http-pyyntö, source address

tietty jos olet samassa lähiverkossa ja onnistut spooffaamaan itsesi vaikka "uhrin" default gatewayksi, niin sitten se onnistuu.

Tämän voi tehdä arp poisoningilla.

voit huijata olevasi "uhrin" kone ja kun olet default gateway, niin voit tiputtaa sen "uhrin" lähettämät paketit.

keksa kirjoitti:

tietty jos olet samassa lähiverkossa ja onnistut spooffaamaan itsesi vaikka "uhrin" default gatewayksi, niin sitten se onnistuu.

Tämän voi tehdä arp poisoningilla.

voit huijata olevasi "uhrin" kone ja kun olet default gateway, niin voit tiputtaa sen "uhrin" lähettämät paketit.

Lue lisää

Ei tarvitse saada yhtään paluupakettia takaisin. Mitään kuittauksia ei tarvita. Riittää, että pystyy lähettämään yhden ip-framen kohteeseen.

alkup. kirjoitti:

Ei tarvitse saada yhtään paluupakettia takaisin. Mitään kuittauksia ei tarvita. Riittää, että pystyy lähettämään yhden ip-framen kohteeseen.

koska jo tcp-yhteyden muodostus vaatii useamman paketin.

Jos paketin haluaa haluaa Javalla lähettää, niin JNI-rajapinnan kautta kutsuu jotain natiivia dll-kirjastoa, jolla voi luoda paketteja.

http://forge.happypacket.com/

keksa kirjoitti:

koska jo tcp-yhteyden muodostus vaatii useamman paketin.

Jos paketin haluaa haluaa Javalla lähettää, niin JNI-rajapinnan kautta kutsuu jotain natiivia dll-kirjastoa, jolla voi luoda paketteja.

http://forge.happypacket.com/

Lue lisää

http://3d2f.com/programs/16-429-packet-sniffer-sdk-for-windows-dll-download.shtml

"Ainoa käytännön tarkoitus tollaselle on ddossittaminen. Hanki elämä."

tai sitten ei.

Toinen mahdollinen käyttötarkoitus:

Haluat jakaa tiedostoa "tulenarkaa.zip"

Et kuitenkaan halua, että kukaan pystyy selvittämää, KUKA tuota tiedostoa jakaa.

Niinpä jaat tiedoston niin pieniin palasiin, että yhden palasen VOI lähettää UDP -pakettina, ja niin, että koko on tarpeeksi pieni, jotta fragmentoitumista verkossa ei tapahdu.

Lähetät halukkaan vastaanottajan IP -osiotteella (ja vastaanottajan ilmoittamaan porttinumeroon) UDP -paketin yhden toissensa jälkeen, ja lähettäjäosoitteeksi väärennetty vaikkapa 0.0.0.0 tai miksei vaikkpa 127.0.0.197

Vastaanottaja saa paketit, mutta ei pysty selvittämään, kuka ne lähetti.

Tämä tietenkin edellyttää, että vastaanottaja kirjoitaisi vaikkapa tänne että:

Lähettäkää IP-osoitteeseen 127.0.0.1 porttiin 65123 1024 tavun UDP -paketteina tiedosto "tulenarkaa.zip", toki viimeinen paketti voi olla < 1024 tavua, jos tiedoston tavumäärä ei ole jaollinen 1024:llä.

Voisi vielä vaikka lähettää paketteja, joissa 1024 ensimmäistä tavua on lohko em. tiedostosta, ja lopuksi 4 tavua joka ilmaisee offsetin tiedoston alusta (unsigned).

Näin, jos joku paketti hukkuu matkalla, vastaanottaja voi vielä infota samalla tavalla, että:

Lähetä uudelleen paketti, jonka offset = 8192.

Saas nähdä, koska esim. P2P -ohjelmiin tulee tuki tällaiseen.

Aloittelijat toki onnistuvat möhlimään tämänkin niin, että hämäävät väärennetyllä lähettäjäosoitteellaan vain omaa NAT -laitepalomuurireititintään, joka laittaa pakettiin tilalle nätisti oman julkisen IP -osoitteen, jolloin oma palomuuri on ainoa, jota tässä huijattaisiin.

Kokeneempi toki jo tietääkin, että moiset väärennetyt paketit pitää lähettää koneelta, joka on kytketty suoraan nettiin ilman NAT -palomuuria.

Varsinkin windows -koneilla tästä taas voi aiheutua tietoturvariskejä.

anonyymilähetysvinkkaaja kirjoitti:

"Ainoa käytännön tarkoitus tollaselle on ddossittaminen. Hanki elämä."

tai sitten ei.

Toinen mahdollinen käyttötarkoitus:

Haluat jakaa tiedostoa "tulenarkaa.zip"

Et kuitenkaan halua, että kukaan pystyy selvittämää, KUKA tuota tiedostoa jakaa.

Niinpä jaat tiedoston niin pieniin palasiin, että yhden palasen VOI lähettää UDP -pakettina, ja niin, että koko on tarpeeksi pieni, jotta fragmentoitumista verkossa ei tapahdu.

Lähetät halukkaan vastaanottajan IP -osiotteella (ja vastaanottajan ilmoittamaan porttinumeroon) UDP -paketin yhden toissensa jälkeen, ja lähettäjäosoitteeksi väärennetty vaikkapa 0.0.0.0 tai miksei vaikkpa 127.0.0.197

Vastaanottaja saa paketit, mutta ei pysty selvittämään, kuka ne lähetti.

Tämä tietenkin edellyttää, että vastaanottaja kirjoitaisi vaikkapa tänne että:

Lähettäkää IP-osoitteeseen 127.0.0.1 porttiin 65123 1024 tavun UDP -paketteina tiedosto "tulenarkaa.zip", toki viimeinen paketti voi olla < 1024 tavua, jos tiedoston tavumäärä ei ole jaollinen 1024:llä.

Voisi vielä vaikka lähettää paketteja, joissa 1024 ensimmäistä tavua on lohko em. tiedostosta, ja lopuksi 4 tavua joka ilmaisee offsetin tiedoston alusta (unsigned).

Näin, jos joku paketti hukkuu matkalla, vastaanottaja voi vielä infota samalla tavalla, että:

Lähetä uudelleen paketti, jonka offset = 8192.

Saas nähdä, koska esim. P2P -ohjelmiin tulee tuki tällaiseen.

Aloittelijat toki onnistuvat möhlimään tämänkin niin, että hämäävät väärennetyllä lähettäjäosoitteellaan vain omaa NAT -laitepalomuurireititintään, joka laittaa pakettiin tilalle nätisti oman julkisen IP -osoitteen, jolloin oma palomuuri on ainoa, jota tässä huijattaisiin.

Kokeneempi toki jo tietääkin, että moiset väärennetyt paketit pitää lähettää koneelta, joka on kytketty suoraan nettiin ilman NAT -palomuuria.

Varsinkin windows -koneilla tästä taas voi aiheutua tietoturvariskejä.

Lue lisää

a) lähettäjän ip väärennetty -> paketit reitittyvät perseelleen

b) esim suomalaisista verkoista ei voi lähettää väärennetyllä lähettäjäosoitteella. Tämä käytäntö myös hyvin hyvin monilla ulkomaalaisilla palveluntarjoajilla.

c) katso a) ja b) kun ihmettelet miksei kukaan laita tätä P2P softaan.

d) vaikka "korjauspakettien" ip asetettaisiin käsin on esimerkiksi netflowsta helposti huomattavissa mikä on pakettistreamin alkuperäinen lähde.

ja vielä: "kokeneempi" olisi oikeasti jo tiennyt kohdat a) ja b)