ip spoofing

[olly]

"Prima di tutto deve scoprire quale dei tre algoritmi per la generazione del
Sequence Number è in uso sul server che vuole colpire. Per fare ciò manda
qualche pacchetto SYN non spoofato per vedere ed analizzare le risposte del
server. Questi pacchetti di risposta gli permettono di capire con una certa
facilità a quale dei tre algoritmi si trova di fronte.
Per vedere se il server sta usando l'algoritmo che usa la regola dei 64k gli è
sufficiente calcolare la differenza tra 2 pacchetti ricevuti e vedere se il
numero ottenuto è divisibile per 64000.
Per capire se il server stà usando l'algoritmo che usa la regola in base al
tempo dovrà fare dei campionamenti su una serie di pacchetti. Innanzitutto
spedirà una serie di pacchetti SYN e salverà il tempo in cui gli arriva il
pacchetto SYN/ACK di risposta e il relativo Sequence Number. Quindi andrà a
calcolare la differenza tra i vari tempi registrati ottenendo l'intervallo di
tempo trascorso tra due generazioni del Sequence Number. Infine, facendo la
divisione tra il risultato ottenuto e la differenza tra i Sequence Number
corrispondenti ai tempi presi in considerazione otterrà l'incremento per ogni
unità di tempo. Se i risultati di tutti i campionamenti danno un valore simile
si può pensare che il server usi questo algoritmo per generare i Sequence
Number."



Che significa mandare una serie di pacchetti SYN???

Come si possono capire questi oscuri meccanismi su un server??

[makuro]

...Almeno mi sembra si scriva in questo modo... :adhone:
il SYN fa parte del processo con il quale il protocollo TCP stabilisce una connessione tra due entità di rete.
Per saperne di più (è un argomento molto vasto ma non (troppo) complesso) cerca su un motore di ricerca il funzionamento delle connessioni di tipo TCP.
E di là si passerà ad un analizzatore del traffico di rete... ma prima ci vuole un pò di teoria...

Saluti,
Roberto

[olly]

Si grazie, un po' di teoria sono riuscito a farmela, che programmino servirebbe??? Sai vedere il funzionamento "in diretta", sarebbe di grande aiuto.

Ciao.

[Habanero]

la roba relativa al testo che hai postato è piuttosto tosta... prima ti consiglio di studiarti bene il protocollo TCP... se non anltro che problemi risolve e come funziona il three way handshaking...

[olly]

In TCP, per creare una connessione viene usato il protocollo three-way
handshake che funziona, come dice il nome, in tre passi:
1 - Il client spedisce un pacchetto TCP avente il flag SYN impostato, il flag
ACK non impostato e con un valore X del Sequence number
2 - Il server risponde con entrambi i flag SYN e ACK impostati, con il
Sequence number con un valore Y e Acknowledgement number con valore X+1
3 - Il client risponde con il flag ACK impostato, con il Sequence number con
valore X+1 e Acknowledgement number con valore Y+1

SYN=1 ACK=0 SEQ-NUM=X
CLIENT --------------------------------------> SERVER

SYN=1 ACK=1 SEQ-NUM=Y ACK-NUM=X+1
CLIENT <-------------------------------------- SERVER

ACK=1 SEQ-NUM=X+1 ACK-NUM=Y+1
CLIENT --------------------------------------> SERVER

Dopo che la connessione è stata inizializzata si può procedere al trasferimento
dei dati. Nel seguito verrà indicato con pacchetto SYN il primo dei tre, con
SYN/ACK il secondo e con ACK il terzo.

Questo vero??

[makuro]

Ok, in prima analisi ci siamo...magari non guasterebbe conoscere almeno alla lontana la teoria dello stack ip e la differenza tra i protocolli di trasmissione udp e tcp, per non perdersi nell' uso dei programmi di analisi del traffico di rete.
Cmq se ti senti coraggioso, un programma buono per iniziare, sia sotto win che sotto linux, è ethereal (provvisto di una gui).

Ciao ciao,
Roberto

[olly]

Ciao Roberto,



SYN=1 ACK=1 SEQ-NUM=Y ACK-NUM=X+1
CLIENT <-------------------------------------- SERVER

ACK=1 SEQ-NUM=X+1 ACK-NUM=Y+1
CLIENT --------------------------------------> SERVER

Perchè in questi due passaggi prima il SEQ-NUM è rappresentato dalla y e poi sotto da x+1?? e così per l'ACK-NUM??

l'UDP è un altro protocollo che appartiene al livello 3, come il protocollo tcp/ip, nn basato sulla connessione diretta fra 2 host.

Per effettuare una trasmissione dati bisogna soltanto che l'host sender e l'host receiver abbiano due porte condivise, una per ricevere ed una per inviare.

Ad esempio il client sa che il server è in ascolto sulla porta 21; invia i dati al server senza verificare altro....

Nn sa se i dati sono stati ricevuti tutti, in parte o x niente...

Ciao, perchè devo essere coraggioso???

[olly]

E invece la teoria dello stack ip scusa???

Alla prossima.

[olly]

three way handshaking

Questa invece è una sorta di "stretta di mano" tra due pc prima di incominciare a dialogare...

Per dire " che regole e che "lingua" dobbiamo usare per comunicare"??

Ora mi rituffo nell'approfondimento.

Ciao ragazzi.

[makuro]

Originariamente inviato da olly
Ciao Roberto,



SYN=1 ACK=1 SEQ-NUM=Y ACK-NUM=X+1
CLIENT <-------------------------------------- SERVER

ACK=1 SEQ-NUM=X+1 ACK-NUM=Y+1
CLIENT --------------------------------------> SERVER

Perchè in questi due passaggi prima il SEQ-NUM è rappresentato dalla y e poi sotto da x+1?? e così per l'ACK-NUM??

l'UDP è un altro protocollo che appartiene al livello 3, come il protocollo tcp/ip, nn basato sulla connessione diretta fra 2 host.

Per effettuare una trasmissione dati bisogna soltanto che l'host sender e l'host receiver abbiano due porte condivise, una per ricevere ed una per inviare.

Ad esempio il client sa che il server è in ascolto sulla porta 21; invia i dati al server senza verificare altro....

Nn sa se i dati sono stati ricevuti tutti, in parte o x niente...

Ciao, perchè devo essere coraggioso???

Allora, vediamo se riesco a essere chiaro


1- il fatto di utilizzare questo passaggio di x,y incrementata è per tenere traccia della connessione in corso e della storia dei pacchetti (in modo semplice)...

2- UDP invia pacchetti ad un host, ma senza connessione, non si ha così la certezza che il msg sia arrivato a destinazione (è cmq un buon compromesso per avere meno carico di tcp e velocità)

3- L'esempio FTP è un pò fuorviante, in quanto entra anche in gioco la connessione tra la porta per i dati (porta 20) e non solo quella per i comandi.

4- Una connessione TCP dovrebbe assicurare la ricezione/trasmissione dei pacchetti proprio grazie ai giochi tra i sequence number

5- Coraggioso eh?! tu prova a dare un'occhiata a questo tipo di programmi... Niente di impossibile, chiariamoci, ma...

6- Lo stack ip è la storia dei livelli di trasmissione che hai citato anche tu

7- La stretta di mano è per stabilire una connessione stabile tra i due, non per la lingua nel senso stretto della parola.

Ciao,
Roberto