Техника сетевых атак
Шрифт:
Такой прием часто используют не только для сокрытия собственного адреса, но и в других целях. Например, некоторые NNTP-сервера доступны лишь из доменов *.NET, но не *.COM и тем более *.RU
Врезка «замечание»
Обидно, конечно, но ни для кого не секрет, что посетители “from Russia Federation” часто считаются людьми второго сорта. Порой им закрывают доступ, отказываются предоставлять бесплатный хостинг, и вообще стараются по возможности избегать.
Поэтому, некоторые ресурсы становятся доступными лишь с использованием иноземных Proxy-серверов или скриптов, расположенных
Так, отечественный сервер news://news1.demos.su/ доступен исключительно из-под домена *.net [242], а при попытке подсоединиться к нему любым другим пользователям он сообщает, разрывая соединение:
· 502 You have no permission to talk. Goodbye
Другой возможной причиной отказа в обслуживании становится невозможность определения доменного имени клиента по его IP адресу (Reverse Lockup). Это зависит исключительно от настоек DNS-сервера провайдера клиента, некоторые из которых не поддерживают такой возможности.
В этом случае, сообщения большинства NNTP-серверов будут выглядеть приблизительно следующим образом:
· 502 You have no permission to talk, (reverse dns disabled, see nodns in dnews.conf) {209.143.154.93}, Goodbye
Словом, существует множество причин для использования Proxy-серверов или любых других способов введения NNTP-сервера в заблуждение. Однако списки общедоступных Proxy есть не только у пользователей, но и администраторов, которые порой включат их в «черный список». Напротив, использование скриптов не получило массового распространения, поэтому, только параноические администраторы запрещают доступ со всех серверов, предоставляющих бесплатный хостинг.
Следующий пример демонстрирует подключение к узлу nntp://news1.demos.su, путем использования слегка модифицированного файла nntp_post.pl (модификация заключается в замене адрес сервера, и добавления команды “LIST” для выдачи списка доступных групп).
Спустя секунду-другую после запуска скрипта в окне браузера должен появится текст, приблизительно следующего содержания:
·
201 demos2 InterNetNews NNRP server INN 1.7.2 14-Dec-1997 (DEMOS revision) ready (no posting).
·»LIST
· 215 Newsgroups in form "group high low flags". demos.local.ads 0000000003 0000000004 m.
В момент написания этой главы, оказалась доступна всего лишь одна конференция, но это ничуть не уменьшает значимости того факта, что удалось «достучаться» до сервера, доступ к которому при нормальном ходе вещей оставался невозможен.
В качестве альтернативы можно попробовать поместить исполняемый код не на сервер, а локальную машину, владелец которой заведомо (или потенциально) имеет доступ к необходимому ресурсу.
Врезка «информация»
Среди тысяч вирусов существует, по крайней мере, два, пользующихся для своих нужд ресурсами NNTP. Это печально известные «Worm.Happy» (Internet - червь) и «Win32.Parvo» (файловый).
Однако установить соединение с NNTP-сервером это только половина проблемы. Гораздо важнее получить возможность создания собственных сообщений. Большинство конференций (особенно из группы Fido7) запрещают прямой постинг, и такие группы отмечаются флагом “m” (от английского moderator– ведущий конференции).
Попытка проигнорировать это ограничение
ни к чему не приводит. Даже если север подтвердит успешность отправки, сообщение никудане будет отправлено. Но если добавить в заголовок сообщения поле “Approved” с указанием адреса модератора (или адреса отправителя), такое сообщение, скорее всего, будет воспринято, как правильное, и без проблем добавится в конференцию.Протокол, приведенный ниже (на диске, прилагаем к книге, он находится в файле “/LOG.nntp_post.log”), демонстрирует использование поля “Approved” для отправки писем в конференцию, доступ к которой обычным способом невозможен.
· ; Устанавливается соединение с сервером news.medlux.ru по 119 порту
· 200 news.medlux.ru InterNetNews NNRP server INN 1.5.1 17-Dec-1996 ready (posting ok).
· ; Получение списка доступных конференций на сервере
· ; и выбор любой из них, помечанной флагом m
· list
· 215 Newsgroups in form "group high low flags".
· medlux.dept.docs 0000000173 0000000174 m
· medlux.dept.lic 0000000086 0000000087 m
· medlux.dept.qual.doc 0000000150 0000000151 m
· medlux.doc.acc 0000001621 0000001622 m
· medlux.doc.apt 0000000320 0000000321 m
· medlux.doc.ministry 0000000808 0000000809 m
· medlux.doc.mos 0000001722 0000001723 m
· medlux.doc.rus 0000003030 0000003030 m
· medlux.doc.spb 0000000367 0000000368 m
· medlux.drugs.reg 0000000041 0000000042 m
· medlux.drugs.safety 0000000142 0000000143 m
· medlux.fido.su.medic 0000036131 0000036110 y
· medlux.firmhist 0000000616 0000000600 y
· medlux.health 0000001748 0000001625 y
· medlux.journal.top 0000000306 0000000307 m
· medlux.journal.vit 0000000113 0000000114 m
· medlux.medsci.anes 0000000465 0000000442 y
· medlux.medsci.cardiol 0000000572 0000000528 y
· medlux.medsci.dent 0000000441 0000000406 y
· medlux.medsci.dermatol 0000000488 0000000443 y
· medlux.medsci.diag 0000001059 0000001004 y
· medlux.medsci.endocrin 0000000495 0000000448 y
· medlux.medsci.gastroent 0000000483 0000000427 y
· medlux.medsci.gyn 0000000683 0000000636 y
· medlux.medsci.hematol 0000000400 0000000358 y
· medlux.medsci.immunol 0000000436 0000000389 y