Análise passiva (parte 2)
Nesta segunda parte do artigo sobre análise passiva, iremos conhecer técnicas para passar por filtros de pacotes e entender alguns conceitos de pacotes como payload e padrões para transmissão.
[ Hits: 41.680 ]
Por: Anderson L Tamborim em 22/06/2004 | Blog: http://y2h4ck.wordpress.com
7f00 0001 0800 4e26 8407 0001 c3ac dd40Iremos analisar vários pacotes e ver o que ocorre a esta linha:
14:12:08.089911 localhost > localhost: icmp: echo request (DF) (ttl 64, id 0, len 84) 4500 0054 0000 4000 4001 3ca7 7f00 0001 E..T..@.@.<..... 7f00 0001 0800 619c 9d07 000b 68ae dd40 ......a.....h..@ c75e 0100 0809 0a0b 0c0d 0e0f 1011 1213 .^.............. 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223 ............ !"# 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%&'()*+,-./0123 3435 3637 4567 14:12:08.090105 localhost > localhost: icmp: echo reply (ttl 64, id 39567, len 84) 4500 0054 9a8f 0000 4001 e217 7f00 0001 E..T....@....... 7f00 0001 0000 699c 9d07 000b 68ae dd40 ......i.....h..@ c75e 0100 0809 0a0b 0c0d 0e0f 1011 1213 .^.............. 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223 ............ !"# 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%&'()*+,-./0123 3435 3637 4567 ... ( muitas linhas ) 14:12:07.080130 localhost > localhost: icmp: echo reply (ttl 64, id 39566, len 84) 4500 0054 9a8e 0000 4001 e218 7f00 0001 E..T....@....... 7f00 0001 0000 55c4 9d07 000a 67ae dd40 ......U.....g..@ dc37 0100 0809 0a0b 0c0d 0e0f 1011 1213 .7.............. 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223 ............ !"# 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%&'()*+,-./0123 3435 3637Como vimos, apartir da segunda coluna os valores mudam, antes não, isso já pode nos dar um padrão para analisar, vamos ver como ocorre, isso em um tráfego TCP normal:
14:14:50.624177 201.0.11.121.32891 > 192.94.73.21.telnet: P [tcp sum ok] 196:203(7) ack 184 win 5808 <nop,nop,timestamp 570078 6> (DF) [tos 0x10] (ttl 64, id 944, len 59) 4510 003b 03b0 4000 4006 5910 c900 0b79 E..;..@.@.Y....y c05e 4915 807b 0017 a787 ab3e 99fb 7ab0 .^I..{.....>..z. 8018 16b0 984d 0000 0101 080a 0008 b2de .....M.......... 0000 0006 7932 6834 636b 0a ....y2h4ck. 14:14:51.147184 192.94.73.21.telnet > 201.0.11.121.32891: P [tcp sum ok] 193:205(12) ack 203 win 17520 <nop,nop,timestamp 46 570078> [telnet WILL ECHO] [tos 0x10] (ttl 49, id 39061, len 64) 4510 0040 9895 0000 3106 1326 c05e 4915 E..@....1..&.^I. c900 0b79 0017 807b 99fb 7ab9 a787 ab45 ...y...{..z....E 8018 4470 0f3f 0000 0101 080a 0000 002e ..Dp.?.......... 0008 b2de fffb 0150 6173 7377 6f72 643a .......Password: 14:14:55.497348 64.12.24.192.https > 201.0.11.121.filenet-nch: . [tcp sum ok] ack 6 win 16384 (DF) (ttl 104, id 37429, len 40) 4500 0028 9235 4000 6806 5355 400c 18c0 E..(.5@.h.SU@... c900 0b79 01bb 8002 abf8 d80f 5c38 5546 ...y........\8UF 5010 4000 8b4a 0000 P.@..J..Analisem a linha que acabamos de ver nesse caso, viu, elas não permanecem inalteradas, elas vão modificando seu valor juntamente aos outros, então já temos duas conclusões, os Payloads são tratados diferentemente em pacotes com estado e em pacotes ICMP sem estado.
Race condition - vulnerabilidades em suids
Análise Passiva: Analisando seu tráfego de maneira segura
PHLAK :: [P]rofessional [H]acker's [L]inux [A]ssault [K]it
OpenVZ: Virtualização para servidores Linux
PortSentry: Melhorando a segurança do seu Linux
Implementação de NIDS com EasyIDS
Transferindo arquivos de modo seguro entre Windows e Linux
FproxyAdmin - Gerenciador WEB do Proxy
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Instalação Uefi com o instalador clássico do Mageia (0)
É cada coisa que me aparece! - não é só 3% (2)
SysAdmin ou DevOps: Qual curso inicial pra essa área? (1)
Alguma pessoa pode me ajudar com drriver Core i3 7020u (Debian 12)? (2)
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta