SPOOFING

спуф для DoS`а

Спецвыпуск Xakep, номер #021, стр. 021-044-3

Пингую обычным ping`ом:

ping 127.0.0.1

Восемь пакетов ушло, вернулось - ноль. Естественно, ведь файрвол все блокирует.

Теперь то же самое, но sing`ом и со спуфом:

sing -S 127.0.0.2 127.0.0.1

Опппа!!! Все получилось! Sing обдурил файрвол, прикинувшись, что пакеты идут с 127.0.0.2, а не с 127.0.0.1, который блокируется!

А пакеты вернулись потому, что я использовал loopback: моя система слала ответы на 127.0.0.2, но они пришли к ней же обратно, так как это, как и 127.0.0.1, тоже ее петлевой адрес. Хорошо, теперь попробуем проделать то же самое с удаленной системой. Я буду иллюстрировать все на примере сервака m-net.arbornet.org (да не обидятся на меня его админы ;)). Сначала просто пингую (ping`ом или sing`ом без спуфа - все равно):

ping m-net.arbornet.org

Сервак отвечает - все хорошо.

А теперь отправляю серваку несколько пакетов, типа от него же самого (так вызываются циклические ICMP-штормы: сервак получает пакеты вроде как от себя, отвечает на них самому же себе, и так много раз, пока не наступит 3.14zDoS):

sing -S m-net.arbornet.org m-net.arbornet.org

Отправлено одиннадцать пакетов, вернулось - ноль. Естественно, сервак отвечал на мои пакеты самому себе, поэтому мне ничего не пришло. И не надо :).

Как видишь, все сработало :). Можно досить спуфом, не ковыряясь во всяком коде! Не думаю, что мои пакеты могли нанести arbornet`у какой-либо ущерб - во-первых, их было слишком мало, во-вторых, на арборнете сидят грамотные админы, и они, наверное, догадались настроить систему так, чтоб она не отвечала на свои собственные ICMP-пакеты ;). Тем не менее, мы с тобой, приятель, разобрались в довольно гиморном вопросе. Надеюсь, тебе понравилось ;). До новых встреч, и удачных тебе экспериментов в net security!!!