crypt77
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Цитата:| Ясно, вся хитрость в том чтобы файервол не разрешал посылать RST на SYN+ACK с закрытого порта... |
совсем не в этом.
Цитата:| А если сканируют открытый файером порт то ни один файер не поможет |
насколько ты понимаешь при Idle сканировании злоумышленник не посылает не одного пакета жертве от своего имени, а посылает их от имени зомби, и настройки тут ни причём. это сканирование можно использовать для двух целей.
1. сканирование портов через подставное лицо (зомби можно выбрать из trusted зоны для жертвы)
2. для определения настроек файера между зомби и жертвой.
Цитата:| Кстати, с номерами пакетов тоже неувязка, имхо. Если на зомби бежит даже маленький трафик, номера не совпадут, так как убегут далеко вперед. |
здесь всё нормально. естественно есть некоторые ограничения на трафик зомби.
величина этого трафика напрямую зависит от ширины канала. чем шире канал, тем больше допустимый трафик. попытки делаются несколько раз за максимально короткое время, после этого смотрят на совпадение результатов. на практике всё прекрасно работает, лично проверял.
Цитата:| И что-то я такое читал, что эти номера не последовательны, начиная вроде с Вин 2к |
тут позволь с тобой не согласиться. даже если номера не последовательны, то обычно известен алгоритм. соответственно можно предсказать какой номер будет следующим и какой будет через n пакетов.
пример:
1. win2k
[root@crypt hping2]# ./hping2 xxx
HPING xxx (eth0 192.168.1.3): NO FLAGS are set, 40 headers + 0 data bytes
len=46 ip=192.168.1.3 ttl=128 id=47472 sport=0 flags=RA seq=0 win=0 rtt=0.3 ms
len=46 ip=192.168.1.3 ttl=128 id=47474 sport=0 flags=RA seq=1 win=0 rtt=0.4 ms
len=46 ip=192.168.1.3 ttl=128 id=47476 sport=0 flags=RA seq=2 win=0 rtt=0.3 ms
len=46 ip=192.168.1.3 ttl=128 id=47478 sport=0 flags=RA seq=3 win=0 rtt=0.3 ms
len=46 ip=192.168.1.3 ttl=128 id=47480 sport=0 flags=RA seq=4 win=0 rtt=0.3 ms
len=46 ip=192.168.1.3 ttl=128 id=47482 sport=0 flags=RA seq=5 win=0 rtt=0.3 ms
len=46 ip=192.168.1.3 ttl=128 id=47484 sport=0 flags=RA seq=6 win=0 rtt=0.3 ms
2. win2k + JPF (Allow All)
[root@crypt hping2]# ./hping2 yyy
HPING yyy (eth0 192.168.1.4): NO FLAGS are set, 40 headers + 0 data bytes
len=46 ip=192.168.1.4 ttl=128 id=19698 sport=0 flags=RA seq=0 win=0 rtt=0.3 ms
len=46 ip=192.168.1.4 ttl=128 id=58895 sport=0 flags=RA seq=1 win=0 rtt=0.3 ms
len=46 ip=192.168.1.4 ttl=128 id=3718 sport=0 flags=RA seq=2 win=0 rtt=0.3 ms
len=46 ip=192.168.1.4 ttl=128 id=38991 sport=0 flags=RA seq=3 win=0 rtt=0.3 ms
len=46 ip=192.168.1.4 ttl=128 id=14601 sport=0 flags=RA seq=4 win=0 rtt=0.5 ms
len=46 ip=192.168.1.4 ttl=128 id=59343 sport=0 flags=RA seq=5 win=0 rtt=0.3 ms
len=46 ip=192.168.1.4 ttl=128 id=55111 sport=0 flags=RA seq=6 win=0 rtt=0.3 ms
как видишь JPF модифицирует пакеты на предмет ID.
Кстати с помощью этого типа сканирования можно легко просканировать снаружи машины корорые имеют приватные адреса и находятся за гейтом. |
Всего записей: 158 | Зарегистр. 10-08-2004 | Отправлено: 13:12 02-09-2004 | Исправлено: crypt77, 13:17 02-09-2004 |
|
. Измеряющая программка Du Meter...
