IP spoofing.

[Anonymous]

O IP spoofing consiste na troca do IP original por um outro, podendo assim se passar por um outro host.

Através de IP Spoofing um intruso pode se aproveitar de hosts confiáveis armazenados no arquivo .rhosts, e entrar em máquinas via rlogin, por exemplo, onde não é exigido senha.

O famoso ataque de Kevin Mitnick à rede particular de Tsutomo Shimomura, um especialista em segurança de sistemas, em dezembro de 1994, foi baseado no ataque descrito acima. Mitnick, além da rede de Shimomura, através de um modem e celular, invadiu diversos outros sistemas, como universidades, empresas e órgãos públicos.

Existe também o chamado Host Name Spoofing, mais fácil de implementar que o IP Spoofing, que é quando um DNS retorna um nome falso para um dado IP. Pode ser utilizado para atacar alguns sistemas que possuem serviços baseados em autenticação pelo nome do host.

[slul]

muito legal pyro realmente o top do ip spoofing foi em 1994 qdo o kevin invadiu
Tsutomu Shimomura que como vcs podem comprovar tem moh jeitinho de ...




se a foto acima nao apareceu:

http://www.wbglinks.net/pages/history/s ... sutomu.jpg

esse eh o link


inteh!

[Anonymous]

IP Spoofing deveria ser foda naquela época mesmo, eu fico abismado com as técnicas do Kevin Mitnick, o cara era muito foda mesmo.

[HadeS]

Outro arquivo interessante de se fuçar, além do .rhosts, é o /etc/hosts.allow.

Em ambos você adiciona seu IP, e tem acesso total a máquina.

Vcoê também pode adicionar um "++" (Sem aspas), que vai aceitar conexões de qualquer lugar.

PyrMaker: Dica pra você, tente postar além de uma explicação sobre o assunto, tente dar exemplos mais técnicos, vá mais a fundo no assunto, ensine técnicas. Vá além da descrição, seus posts vão subir MUITO de nível.

HadeS

[Anonymous]

Amigo quando vc copiar os textos de algum lugar coloca a fonte....... 


http://penta.ufrgs.br/gere96/segur/ipspoof.htm

[Anonymous]

Pra começar não tirei o texto daí.
E antes de criticar dá uma olhada nesse tópico aqui: http://www.darkers.com.br/smf/index.php ... 836.0.html

[Anonymous]

hahhahahah alem de tudo ainda era zarolho  ;D
kevin era foda msm mas pra mim a melhor arma del era a seing msm

[Cloudy]

UP!

...by Cloudy

[Shady]

Com certeza vale a pena falar nisso. Pra quem nunca ouviu falar, tá aí. É hacking avançado.

 Hmmm... agora pensando. O que acontece se eu criar um programa com sockets que especificam um IP de origem falso? Claro, eu sei que a conexão não se estabeleceria, mas pense só em requests UDP ou mesmo em Smurfs.

 Cloudy, tá afim de fazer uns testes?

[Cloudy]

Claro, vamos testar!

Mas os IPs falsos que fala são IPs não existentes ou IPs que existem? Se forem IPs existentes dá pra conseguir uma conexão sim, dependendo da segurança dos sistemas.

Mas explica melhor ai Shady!

...by Cloudy

[Shady]

Acho que as duas coisas podem acontecer. A gente fica desatualizado e dá nisso, né...

 Mas pensa assim. Quando você programa um socket, você tem que especificar o IP de origem, o protocolo, a porta local que será usada, a porta remota e o IP remoto.

 Se você especificar o IP de origem como 02193810927, o IP remoto ainda vai receber o request (pensando no 3 way handshake), só não vai conseguir responder.

 Isso é inútil quando a gente pensa em programas que usam conexões, mas pode funcionar, por exemplo, num DDoS.

 Lembra de ataques tipo Smurf? O atacante envia inúmeros pacotes requisitando respostas, mas envia como IP de origem o próprio IP da vítima. O sistema dela, então fica respondendo a si mesma infinitamente, entrando em loop.

 Será que a gente não consegue fazer funcionar um socket com IP de origem inválido?


 
*só pra você ver o código de um socket em perl:

Code Select Expand

  my $socketenviar = new IO::Socket::INET (
  PeerAddr => [ip remoto],
  PeerPort => [porta no sistema remoto],
  Proto => 'tcp',
  );

 my $socketreceber = new IO::Socket::INET(
Proto => 'tcp',
LocalAddr => [AQUI!!!!!!],
LocalPort => '90',
Reuse => 1
);
 $socketreceber->listen();
 $socketreceber->autoflush(1);



 Pensa só:

Code Select Expand

LocalAddr => '000.000.000',


 O único motivo que eu vejo pra isso não funcionar é se a determinação do IP a máquina que inicia o socket (no caso, nós) não depender desse parâmetro (não depender do nosso script). Mas acho que não, senão por que iam colocar isso como sendo necessário??

[Cloudy]

Mas colocar um IP 000.000.000.000 não vai dar em nada, a máquina que receber o pacote vai tentar responder e só.

Ainda não entendi aonde quer chegar.

...by Cloudy

[Shady]

Bom. Você sabe como funciona um ataque smurf:

 atacante envia pacotes que requisitam resposta e se identifica como localhost

 a vítima, ao responder, responde para "localhost", que é ela mesma. Nenhuma conexão é estabelecida, mas ocorre o DoS.


 Outra coisa. Pacotes UDP não necessitam de conexão. Eles são instruções que independem de um 3 way handshake, portanto não se precisaria do IP real.

[Cloudy]

Sim, sim. Mas o que você quer exatamente? Fazer um Smurf em si ou um DoS com um IP falso só para não recebermos respostas?

Alguém sabe me dizer se o firewall do Windows tem proteção contra Smurf? Eu acredito que a maioria dos firewalls atualmente tenha proteção, isso se o próprio SO não tiver. Mas podemos testar sim Shady!

...by Cloudy

[Shady]

Se eu não me engano, o sp2 funciona como qualquer outro filtro de pacotes com relação a requests externos. Mas mesmo assim seria interessante testar pra ver o que acontece. Isso dando certo, mesmo tendo que desabilitar o fw vai ser pelo menos divertido. Fora isso, a gente com certeza vai aprender alguma coisa nova.


 * eu ainda acho que pode dar certo se a gente tentar com vários protocolos e portas.