataque em sua rede doméstica , basta abrir um packet sniffer em cada máquina que está ligada. Escolha uma máquina,
qualquer máquina e ping o seu endereço de broadcast. O meu é 192.168.0.255 Imediatamente você vê cada máquina recebe uma transmissão
pacote. Agora imagine o seu várias centenas , e cada um tem um endereço IP de origem falsificado . É um ataque ICMP bruta em um grande
escala , esta possibilidade de este ataque são infinitas. Você pode facilmente implementar este ataque de qualquer maneira que você escolheu. Você pode
falsificar as vítimas IP real como seu IP de origem e criar grandes volumes de pacotes ECHO_REPLY legit. Mesmo que a sua validade
tráfego , a 4x ou mais vezes a carga normal de tráfego válido. Isso consome a conexão e não consigo passar válido tráfego,
ou passa tão lentamente que não faz diferença para o usuário final.
zombie [ máquina ] -> ip 10.2.2.2 ICMP fonte ECHO_REQUEST = -> para: router broadcast 4.1.0.255 (router multiplica o
pacotes ECHO_REPLY por 4x ! -> -> -> -> vítima [ 10.2.2.2 ]
SYN / ACK ataque .
A SYN / ACK ataque é um ataque muito poderoso. pacotes SYN / ACK também são usadas no TCP hijacking, e TCP / IP três vias
aperto de mão. Quando uma aplicação quer conectar com um servidor em algum lugar ao longo da rede através de uma conexão TCP ( vs conexão
transferência de dados sem conexão (UDP) ) -o primeiro envia um pacote SYN. O pacote SYN diz a máquina de destino que quer fazer
uma conexão em uma determinada porta especificada, e em seguida, enviar os dados . Quando a máquina de destino ler o pacote SYN, ele responde
o host original com um pacote SYN própria e um ACK (reconhecimento ) de pacotes com números de seqüência e ACK. Estes SEQ
e os números de ACK são usados para sincronizar a transferência de dados, meter um ou dois pacotes fica perdido ou retardado ao longo de sua
rota, que pode ser montada novamente na ordem correta . A máquina orignal responde novamente com um outro pacote SYN ACK
combinação de reconhecer os números de seqüência e , em seguida, ele começa a enviar dados. Quando se cria essa ligação de uma pequena
pedaço de memória é alocada para manter a conexão , enquanto os pacotes estão em rota. Agora, um SYN / ACK ataque consistiria
spoofing do endereço IP de origem no pacote SYN inicial. O destino recebe a solicitação de uma conexão , lê o
fonte spoofed IP e tenta enviar o seu próprio SYN e ACK para um destino que não existe. A maioria dos sistemas operacionais
continuará a enviar pacotes SYN / ACK , se não receber uma resposta como método de correção de erros e garantiu dados
entrega. Assim como no ataque ICMP da máquina tem que esperar alguns milisegundos antes de abandonar toda a esperança de chegar
a máquina. Portanto, estes pequenos espaços de memória alocado a construir -se com todos os pacotes falsificados que chegam ao destino.
Este ataque é muito poderoso e pode desativar um serviço em execução na máquina de destino em questão de minutos. Já para não falar
toda a banda disponível é consumida com milhares e milhares de pacotes falsos . Portanto, não há o SYN / ACK em um ataque
breve descrição.
zombie [ máquina ] -> pacotes SYN ( IP de origem 1.1.1.1 , porta telnet = 23 ) (seq = 100) -> [ meta ]
[??????????????] <- SYN / ACK pacotes enviados (seq = 300) (ACK = 101) <- ] [ alvo
Como você pode ver a partir do simples desenho acima na máquina de destino não tem idéia de quem está enviando os pacotes SYN e telnet
servidor que está executando na porta 23 iria falhar mais provável. Na melhor das hipóteses o daemon telnet não permitiria que qualquer outro legítimo
tráfego através , como não poderia reunir recursos suficientes (memória, largura de banda) para fazer a conexão devido a todos os falsificados
pacotes.
Outro uso deste ataque é para desconectar um usuário da sua sessão atual TCP . Por falsificação de pacotes SYN / ACK para um servidor
um cliente está usando atualmente. Um invasor poderia colocar um " flag FIN " nos pacotes , diz ao servidor o cliente é feito
envio dos dados. Cliente usa a sua conexão e atacante vai embora sem serem detectados, porque só tomou um pacote para realizar
isso.
ataque UDP
UDP é um protocolo que é usado para transferência de dados. Curto para o User Datagram Protocol . UDP oferece correção de erro muito pequena
e é usado como um meio alternativo para transferência de dados . Ele não exige que o handshake de 3 vias , como o método SYN / ACK ,
assim o seu ataque inicial não pode derrubar um servidor remoto , o mais rapidamente . UDP é geralmente usado para transmitir mensagens através de uma
rede. Um ataque UDP seria composto por falsificação de endereços IP de origem e especificar um número de porta como no ataque SYN
supra. Os pacotes UDP são geralmente grandes , porque eles são geralmente usados em closed 100mb sub-redes ( LANs). Então, seria um ataque conjunto
bandeiras nos pacotes e fragmentar-los (quebra -los e pavilhão onde no pacote que quebrou, assim que podem ser remontados
no fim de recepção ). Por exemplo, no Windows 2000, houve um DOS remoto UDP explorar que utilizaram o serviço IKE em execução
porta 500 . Todos um atacante tinha a fazer era ligar a porta 500 na máquina ao acaso, com que abrir a porta . Iniciar o envio maciço
pacotes UDP ( acima de 500 bytes) para que o serviço eo uso da CPU teria atingido 99% ea máquina trava . O típico
portas que aceitar pacotes UDP são 7, 13, 19 e 37 em uma caixa de Windows.
ataque de DNS
O DNS é um ataque especial. Não é tão facilmente trabalhada como os outros, lá arent que muitas ferramentas disponíveis para o
script kiddie médio para a construção de um tal ataque. O protocolo DNS é utilizado para a resolução de nomes, 216.239.35.100 google.com =
simples como isso ? Bem, não realmente. Um ataque de DNS é baseado no fato de que uma consulta DNS tem poucos dados e largura de banda
criar, mas uma resposta de DNS é muito maior. Assim isto é como um ataque de DNS pareceria.
10.10.10.10 = vítimas IP
[ dns pacote de consulta (que é google.com )] - > Fonte IP é 10.10.10.10 -] > servidor dns [
dns server [ ] -> -> - > [ dns resposta ] [ dns resposta ] [ dns ] Resposta - ]> [ vítima
Como você pode ver o tipo de ataque é transmitida de um servidor DNS legítimos. Embora os pacotes de resposta DNS são « legítimas »
há uma inundação maciça deles porque o servidor DNS que está enviando é uma máquina muito boa muito boa
conexão. O usuário final , provavelmente um PC em casa, fica alagada com esses enormes pacotes de resposta DNS que nunca pediu.
ataque ARP
O ataque de arp é especial , ele pode ser usado para ' seqüestrar 'a conexão TCP actualmente em sessão ou ele pode ser usado para
sniff o tráfego legítimo em um outro fio , então o seu próprio. Que é uma coisa muito perigosa no mundo da informação que
vivemos hoje. Existem alguns métodos de ataque. Vamos dizer que pessoa1 , atacante, e do servidor estão todos na mesma sub-rede .
Person1 servidor e , actualmente, uma sessão de FTP aberto. Atacante envia o servidor e pessoa1 um pacote ARP contendo um
endereço MAC inválido. Agora, tanto de suas tabelas ARP estão bagunçados pelo menos durante 30 segundos. Server e não consigo achar que pessoa1
endereço MAC inválido para que envie seus dados para o seu IP associado com o atacante. Portanto, neste caso o invasor tem um
sniffer instalação e hes coletar uma tonelada de dados. Agora, o atacante ( um avançado em que ) pode emitir comandos como a pessoa1
o servidor. Este ataque leva tempo e habilidade para tirar na internet, mas em uma LAN é muito fácil . Ele apenas permite a
talvez 30 ou mais segundos de sniffing, até à sua tabela ARP é construído corretamente novamente.
ataque DRDOS
Um ataque DRDOS usa um pouco de outros ataques para infligir danos. Este ataque spoofs o endereço IP de origem dos pacotes SYN
para o IP da vítima. Ela exige um terceiro. Esta é a parte do ataque que o torna tão fácil. Tudo que precisa é
alguns ftp, servidor web , telnet .. Qualquer serviço que irá responder com um pacote ACK, em qualquer lugar na internet. Poderia ser angelfires
servidores de FTP gratuito, pode ser o seu servidor web vizinhos correndo seu compaq 233mhz com IIS 4.0. Não importa ! O SYN
pacotes são enviados para que os serviços de endereço IP e , claro, responder com um fluxo contínuo de pacotes SYN / ACK para a vítima.
O mais provável é dirigida para uma porta aberta na máquina das vítimas , deixando de funcionar esse serviço e do sistema. Estes ataques são
quase impossível de rastrear . Este ataque é muito possivelmente o mais forte ataque DOS , na minha opinião . Para todos os pacotes SYN
enviar o homem médio , ele envia até 4 combinações SYN / ACK para a vítima. E cada vez que a vítima não responde
o homem médio emite mais ( correção de erros ). Isso permite que o invasor contruct um ataque maciço a partir de apenas um
máquina com uma conexão de banda larga . Há mais perigos para o ataque , bem , existem centenas de milhares de FTP,
webservers e muitos mais serviços em execução na rede hoje que irá desviar estes pacotes SYN / ACK na vítima. Assim, em
teoria, este ataque pode usar qualquer número de "homem médio " servidores de bombardear a rede com pacotes.
__________________________________________________ ________________________
Autor: Anonymo.
Bom pessoa e iso aé já que não posso contribuir com fazendo um tuto da minha autoria por não ter conhecimento suficiente busco na red coisas que possa servi para todos nos
(Campanha não seja um PARASITA, se não poder contribuir de uma forma contribua de outra mas contribua.) Se gostaram da um Obrigado aé ¬_¬
abração
Comment