ИЗУЧАЕМ СЕТЬ НА УРОВНЕ ПАКЕТОВ

./lcrzoex

Спецвыпуск Xakep, номер #021, стр. 021-060-2

Сниффер предлагает выбрать интерфейс, по которому надо сниффать - выбираем loopback (lo - 1):

Теперь прога предлагает выбрать способ отображения перехваченных пакетов - выбираем второй, он самый простой. Все, прога перешла в режим перехвата. Все, что будет отловлено, будет выводиться на экран (для ознакомления это удобно, но в реальной ситуации лучше сохранять все в файл - для этого в главном меню надо выбрать пункт "c", а в нем "b" - дальше выберешь то, что надо). Для проверки откроем другое окно терминалки и пропингуем себя же:

ping 127.0.0.1

Сниффак показывает, что от 127.0.0.1 на 127.0.0.1 пришел ICMP_ECHO_REQUEST (ICMP8), а потом от 127.0.0.1 на 127.0.0.1 ушел ответный ICMP_ECHO_REPLY (ICMP8). И так три раза :). Ок, давай усложним пример: выберем более подробный способ отображения перехваченных пакетов. Жмем Ctrl+C, чтоб выйти из сниффака в консоль, потом набираем "lcrzoex 274", выбираем интерфейс lo и способ отображения под циферкой "4". Пингуем еще раз:

ping 127.0.0.1

Ну как? Нравится :)? То, что в виде таблички - это заголовок пришедшего эхо-запроса, ниже - данные в шестнадцатеричном формате, потом заголовок ушедшего пинг-ответа со своими данными (такие же, как пришедшие, так как пинг всегда возвращает то, что получил). Приятель, таким образом (засылая себе всякие запросы, сниффая их и изучая пакеты) можно научиться формировать любой пакет ручками! А это как раз самое оно для проведения DoS-атак!!! А для того, чтобы формировать пакеты, мы воспользуемся другой тулзой из lcrzoex (я же говорил - там есть все ;)). Но давай сначала попробуем еще одну фишку: залезем к себе на web-сервер, запросим index.html, посниффаем пакеты и посмотрим, как они выглядят (для того, чтобы научиться самим формировать запросы к web-сервакам на уровне пакетов). Для этого делаем телнет себе на 80 порт:

telent 127.0.0.1 80

Все гуд, коннект есть. Посмотрим, что показывает сниффак:

А он показывает, что прошли какие-то заголовки - данных пока нет. Ок, сейчас сделаем и данные: пишем в окне телнета:

GET /index.html

Видим, что web-сервак прислал нам содержание index.html (я его специально сделал таким простым, чтоб не загромождать) и закрыл соединение. А что нам скажет сниффер? Смотрим:

На скрине все, естественно, не поместилось, поэтому я тебе показываю только пакеты с шестнадцатеричными данными нашего запроса (GET /index.html) - там ниже есть еще ответ сервака с содержанием index.html, а также пакеты закрытия соединения. Короче, все это не так важно - важно то, что таким образом можно своими глазами увидеть каждый пакет (любой), чтоб в дальнейшем суметь самому собрать такой же. Если интересно, можешь точно так же приконнектиться к своему telnet-серваку (или к любому другому) и посмотреть, каким образом там происходит взаимодействие на уровне пакетов. А я сейчас расскажу, как при помощи lcrzoex генерировать пакеты.

Так как мы тут по полной калбасимся DoS-атаками, вникая и разгребая, давай я сразу покажу, как генерить споупанные пакеты - это актуальнее ;). Заходим в главное меню lcrzoex и нажимаем клавишу "e" (Ethernet and IP spoof) - под ней лежат тулзы для снифа по езернету и по IP. Езернет может пригодиться, если есть локалка, но у меня ее сейчас нет, так что буду рассказывать про IP spoof. Меню спуфных тулз выглядит так: