Big Brother ви наблюдава, сякаш пускат MAC подмяната в LAN
Днес ще говорим с вас по темата за местния хак. Как се прави това, вероятно вече знаете или по-скоро сте чували, но не смеете да опитате. И го направиха правилно! Защо? Точно за това ще говоря в тази статия. Знаете ли, дори преди да стана администратор и да започна да се карам с вас, аз просто се подигравах на братята си в мрежата. Това, което направих? 😉
Е, опция номер едно!
FTP сървърите са много често срещани в мрежата. познайте? Не, не е правилно! Аз написах мини прокси в Delphi и промених иконата на приложението на обикновена икона на папка, нарекох приложението „XXX.exe“ и го качих на моя FTP. Ефектът беше невероятен! Огромен брой IP-шников падна върху сапуна, на който беше инсталиран моят прокси. Да, аз самият не очаквах, че ще работи, но ... След това прецаках mini FTP към този случай и на порт 21 имах техните логически устройства на мое разположение.
Номер на опцията!
Социално инженерство скали! Огромен брой от хора, които не знаят какво е Remote Administrator, се влюбиха в идеята за тази поддръжка. Веднага щом видях някой да иска помощ в местния IRC... Не е нужно да ми казвате повече, можете да го направите сами.
А сега вариант номер 3. Той е последният и най-важен.
След като анализирах резултатите от последната статия (Ние се прикриваме или как да не плащаме пари на администратора за допълнителен компютър в LAN), стигнах до извода, че днес най-належащият проблем за вас е подмяната на MAC. Вие сами знаете как да направите това, но ако стрелят , ще бъде лошо. Да, няма ги! Как ще горят!
За обратното, RARP (Reverse ARP) е точно това, от което се нуждаете - Reverse ARP. Имате нужда от него, познахте, за да определите IP по известния MAC. Историческиприложение - бездискови терминали, където не е възможно да се съхраняват конфигурационни файлове.
За какво, по дяволите, става дума?
О… 😉 Добър въпрос. Е, нека започнем с най-интересното. Знаете ли каква е разликата между хъб и комутатор? За тези, които все още не знаят: хъбът изпраща входящ пакет до всички портове, с изключение на този, от който е дошъл този пакет. Switch е по-интелигентно нещо, може да запомни MAC-порт в специална таблица на съответствие. По този начин намалява натоварването на мрежата и не позволява на нас, езичниците, да надушваме трафика. Нищо ... Каквото и да е, винаги можем да се справим с атаки a la ARP-spoofing, ARP-poisoning (списанието вече е писало за тях много пъти, така че няма да се повтарям). Има и такова нещо като заместване на MAC. Нека се спрем на него по-подробно. Запалените мрежи отдавна знаят, че администраторът винаги е наясно кой променя MAC. Как? И сега ще ти кажа.
Как го правят администраторите
Добре дошли в ада, другари...
Не искам да ви плаша, но ако мислите, че администраторът е глупак (съжалявам, не искаше), че не може да напише този софтуер или няма пари да наема програмисти (в което много се съмнявам), тогава грешите. И ето го доказателството за вас. Стандартният tcpdump снифър може да изхвърли целия ARP трафик във файл, който ще бъде обработен от прост perl скрипт (всички администратори знаят този език). Данните ще летят в мускула (mysql) и ще бъде извършен прост анализ, който беше споменат по-горе ... Както можете да видите, не е нужно да се напрягате твърде много, за да ви изчисли. Има и мазохисти, които са готови да свържат всеки MAC в сегмента към конкретен интерфейс на програмируем превключвател. Тогава всичките ви опити да смените MAS просто ще отидат на вятъра и дори ще ви ударят по главата.
Както научихте, ARP е необходим не само за мръсни трикове, нои да хване лошите. Освен това може да се използва като средство за подобряване на сигурността на вашия компютър. как?
1. Изключвате приемането на заявки за излъчване и като цяло всеки отговор на ARP (това е много просто реализирано в * nix, но не знам за Windows, нямаше нужда по някакъв начин ...).
2. Изчистете ARP таблицата и кеша (това вече е приемливо навсякъде).
3. Регистрирате в ARP таблицата само онези MAC, които имат разрешение да комуникират с вас по мрежата (в рамките на сегмента, разбира се, защото никой не се нуждае от тях повече).
Това ще попречи на вашия компютър да отговаря на пакети от нерегистрирани потребители. Удобен. Не е ли?