|
From
|
zeist <zeist@comedia.it>
|
|
Date
|
Fri, 26 Sep 2003 19:07:20 +0200 (CEST)
|
|
Subject
|
Re: [hackmeeting] Trace route MOOOLTO strano
|
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On Fri, 26 Sep 2003, pix wrote:
> rmura@virgilio.it wrote:
>
> >ciao a tutti...qualcuno sa dirmi com'è possibile una cosa del genere?? allora
> >ero in LAN, ip privato non nattato su internet e ricevo un attacco da un
> >indirizzo ip...molto probabilmente usano il router x fare il suo mestiere
> >(ruotare i pacchetti) e finire sulla LAN...faccio un trace dell'IP attaccante
> >e ottengo come risultato:
> >
> >Tracing route to host5-249.pool8173.interbusiness.it [81.73.249.5]
> >over a maximum of 30 hops:
> >
> > 1 2 ms <1 ms 1 ms 10.0.1.3
> > 2 1 ms 2 ms 2 ms host246-160.pool8016.interbusiness.it [80.16.160.246]
> > 3 234 ms 63 ms 67 ms host249-160.pool8016.interbusiness.it [80.16.160.249]
> > 4 64 ms 62 ms 69 ms 80.105.249.215
> > 5 65 ms 79 ms 65 ms r-to70-vl19.opb.interbusiness.it [80.18.136.155]
> > 6 86 ms 139 ms 214 ms r-to71-to88.opb.interbusiness.it [151.99.98.21]
> > 7 166 ms 116 ms 118 ms r-mi258-to71.opb.interbusiness.it [151.99.101.105]
> > 8 98 ms 89 ms 91 ms r-mi213-mi258.opb.interbusiness.it [80.17.211.86]
> > 9 151 ms 118 ms 92 ms r-rm198-mi213.opb.interbusiness.it [151.99.98.109]
> > 10 311 ms 90 ms 97 ms r-ct30-rm198-b.opb.interbusiness.it [80.17.211.250]
> > 11 87 ms 85 ms 84 ms host134-250.pool217141.interbusiness.it
> >[217.141.250.134]
> > 12 511 ms 382 ms 532 ms 192.168.1.1
> > 13 192 ms 144 ms 160 ms host5-249.pool8173.interbusiness.it [ip
> >dell'attaccante]
> >
> >com'è possibile ke il dodicesimo passaggio sia 192.168.1.1 !!!?!!?!!? su
> >internet!?!!?! si tratta di spoofing?? e inoltre come cavolo è possibile
> >ke i pacchetti tornino indietro!!??
> >
> >grazie a tutti quelli ke potranno kiarirmi le idee
> 192.168.1.1 e' non ruotabile su internet ma visto che le macchine
> precedente e seguente sono chiaramente non-routers direi che e' qualcuno
> che si e' preso 2 IP da zoccolacom e vi ha fatto routing "interno".
>
> ad occhio e croce un po' piu' di uno script-kiddie.
>
> a disposiz.
Bhe' non esageriamo :)))))
Il traceroute si basa su mandare pacchetti udp con TTL crescente partendo da 0, e quindi
registrando l'icmp ttl-exeded che ogni host fra te il "bersaglio" manda,
creando cosi il percorso fra' te e lui.
Basta che l'host finale, riesca a manipolare il proprio stack forgiando
pacchetti in uscita spoofati, per creare host farlocchi in piu'.
Se provi a tracciarmi, tutti gli host fra te e me quando glia rrivano i
pacchetti UDP con ttl a zero ti manderanno in sequenza l'icmp corretto
creando il path, ma quando l'ultimo arriva a me, io ti rispondo con in
icmp con ip spoofato, e poi un altro con un altro ip, poi un terzo con il
mio vero ip, il tuo traceroute sara' ingannato "vedendo" dui hop in piu'
fra' te e me.
Con linux e' una cosa banalissima, basta sfruttare iptables per mandare in
userspace con QUEUE i pacchetti udp con ttl = 0 che arrivano e manipolare
la risposta.
Se siete in vena di tamarrate esiste anche un programma che automatizza
questo processo http://michael.toren.net/code/countertrace .
Studiati la documentazione, e' istruttiva.
Buon divertimento
Byez
Zeist
- - ----------------------------------------------------------------------------------------------
`The true value of a human being can be found in the degree to which he has attained
liberation from the self`
- ----------------------------------------------------------------------------------------------
GPG/PGP keys available on key-servers
[RSA 2048] PGP Key fingerprint = 82 78 5A 58 8D E0 31 C9 B4 9D 92 04 0D F6 C1 82
[DSA 4096] GPG Key fingerprint = D5 84 BA F3 24 64 7E B6 97 D0 1A 3B F0 40 89 72 E2 CE 1F C5
- ----------------------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (GNU/Linux)
iD8DBQE/dHJN8ECJcuLOH8URAqmLAJ0S8wtLvrSrGPMzfQYT+okIZnQoHwCeKZfs
BBeFQ48eDtv7INU7xtLLg24=
=C5ys
-----END PGP SIGNATURE-----
_______________________________________________
hackmeeting mailing list
hackmeeting@kyuzz.org
http://lists.kyuzz.org/mailman/listinfo/hackmeeting
![[<--]](/icons/prev.gif){kind=icon}
![[-->]](/icons/next.gif){kind=icon}