Хакер №024. Спецвыпуск
ПУТЕВОДИТЕЛЬ
Спецвыпуск Xakep, номер #024, стр. 024-066-4
Так вот, многие файрволы фильтруют в основном SYN пакеты. Дело в том, что для установления TCP/IP соединения станции должны пройти через процесс тройного рукопожатия и обменяться SYN пакетами. SYN - от слова synchronization, то есть две станции пытаются синхронизоваться (договориться о передачи данных друг другу). После того, как соединение установлено, пакетам присваивается статус ACK - от слова acknowledge. То есть после процесса синхронизации TCP/IP - соединение считается известным (acknowledge). Так думает файрвол, пропуская ACK TCP пакеты. Ведь если мы все проверили на стадии соединения (SYN), то логично предположить, что после того как соединение установлено, пакеты (ACK) идут правильные. Если файрвол начнет проверять ВСЕ пакеты идущие через него, то он надорвется. То есть нужен очень мощный компьютер, который бы проверял бы все пакеты.
Все, что остается хакеру, это научить своих злобных программных роботов устанавливать TCP/IP соединение без использования пакетов SYN, а пользуясь только ACK. Вот и получается, что такие пакеты свободно проходят через большинство файрволов.
На этом сайте можно прочитать более подробно о таких туннелях и качнуть пример трояна с этой технологией http://ntsecurity.nu/papers/acktunneling/
На русском (перевод): http://hack.com.ua/article.php?story=20020131004352991&mode=print
КАК ФАЙРВОЛЫ СПАСАЮТ ОТ ТРОЯНОВ
Многие умники ставят себе домашние файрволы и считают себя полностью защищенными от Троянских коней. А теперь давай вместе посмеемся над ними, представив представив себе Троянца с механизмом туннелирования. Собственно представлять его не надо, посколько таких написано в изобилии.
TCP/IP over X.25
И смех и грех. Некоторые считают, что поставить файрвол недостаточно. Необходимо сделать сами сети защищенными, по защищенному стандарту. Отчасти поэтому банковские сети построены по более надежной технологии X.25, не совместимой с TCP/IP.
Но и тут спасает туннелирование. Используя технологию TCP/IP over X.25 многие хакеры сидят на халяву в интернете через банковские сети. Для этого они звонят на модемные пулы сети X.25 предназначенные для банкоматов, и удаленных банковских отделений. Такие пулы есть практически во всем мире. Используя простенький софт можно иметь конечно тормозной, но надежный доступ в интернет. Не удивительно, что часто банкоматы не могут дозвониться на свои пулы X.25, ведь хакеры сидят в инете именно через них.
Подробнее о переоборудовании банковских сетей под халявный хакерский инет можно узнать на сайте http://ahtuxpuct.fromru.com/free/free.htm.
ПИРСИНГ ФАЙРВОЛА
Пользователи, которые имеют логин на сервере с файрволом могут проложить туннель через терминалы. Для этого необходим простой софт, который позволит копировать TCP/IP трафик в терминал. Необходимо два терминала, один открытый в сеть интернет, другой в сеть пользователя. Копирование данных между этими терминалами легко осуществимо.
Назад на стр. 024-066-3 Содержание Вперед на стр. 024-066-5
