Перейти к содержанию

Максимум анонимности или руководство для параноика.


Рекомендуемые сообщения

Ну и как Вы собираетесь "выливать" информацию из зашищенной корпоративной сети, при помощи траффика онлайн игрушек, ну или видео(аудио), если Вы собираетесь прятать его при помощи стеганографии? Как Вы собираетесь передавать команды серверу, опять таки в зашищенной сети, при помощи такого вида траффиков? Покажите мне серьезно зашищенные сети, в которых нефильтруется ICMP Траффик? А с DNS-траффиком, да вот фиг когда его отфильтруют и сумеют зашитить, пока не сменят протокол. На котором, на минуточку, и держится весь Тыртынет :о))

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 51
  • Создана
  • Последний ответ
Ну и как Вы собираетесь "выливать" информацию из зашищенной корпоративной сети, при помощи траффика онлайн игрушек, ну или видео(аудио), если Вы собираетесь прятать его при помощи стеганографии? Как Вы собираетесь передавать команды серверу, опять таки в зашищенной сети, при помощи такого вида траффиков? Покажите мне серьезно зашищенные сети, в которых нефильтруется ICMP Траффик? А с DNS-траффиком, да вот фиг когда его отфильтруют и сумеют зашитить, пока не сменят протокол. На котором, на минуточку, и держится весь Тыртынет :о))

По-моему, мы говорим о разных ситуациях и разных задачах в связи с этим. Насколько я понимаю, rst имел в виду случай, когда физ.лицо работает из дома (Стрим и т.д.), а не из защищенной сети, но чье-то бдительное око :smile9: изучает весь его трафик. В такой ситуации предложение rst пройдет, так как никаких ограничений нет. И понятно, что в защищенной сети никто не даст прямого доступа в Интернет (только через веб-прокси с ограничениями), аоб играх и говорить не приходится.

 

Уважаемый Loo имеет видимо другую ситуацию - есть троян на машине в защищенной сети, которому нужно как-то связываться с хозяином и получать команды/передавать информацию. Тут скрытый канал управления (так корректнее будет его назвать) в самый раз, так как прямое хождение DNS, как правило, не блокируется на персональных файрволлах и может быть открыто на корпоративном межсетевом экране (ICMP - аналогично).

 

Хотя в защищенной корпоративной сети можно запретить прямое хождение трафика DNS - прописать локальный DNS-сервер и пусть все им пользуются (а DNS зафильтровать на маршрутизаторе), а он по рекурсии ходит к остальным серверам (я могу легко такое устроить с помощью того же djbdns :smile19: ). Правда, можно кодировать команды и ответы с помощью имен хостов в домене, контролируемом атакующим, но пропускная способность такого скрытого канала невелика :smile1:

 

Ссылка на комментарий
Поделиться на другие сайты

Уважаемый Vinni! Чес слово, не пользуюсь я "троянами", как-то вот не "по душе", и не пользовался никогда. VX-кодеров пару человек знаю правда (хотя и Рутковская со своим bluepill, по большому счету "troy-maker") Сливать что-то с шелла, не тоже самое как мне кажется :о)) Тема DNS интересует уже очень давно, и многие триксы с dns-rebinding, poisoning, e.t.c я даже както пытался на русском описать, в 2005 году :о)) Тема старая, ничего особенно нового в ней нет, да и быть не может. Больно уж старый протокол, в сплаве с приложениями обычно используемыми в корп.сетях почти всегда дает хороший результат :о)) Много данных вынимать из сети как правило не нужно, а насчет рекурсивного обмена с другими серверами, я бы поспорил, тем более с современными правилами трансфера зон :о)) Тем более при закрытом внутри DNS Траффике отравление кэша клиента задача тривиальнейшая, если еще и вспомнить про многочисленные технологии нахождения внутренних роутеров, серверов и открытых сервисов внутри сети. Если же есть необходимость слить большой объем данных, то как правило для этого достаточно иметь права ниже рутовых, тем более с современными пропускными способностями каналов. Не забывайте, что хакеру в таком случае надое еще и "заметать" следы , успевать распараллеливать перекачку и т.п.

Прошу прощения, у тех кто не понял много страшных слов, мы тут с уважаемым Vinni интиллегентно обсудили некоторые аспекты :о)))

Ссылка на комментарий
Поделиться на другие сайты

...

Прошу прощения, у тех кто не понял много страшных слов, мы тут с уважаемым Vinni интиллегентно обсудили некоторые аспекты :о)))

:smile20: :smile1:

А теперь осталось только все-таки сформулировать задачу, для которой подходит тунеллирование своего трафика внутри DNS (раз я ошибся), чтобы и другие форумчане поняли :smile3:

 

Кстати, вспомнил старый случай, как у какого-то ISP-провайдера клиентам после блокировки доступа в Интернет не блокировался DNS-трафик наружу, чем воспользовались хитрые люди и организовали DNS-туннели...

 

 

Кстати, ссылки по теме про отравление кэша DNS, чтобы коллеги понимали, о чем идет речь

- http://www.i2r.ru/static/450/out_12033.shtml

- http://www.xakep.ru/post/18271/default.asp?print=1

(а djbdns кстати уже давно защищен от этого - см. _ttp://cr.yp.to/djbdns/forgery.html :smile3: )

 

Конкретно про отравление кэша в MS DNS (с PoC) - _ttp://www.securitylab.ru/vulnerability/307471.php

 

А тема действительно старая - я пару PoC, связанных с DNS-атаками, еще во второй половине 90-х писал (помните, популярную в свое время книжку :smile5: )

 

 

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

Ну и как Вы собираетесь "выливать" информацию из зашищенной корпоративной сети, при помощи траффика онлайн игрушек, ну или видео(аудио), если Вы собираетесь прятать его при помощи стеганографии? Как Вы собираетесь передавать команды серверу, опять таки в зашищенной сети, при помощи такого вида траффиков? Покажите мне серьезно зашищенные сети, в которых нефильтруется ICMP Траффик? А с DNS-траффиком, да вот фиг когда его отфильтруют и сумеют зашитить, пока не сменят протокол. На котором, на минуточку, и держится весь Тыртынет :о))

Элементарно.

90% корп сетей позволяют использовать https. Этот протокол не пакетный, как http, а потоковый. Фактически https-сервер может выступать в роли telnet-прокси. С другой стороны. https-траффик и так шифруется : здесь стеганография не нужна.

 

Еще я заметил, что дискуссию колбасит из стороны в сторону.

Вначале мы говориле о защите от прослушки на последней миле.

Если провайдер у вас увидит много впн-траффика, то это привлечет ненужные подозрения.

Решение : прятать трафик в игрушках.

 

Сразу же контр-аргумент : а как вы будете прятать траффик в защищенной корп. сети?

Ответ : никак. Мы решаем в данный момент другую задачу :)

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...