IMHO.WS - Показать сообщение отдельно

R!xon · 06.01.2004, 04:31

вот чо прочел на securitylab форуме:

Вот почитал я на досуге, что такое syn_cookie, а то везде пишут типа того, мол он не бросает связь а отсылает обратно пакет, и если не получает ответа, то тогда уже обрывает связь. А смысл такой. Что при отключённом syn_cookie, он при каждом приёме SYN, если порт открыт, создаёт TCB (Transmission Control Block). И отправляет пакет ACK, с ISN (Initial Sequence Number - начальный номер последовательности).А на это тратятся ресурсы. А при syn_cookie, он отправляет обратно пакет ISN, не случайным, а получаемым с помощью величины случайной(ну может и не совсем), функции MD5 от своего ключа, удалённого IP-адреса, протокола, порта (ну может что лишнее я написал, или не дописал). Ну так вот, и не создаёт никаких TCB. А если пакет придёт назад, то он сможет проверить его ISN, ведь у него ключ есть секретный. Если ISN правильный, то он создаёт TCB. Потому, что возвращение провильного ISN, означает, что ответ не сфабрикованный, а его действительно получил клиент. При конфигурировании ядра этот параметр по умолчанию отключён (MD5 ведь надо посчитать ешё, время потратить, ресурсы проца). Причём не просто отключён, а написано, включайте, если вы чуствуете, что на вас могут провести атаку.
Ещё, я перечитал главу из книги "Атака через интернет". Про атаку hijacking. Которую провёл Кевин Митник против компьютера Цутому Симомуры. Смысл был такой, что у компа симомуры была запущена служба rsh. И был доверенный хост (т.е команды с определённого IP выполнялись безоговорочно). Ну так вот, он конектился к компу Симомуры, определяя закон изменения ISN. Он был вполне конкретный, он изменялся со временем. Потом он за SYN-флудил другой комп Симомуры, с IP, которому доверяли. Чтобы тот не ответил пакетом с флагом RST (мол, что я не пытался соединится, какой SYN,ACK к чёрту?! Вот вам RST, на ваш SYN,ACK).
Затем он послал на комп Симомуры, на котором был запущен rshd, пакет SYN, и ответил на SYN,ACK (который он естественно в реальности не получил, он пошёл к настоящему компу, которому доверяли), а ответил он потому, что знал закон изменения ISN, и установил связь с компом, на котором запущен rsh, заместо компа, на которому доверяли. И таким образом мог выполнять произвольные комманды. Мой анализ показал(и их в книге), что и сейсас, ISN, изменяется далеко не случайно, и сейчас возможна такая атака с отключённым syn_cookie.

06.01.2004, 04:31	# 8
R!xon Advanced Member Регистрация: 19.12.2002 Сообщения: 492	вот чо прочел на securitylab форуме: Вот почитал я на досуге, что такое syn_cookie, а то везде пишут типа того, мол он не бросает связь а отсылает обратно пакет, и если не получает ответа, то тогда уже обрывает связь. А смысл такой. Что при отключённом syn_cookie, он при каждом приёме SYN, если порт открыт, создаёт TCB (Transmission Control Block). И отправляет пакет ACK, с ISN (Initial Sequence Number - начальный номер последовательности).А на это тратятся ресурсы. А при syn_cookie, он отправляет обратно пакет ISN, не случайным, а получаемым с помощью величины случайной(ну может и не совсем), функции MD5 от своего ключа, удалённого IP-адреса, протокола, порта (ну может что лишнее я написал, или не дописал). Ну так вот, и не создаёт никаких TCB. А если пакет придёт назад, то он сможет проверить его ISN, ведь у него ключ есть секретный. Если ISN правильный, то он создаёт TCB. Потому, что возвращение провильного ISN, означает, что ответ не сфабрикованный, а его действительно получил клиент. При конфигурировании ядра этот параметр по умолчанию отключён (MD5 ведь надо посчитать ешё, время потратить, ресурсы проца). Причём не просто отключён, а написано, включайте, если вы чуствуете, что на вас могут провести атаку. Ещё, я перечитал главу из книги "Атака через интернет". Про атаку hijacking. Которую провёл Кевин Митник против компьютера Цутому Симомуры. Смысл был такой, что у компа симомуры была запущена служба rsh. И был доверенный хост (т.е команды с определённого IP выполнялись безоговорочно). Ну так вот, он конектился к компу Симомуры, определяя закон изменения ISN. Он был вполне конкретный, он изменялся со временем. Потом он за SYN-флудил другой комп Симомуры, с IP, которому доверяли. Чтобы тот не ответил пакетом с флагом RST (мол, что я не пытался соединится, какой SYN,ACK к чёрту?! Вот вам RST, на ваш SYN,ACK). Затем он послал на комп Симомуры, на котором был запущен rshd, пакет SYN, и ответил на SYN,ACK (который он естественно в реальности не получил, он пошёл к настоящему компу, которому доверяли), а ответил он потому, что знал закон изменения ISN, и установил связь с компом, на котором запущен rsh, заместо компа, на которому доверяли. И таким образом мог выполнять произвольные комманды. Мой анализ показал(и их в книге), что и сейсас, ISN, изменяется далеко не случайно, и сейчас возможна такая атака с отключённым syn_cookie.