Это поиск команд, который можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
hunt - Инструмент аудита сетевой безопасности.
СИНТАКСИС
Охота [-В] [-в] [-я интерфейс]
ОПИСАНИЕ
Эта страница руководства кратко документирует Охота команда. Эта страница руководства была написана для
Дистрибутив Debian GNU / Linux, потому что исходная программа не имеет страницы руководства.
Вместо этого у него есть документация в формате GNU Info; см. ниже.
ЧИТАТЬ ПЕРВЫЙ
Перед использованием охоты убедитесь, что вы ЗНАЕТЕ, что делаете. Рекомендуется, чтобы
вам следует протестировать его поведение на некоторых тестовых соединениях, а затем использовать его с умом. Вы можете
хотите выбрать "параметры", а затем "добавить запись политики подключения", поскольку по умолчанию только telnet
соединения отслеживаются.
ОБЪЯВЛЕНИЕ
Hunt - это программа для проникновения в соединение, просмотра и сброса. Она имеет
несколько функций, которые я не нашел ни в одном продукте, таком как Juggernaut или T-прицел, который
вдохновил меня в моем развитии. Я обнаружил, что Джаггернаут недостаточно гибок для дальнейшего
разработка, поэтому я начал с нуля (см. ОСОБЕННОСТИ и ОБЗОР ДИЗАЙНА). Обратите внимание, что охота
работает в сети Ethernet и лучше всего подходит для соединений, которые можно наблюдать через него.
Однако можно сделать что-то даже для хостов в других сегментах или хостов, которые
находятся на коммутируемых портах. Охота не делает различий между подключениями к локальной сети и
соединения, идущие в / из Интернета. Он может обрабатывать все соединения, которые видит.
Перехват соединения нацелен в первую очередь на трафик telnet или rlogin, но его можно использовать
для другого трафика тоже. Функции сброса, просмотра, arp, ... являются общими для всех
соединений.
ФУНКЦИИ И ОСОБЕННОСТИ
Связь Руководство
* Установка того, какие связи вас интересуют.
* Обнаружение текущего соединения (не только запущенного SYN).
* Обычный активный угон с обнаружением шторма ACK.
* Подмена ARP / Обычный захват с обнаружением успешной подмены ARP.
* Синхронизация настоящего клиента с сервером после угона (чтобы
соединение не нужно сбрасывать).
* Сброс соединения.
* Смотрю связь.
Демоны
* Демон сброса для автоматического сброса соединения. * Демон подмены / ретранслятора ARP для
ARP-спуфинг хостов с возможностью ретранслировать все пакеты от поддельных хостов. *
Демон обнаружения MAC-адресов для сбора MAC-адресов. * Демон Sniff для регистрации TCP
трафик с возможностью поиска по определенной строке.
Хозяин Решение
* Разрешение отложенного хоста через выделенные вспомогательные DNS-серверы.
пакет Двигатель
* Расширяемый пакетный движок для отслеживания трафика TCP, UDP, ICMP и ARP. *
Сбор TCP-соединений с порядковыми номерами и обнаружение ACK-шторма.
Разное * Определение подключенных хостов.
Switched Окружающая среда
* Хосты на коммутируемых портах также могут быть подделаны, перехвачены и взломаны.
КОМАНДА ЛИНИЯ ПАРАМЕТРЫ
-V Версия для печати
-v Verbose (печать идентификаторов созданных потоков)
-i интерфейс Послушайте этот интерфейс. По умолчанию eth0
ТЕХ. ОБЪЯСНЕНИЕ
Позвольте мне объяснить некоторые технические проблемы, которые я использую на охоте и которые необходимы для
понимание того, как это работает и чего вам следует ожидать. Важные термины - IP.
спуфинг, спуфинг ARP и шторм ACK. Даже если вы знакомы с ними, вы можете получить
некоторая новая информация.
IP спуфинга
Вы устанавливаете адрес источника пакета на IP-адрес хоста, которым вы себя представляете.
ARP спуфинга
Вы устанавливаете аппаратный адрес источника пакета (MAC-адрес источника) на адрес
хозяин, которым вы притворяетесь.
просто Активные Атака против TCP связи - It is a хорошо известный напишите
атаки, при которой вы отправляете пакет с поддельными IP-адресами и, возможно, также
с поддельными ARP-адресами (настоящие MAC-адреса клиента и сервера - не поддельные
как объяснено далее). Таким образом, вы можете принудительно передать команду потоку, но вы
могут получить шторм ACK (как объясняется далее), если исходный
клиентский хост соединения работает под управлением Linux.
ARP спуфинга
Я использую этот термин также для того, чтобы заставить удаленный хост думать, что хост, который я хочу
be имеет другой MAC-адрес, поэтому удаленный хост отправляет ответы на этот MAC-адрес
и исходный клиентский хост не может их получить (но охота наблюдает
осторожно и обрабатывает все последствия) (Объясняя, как заставить хост на
сеть, чтобы думать, что другой хост имеет другой MAC, я оставляю в качестве упражнения - я
рекомендую прочитать исходный код). Обратите внимание, что я использую термин ARP
спуфинг вместо термина «форсирование ARP» или что-то в этом роде. Так что не будь
запутался, если я говорю спуфинг ARP, я имею в виду использование какого-то MAC-адреса хоста или просто
какой-то поддельный MAC-адрес. Обратите внимание, что ARP-спуфинг (я имел в виду принудить какой-то MAC)
не работает в Solaris2.5, потому что у него есть таймеры срока действия для записей ARP, поэтому вы
не может легко заставить Solaris отбросить запись ARP. Запись обычно истекает после
20 минут или меньше (но у вас есть шанс принудительно, и охота поддерживает этот режим). В
Таймеры истечения срока действия в Solaris устанавливаются:
NDD -набор / dev / ip ip_ire_flush_interval 60000 /* 1 мин */
NDD -набор / dev / arp arp_cleanup_interval 60 /* 1 мин */
Я призываю вас попросить вашего netadmin установить указанные выше значения на всех Solaris.
машины. Win95 / NT4sp3, Linux2.0, OSF1 V4.0, HP-UX10.20 не защищены в
таким образом, чтобы вы могли легко использовать описанную технику на них (на самом деле, у них
таймеры, но работают они не так, как в Solaris; на самом деле только Солярис является
исключение). На самом деле, Хант использует эту технику, чтобы заставить фальшивую
MAC сервера для клиента и поддельный MAC клиента для сервера. потом
и сервер, и клиент отправляют пакеты на эти поддельные MAC-адреса (и охота может
конечно справиться с ними). Однако достаточно, чтобы только на одном хосте был фальшивый
MAC другого хоста. Шторм ACK в этой ситуации также не может произойти. Так что вы
можно использовать эту технику, даже если один конец - это Solaris, а другой - нет. Вы будете
просто добиться успеха на другом хосте, и этого достаточно. Так что проблема только в том, когда
соединение между двумя машинами Solaris. Однако если есть какой-нибудь рут
соединение продолжается, вы можете легко нажать предложенные выше команды без ARP
спуфинг соединения и изменение таймеров истечения срока действия кеша ARP.
ACK буря
Шторм ACK вызывается большинством стеков TCP (!!! Linux2.0 является исключением
!!!). Представим, что вы отправляете данные в текущее соединение с сервером.
(как будто отправлено клиентом - с ожидаемыми порядковыми номерами, ...). Сервер отвечает
с подтверждением отправленных вами данных, но это подтверждение получает
оригинальный клиент тоже. Но с исходной точки зрения клиента сервер имеет
подтвержденные данные, которых нет на клиенте. Так произошло что-то странное
и исходный клиент отправляет серверу "правильный" порядковый номер с ACK.
Но правила TCP говорят, что требуется сгенерировать немедленное подтверждение.
когда получен неработающий сегмент. Этот ACK не следует откладывать. Так что
сервер снова отправляет клиенту подтверждение несуществующих данных. И
ответы клиента, ... Только если исходным хостом соединения является Linux, тогда
ACK-шторм не происходит. Обратите внимание, что если вы используете спуфинг ARP (форсирование), то ACK
шторм не может наступить, потому что один или оба конца будут отправлять пакеты с поддельными MAC-адресами и
эти пакеты принимаются охотой, а не другим хостом.
Связь Сброс
С помощью одного правильно построенного пакета вы можете сбросить соединение (флаг RST в
Заголовок TCP). Конечно, вы должны знать порядковый номер, но это не
проблема для охоты, за которой постоянно следят. Вы можете сбросить сервер, клиент или
оба. Когда вы сбрасываете только один конец, другой конец сбрасывается, когда он пытается отправить данные
к первому хосту, который ответит RST из-за сброса соединения на
его.
Связь нюхать / смотреть
Самое простое, что вы можете сделать, - это тихо сесть в кресло и посмотреть результаты охоты.
о любом подключении, которое вы выбираете из списка.
Связь синхронизация
Что ж, это одна из главных особенностей охоты. Если вы поместите некоторые данные в TCP
поток (с помощью простой активной атаки или спуфинга ARP) вы десинхронизируете поток
с точки зрения сервера / исходного клиента. После некоторой работы над этим
соединение, вы можете просто сбросить его, или вы можете попытаться синхронизировать оба исходных конца
опять таки. Это непростая задача. Пользователю на клиенте предлагается ввести
символы и некоторые символы отправляются клиенту и серверу. Основная цель всего
заключается в том, чтобы снова синхронизировать порядковые номера на клиенте и сервере.
Переключатель / сегмент трафик изменение маршрута
С помощью ARP-спуфинга вы даже можете принудительно переключиться, чтобы он отправлял вам трафик
для хостов в другом сегменте / коммутируемом порту. Это потому, что переключатель будет думать
что MAC принадлежит вашему порту. Будьте осторожны, если ваш коммутатор имеет некоторую защиту
политика и MAC-адреса были явно настроены для каждого порта, но на самом деле я
никогда не видел такой конфигурации в "обычной" сети.
ARP-реле демон
Не путайте. Я использую этот термин для обозначения демона охоты, который отвечает за
вставка пакетов в сеть (перенаправление) всех данных, получаемых от ARP
подделанные хосты.
Switched охрана окружающей среды
Что ж, теперь охота может отслеживать и перехватывать хосты, которые включены.
порты. Обычно вы не можете наблюдать за трафиком хостов на коммутируемых портах, но если вы
сначала ARP подделать их (с меню демона подмены ARP) вы можете посмотреть на
соединения между этими хостами. Сначала вы выполняете arp spoof, и хосты
отправлять вам трафик, и с этого момента вы можете перечислить соединения между ними,
тогда вы можете смотреть и угонять их. Принято считать, что переключатели
снова защитите свои связи от злоумышленников и спуферов. Ну это еще
верно для тщательно настроенных переключателей. Коммутаторы, подключенные к локальной сети
без какой-либо конфигурации безопасности порта бесполезны в работе по защите вашей локальной сети.
Дизайн ОБЪЯВЛЕНИЕ
Модель разработки основана на пакетном движке (hunt.c), который работает в собственном потоке.
и захватывает пакеты из сети. Пакетный движок собирает информацию о TCP.
соединения / начало / завершение, порядковые номера и MAC-адреса. Он собирает
MAC-адреса и seq. числа с точки зрения сервера и отдельные MAC-адреса и seq. числа
с точки зрения клиента. Так что готов к угону. Эта информация (сл.
номер, MAC,
Модули могут регистрировать функции в пакетном движке, которые затем вызываются при появлении новых
пакеты получены. Функция модуля определяет, заинтересован ли модуль в пакете.
или нет, и может поместить пакет в определенный для модуля список пакетов. Функция модуля
может также отправить пакет в сеть, если желательно сделать это очень быстро. В
модуль (обычно в каком-то другом потоке, поэтому его нужно запланировать для запуска), затем получает
пакетов из списка и анализирует их. Таким образом, вы можете легко разрабатывать модули, которые
выполнять различные действия.
Пакеты, которые должны быть отправлены в качестве ответа в сеть, описываются структурами, поэтому вы не
нужно позаботиться о некоторых полях по умолчанию или контрольных суммах. На данный момент доступны функции TCP, ICMP.
и трафик ARP уже подготовлен. (UDP отсутствует, потому что я не использую его ни в одном
модуль)
Отдельный набор демонов используется для разрешения хоста (DNS). Это потому, что
Функция gethostbyname / gethostbyname_r защищена мьютексом (насколько я знаю - так и было
два года назад - сейчас я не пробовал), так что вы не можете запустить его по-настоящему параллельно в многопоточном
среда. Поэтому обычно используемый обходной путь - запустить несколько вспомогательных демонов.
через fork, который запустит gethostbyname.
USER ОКРУЖАЮЩАЯ СРЕДА
Что ж, пользовательская среда не графическая, но я считаю, что она вам понравится.
В заголовке всех меню содержится информация о статусе охоты. Во-первых, есть
индикация, с каким меню вы работаете. Во-вторых, количество пакетов, полученных охотой.
Показано. Hunt заранее выделяет несколько буферов для пакетов; статус бесплатного и выделенного
Buffers отображается как третье значение. Количество свободных буферов мало для высокого
загруженная сеть или шторм ACK, или если у вас плохое оборудование. В моем случае, например,
числа 63/64 обычно указывались, что означало, что использовался только один буфер, но после
ACK storm, у меня что-то вроде 322/323. Обратите внимание, что однажды выделенные буферы не
освобожден. Небольшое количество свободных буферов также может означать некоторую ошибку в охоте, но я думаю, что я
тщательно отладил все модули до такого рода ошибок. Последний индикатор сообщает, какие
демоны (фактически потоки) работают. Это: R - демон сброса, Y - реле arp, S -
сниффер, M - обнаружитель MAC. Если вы включите опцию подробного вывода, вы получите дополнительные
информация о том, сколько пакетов было отброшено - это были фрагменты (см. ошибки) или
были искажены, и сколько пакетов принадлежит другим протоколам, кроме TCP, UDP, ICMP и
ARP. В приглашении пользователя для ввода есть индикатор, который через символ '*' сообщит вам, что
hunt добавил новое соединение (я) в список соединений с момента последнего прослушивания соединения.
Общие интерфейс
Во всех меню клавиша x работает как escape. Маска сети обозначается значком
Обозначение ip_address / mask, где маска - это количество единиц в левой части
маска сети. Например, 0.0.0.0/0 означает все, а 192.168.32.10/32 означает
только этот хозяин.
Для большинства модулей используется:
l) элементы списка
a) Добавьте предмет
m) изменить элемент
d) удалить пункт
В этом тексте они будут обозначаться как l) a) m) d).
Список / Просмотр / Сброс связи
Вы можете получить список подключений, отслеживаемых механизмом пакетов поиска. Который
отслеживаются соединения, указывается в меню параметров. Вы можете в интерактивном режиме
наблюдайте или сбрасывайте эти соединения. Вы также можете совершить на них угон (следующие два
Пункты меню).
ARP / простой похищать
ARP / Simple hijack предлагает интерактивный интерфейс для вставки данных в
выбранное соединение. Вы можете выполнить подмену ARP для обоих концов соединения, для
только один конец или можно вообще не делать. Если вы не используете спуфинг ARP, вы
вероятно, получите шторм ACK после ввода первого символа. Когда вы делаете ARP
спуфинг, он проверяется, если он успешен. Если нет, вам будет предложено, хотите ли вы
дождитесь успеха (вы, конечно, можете прервать это ожидание, нажав CTRL-C).
После вставки данных в соединение вы набираете CTRL-], а затем можете
синхронизировать или сбросить соединение. Если вы выберете синхронизацию, пользователь будет
предлагается ввести несколько символов, и после того, как он это сделает, соединение будет в
синхронное состояние. Вы можете прервать процесс синхронизации, нажав CTRL-C и
затем вы можете сбросить соединение. Обратите внимание, что CTRL-C широко используется для прерывания
непрерывный процесс. CTRL-] (как и telnet) используется для завершения интерактивного
вставка данных в соединение. ARP / Simple Hijack автоматически не
сбросьте соединение после обнаружения шторма ACK, поэтому вам придется сделать это самостоятельно.
Также обратите внимание, что ARP / Simple hijack работает с ретранслятором ARP (как описано ниже)
так что другие соединения не пострадают. Обычно, если вы подмените ARP два сервера
тогда захват ARP / Simple обрабатывает только одно выбранное соединение между этими двумя
хосты, но другие соединения между этими двумя хостами выглядят так, как будто они зависают. если ты
запускает ретранслятор ARP, затем эти другие соединения обрабатываются и перенаправляются
через. Таким образом, другие соединения от одного поддельного хоста к другому не затрагиваются.
вообще. Рекомендуется запускать ретранслятор ARP, если вы выполняете перехват ARP двух
серверы. Обратите внимание, что если вы подмену ARP (принудительно) какой-то клиентский MAC-адрес на сервер, тогда
затрагиваются только соединения, идущие от сервера к этому клиенту. Другой
соединения с сервера на другие машины остаются нетронутыми.
просто похищать
Simple hijack позволяет вставить команду в поток данных соединения.
Когда вы вставляете команду, hunt ожидает ее завершения до определенного тайм-аута.
и если шторм ACK не происходит, вам будет предложено ввести следующую команду. После
что вы можете синхронизировать или сбросить соединение. Обратите внимание, что вы можете использовать
интерактивный интерфейс для простого захвата при использовании ARP / простой захват без ARP
спуфинг, но если вы используете полный интерактивный интерфейс ARP / простой угон без ARP
спуфинг вы, вероятно, получите шторм ACK сразу после ввода первого
char. Таким образом, этот режим захвата полезен, когда вам нужно иметь дело с штормом ACK.
потому что он отправляет ваши данные в соединение в одном пакете. Когда шторм ACK
в процессе очень сложно доставить другие пакеты с охоты на сервер, так как
сеть и сервер перегружены.
ДЕЙМОНЫ
Я называю их демонами, но на самом деле это потоки. Все демоны могут быть запущены и
наклонился. Не удивляйтесь, если вы вставите или измените какое-либо правило в демоне, и он
ничего такого. Демон не запущен - его нужно запустить. Все демоны по умолчанию
остановлен, хотя вы можете изменить конфигурацию. Общие команды в меню демонов
составляют:
s) запустить демон
k) остановить демона
l) перечислить элементы конфигурации
a) добавить config. элемент
m) изменить config. элемент
d) удалить config. элемент
Сброс демон
Этот демон можно использовать для автоматического сброса текущих подключений, которые
охота может видеть. Вы можете описать, какие соединения следует разорвать, указав
src / dst host / mask и src / dst порты. Отключенный флаг SYN означает, что все указанные
соединения должны быть прекращены (даже продолжаются). Включенный флаг SYN означает, что только
вновь начатые соединения сбрасываются. Итак, текущие подключения
не пострадал. Не забудьте запустить демон.
ARP демон
Здесь вы можете выполнить ARP-спуфинг хостов. Вы вводите адреса src и dst и желаемый
srcMAC. Затем dst вынужден думать, что src имеет srcMAC. Вы можете использовать подделку
MAC или лучший MAC хоста, который в настоящее время не работает. Вы просто хотите, чтобы хозяева
отправлять вам все данные (так что вы даже можете посмотреть пакеты, которые находятся на другом
сегмент или коммутируемый порт, который вы обычно не видите) Модуль ARP выглядит
осторожно для пакетов, которые нарушают ARP-спуфинг хостов и обрабатывают их, но
вы даже можете указать интервал обновления для спуфинга ARP, но это не обязательно
сделать это. Устанавливайте интервал обновления только в том случае, если вы столкнулись с какой-то плохой или
странное поведение подделанных хостов. Также есть возможность протестировать хосты
для успешного спуфинга с возможностью принудительного спуфинга - рекомендуется
протестируйте подмену ARP, если что-то кажется неправильным или компьютер не отправляет
трафик на охоту. Параметр принудительной установки удобен, если первые пакеты спуфинга
отбрасываются с помощью коммутатора, поэтому, если вы запускаете охоту на хосты на коммутаторе
порты, вы можете попробовать запустить принудительный режим, например, в течение 10 секунд, а затем сломать его с помощью
CTRL-C, если обман по-прежнему терпит неудачу. Демон ретранслятора ARP используется для выполнения
Ретрансляция ARP поддельных соединений ARP. Когда вы вставляете ARP-спуф хостов
ARP-спуфинг выполняется немедленно, даже если ретранслятор не работает !!!. Но
если подмена ARP завершится успешно, соединения будут выглядеть так, как будто они зависают. Для
перенаправление (не IP-маршрутизация!) этих подключений через вашу охоту, вам нужно начать
ретранслятор ARP. Ретранслятор хорошо работает с ARP / простым угоном, поэтому, как только вы
хосты ARP подделаны с помощью ретрансляции ARP, вы можете легко выполнить ARP / простой захват, который
обнаруживает, что хосты уже подделаны ARP, и принимает соединение
немедленно. Используя эту технику, вы легко можете стать мужчиной посередине.
начало соединения, даже если ваш хост с охотой не является IP-шлюзом. я
рекомендую вам написать обработчики протоколов для других приложений для человека в
средняя атака, поскольку это действительно просто с этим фреймворком.
Нюхать демон
Назначение демона сниффинга - регистрировать указанные пакеты. Демон обнюхивания может
также ищите простой шаблон (строку) в потоке данных (см. ошибки
раздел). Вы можете указать, какое соединение вас интересует, где искать
(src, dst, both), что вы хотите искать, сколько байтов вы хотите записать, из
в каком направлении (src, dst, both) и в какой файл должен писать демон. Все
зарегистрированные файлы хранятся в каталоге .sniff. Имя файла по умолчанию для ведения журнала
состоит из o, 0t (ashnew-linesoor asmhex num.). подменю опций, вы можете установить, как
регистрировать новые строки (
MAC открытие демон
Этот демон используется для сбора MAC-адресов, соответствующих указанному IP.
диапазон. Вы можете ввести время, по истечении которого демон снова попытается собрать
(по умолчанию 5 минут).
Хозяин up МЕНЮ
Модуль запуска хоста определяет, какие хосты включены (со стеком TCP / IP). Ты только
укажите диапазон IP-адресов, и затем в этом пространстве будет производиться поиск запущенных хостов. это
способный определять, какие хосты имеют сетевой интерфейс в неразборчивом режиме. В
беспорядочный режим обычно показывает, что на хосте запущен какой-то
сниффер / сетевой анализатор.
Опции МЕНЮ
В меню параметров вы можете настроить разные вещи:
l) a) m) d)
Список / Добавить / Mod / Del Связь конфиденциальности Запись
Прежде всего, вы можете выбрать, какие соединения следует отслеживать. По умолчанию
настройка - смотреть telnet-соединения со всех хостов, но вы можете настроить это
поведение по спецификации пар src / dst адрес / маска src / dst порта. С участием
команды: л) а) м) г) вы задаете то, что вам интересно.
c) Связь Listening Объекты
Вы можете установить, будут ли порядковые номера и MAC-адреса текущих подключений
отображается во время прослушивания соединения.
h) Хозяин Решение
Вы можете включить разрешение хостов на их имена. Поскольку решение откладывается, вы
не получайте сразу имена хостов. Просто попробуйте перечислить несколько подключений.
раз, и вы увидите имена хостов. (Я использовал этот отложенный подход, потому что
не хотел какой-либо задержки интерфейса, которую может вызвать разрешение).
r) Сброс ACK буря Истек
Этот тайм-аут используется в простом захвате для автоматического сброса соединения после
обнаружен шторм ACK. Обратите внимание, что вы можете получить шторм ACK даже в
arp / simple hijack, если вы не выполняете спуфинг ACK какого-либо хоста.
s) просто Hijack Истек Что касается Следующая CMD
Simple hijack не имеет интерактивного интерфейса подключения. Это означает, что вы пишете
вся команда, которая будет вставлена в поток данных подключения. Если нет данных
передано через соединение до этого тайм-аута, вам будет предложено ввести
следующая команда.
q) ARP Запрос / ответ Пакеты
Количество пакетов запроса или ответа, которые hunt отправляет, когда выполняет спуфинг arp.
t) ARP Запрос мистификация Через Запрос
Опция, будет ли охота отправлять запрос спуфинга ARP или ответ спуфинга ARP при получении
широковещательный ARP-запрос, который сломает ARP-спуф.
w) Switched Окружающая среда
Некоторая оптимизация для коммутируемой среды. Он отлично работает для непереключенных
окружающая среда тоже.
y) ARP мистификация Доступно My MAC
Установите исходный MAC-адрес отправленного поддельного ARP на мой (охотничий) MAC-адрес Ethernet -
иногда помогает в коммутируемой среде.
e) Изучай MAC от IP трафик
Вы можете включить, что MAC-адреса будут изучаться из всего IP-трафика, а не только из
АРП.
p) Количество печатаемых строк на странице при прослушивании
Самоочевидный
v) Подробный Вкл. / Выкл.
Самоочевидный
ИСПЫТАНО ОКРУЖАЮЩАЯ СРЕДА
ОХОТА программа требования:
* Linux> = 2.2
* Glibc с linuxthreads
* Ethernet
Проверенный хосты:
Linux 2.0, Linux 2.1, Linux 2.2, Solaris 2.5.1, NT4sp3 / 4, Win95, OSF V4.0D, HPUX 10.20,
ИРИКС 6.2
Проверенный сеть оборудование:
BayNetworks 28115, 28200, 300 коммутаторов 3Com SuperStack II 3000, 1000 коммутаторов
БЕЗОПАСНОСТЬ ПРИМЕЧАНИЯ
Обратите внимание на уже известную истину, что telnet и подобные программы, отправляющие пароли
в открытом виде уязвимы для описанных атак. Программы, использующие одноразовые пароли
также легко атакуются, и на самом деле они бесполезны, если кто-то может запустить такую программу, как
охота. Только полный зашифрованный трафик не уязвим для этих атак, но учтите, что вы можете
станьте человеком посередине, если вы используете ARP-спуфинг (форсирование) без ACK-шторма, и вы
может попробовать что-нибудь сделать. Также ненастроенный переключатель не защищает вас от обнюхивания или
угон. Необходимо тщательно настроить безопасность портов на коммутаторах, чтобы
для защиты компьютеров на коммутируемых портах.
Обнаружение атак - непростая задача. Для спуфинга ARP есть инструменты, которые могут обнаружить
Это. ACK-шторм обнаруживается некоторыми сложными анализаторами сети (вы можете обнаружить
шаблон ACK-шторма или статистика ACK без данных). Если вы запустите охоту на
в вашей сети вы можете обнаружить шторм ACK, потому что поиск может обнаружить шторм ACK
шаблону.
Арбитраж трафика ЗАМЕТКА
Убедитесь, что вы запускаете охоту на неработающей машине с достаточной мощностью (я использовал PII-233 с
128 МБ ОЗУ) и без какого-либо другого анализатора пакетов, потому что если вы используете расширенные функции, такие как
arp spoofing или hijacking hunt должен отвечать быстро с собственными пакетами, вставленными в
трафик в сети.
СКАЧАТЬ
Это программное обеспечение можно найти на http://www.gncz.cz/kra/index.html
или, по крайней
ftp://ftp.gncz.cz/pub/linux/hunt/
KNOWN ОШИБКИ
* некоторые структуры плохо блокируются мьютексами
* если вы смотрите соединение, то некоторые escape-последовательности из этого соединения могут влиять
ваш терминал. Обратите внимание, что ваш терминал называется «Linux» («xterm» - если вы запускаете его из X,
...), но escape-последовательности предназначены для клиентского терминала, который может быть или не быть
Linux, чтобы вы могли немного запутаться.
* sniff не может искать шаблон, который пересекает границу пакета. Что
означает, что он не может найти шаблон ввода, введенного пользователем, поскольку этот ввод обычно
передается пакетами длиной 1Б данных.
* hunt не поддерживает дефрагментацию, поэтому фрагменты IP должны быть отброшены.
BUG ИСПРАВЛЕНИЯ, SUGGESTIONS
Отправляйте описания ошибок, исправления, предложения, новые модули или успешные истории по адресу
[электронная почта защищена]
Авторы
Хочу поблагодарить Свена Убика [электронная почта защищена] > за его неоценимый вклад и
Обратная связь.
FINAL СЛОВО
Обратите внимание, что это программное обеспечение было написано только для моего удовольствия в свободное время, и это было отличным
использование протоколов TCP / IP. Теперь я знаком с seq. числа, ACK, таймауты, MAC,
контрольные суммы, ... до высочайшего уровня. Поскольку у меня есть неплохая предыстория этой "охоты"
Проблема заставила меня подумать, что я не знал TCP / IP так хорошо, как я думал. Ты
добро пожаловать, чтобы прочитать исходный код и попробовать изменить его или написать свои собственные модули.
DEBIAN
Эта страница руководства была преобразована из внутренней документации Джон Марлер < [электронная почта защищена]
> для операционной системы Debian GNU / Linux.
ОХОТА(1)
Воспользуйтесь онлайн-охотой с помощью сервисов onworks.net
