http://razor.bindview.com/tools/ (http://razor.bindview.com/tools/)
Deve ser executado com permissão root
Ferramenta para Unix.
Despoof é uma ferramenta que tenta desvendar se o endereço IP de pacotes suspeitosos recebidos são realmente legítimos ou não. A Idea é bem simples. Quando o pacote que voce ou ferramenta IDS recebe é determinado como suspeito de ter endereço IP spoofed, o Despoof tenta determinar o TTL real do IP da source contido no Pacote para comparar com o TTL do Pacote recebido.
Como funciona o TTL
Quando um pacote IP é enviado para seu destino, ele é assinalado com um valor Time To Live (TTL). Este valor TTL passa a ser desincrementado de (1) a cada roteador "hop" por onde o pacote passar. Se acaso o numero TTL chegar no zero ele automaticamente será descartado pelo roteador. Assim prevenindo que os pacotes fiquem perdidos e em loops nos roteadores causando congestionamento e consumindo bandwidth.
Na maioria da implementações esse valor TTL começa com um valor alto, e que durante a trajetória entre a fonte e o destino do pacote o mesmo sofre desincrementação deste valor. Então para se checar se o pacote realmente tem um endereço de IP spoofed, a ferramenta Despoof envia um pacote para o endereço IP da fonte para checar o valor do TTL. Este valor de TTL é o valor legitimo entre a fonte e o destinatário. Quando comparado com o TTL do pacote recebido da para se ter uma Idéia se o IP da fonte foi spooffed ou não. Isto se deve porque quando se falsifica o endereço IP a trajetória do pacote é quase certamente diferente.
a ferramenta eh um software livre pyro? pra qm nao sabe (software livre = codigo fonte aberto nao necessariamente gratis)
pq se for de codigo fechado duvido alguem rodar essa coisa ai como root =P
Gostaria de incrementar um pouco.
Esse campo fica no cabeçalho do pacote TCP, e os pacotes UDP não possuem esse campo (E os ICMPs eu acho que também não), por isso os UDPs são ótimos para se fazer ataques em que o pacote fica em loop, pois ele não "morre". ;D
HadeS