Đây là lệnh săn có thể được chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình giả lập trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
Hunt - Công cụ kiểm tra an ninh mạng.
SYNOPSIS
săn [-V] [-v] [-tôi giao diện]
MÔ TẢ
Trang hướng dẫn sử dụng này tài liệu ngắn gọn về săn chỉ huy. Trang hướng dẫn sử dụng này được viết cho
Bản phân phối Debian GNU / Linux vì chương trình gốc không có trang hướng dẫn sử dụng.
Thay vào đó, nó có tài liệu ở định dạng GNU Info; xem bên dưới.
ĐỌC ĐẦU TIÊN
Hãy chắc chắn rằng bạn BIẾT những gì bạn đang làm trước khi sử dụng săn. Khuyên rằng
bạn nên kiểm tra cách nó hoạt động trên một số kết nối thử nghiệm và sau đó sử dụng nó một cách khôn ngoan. Bạn có thể
muốn chọn "tùy chọn" và sau đó "thêm mục nhập chính sách conn" vì theo mặc định chỉ có telnet
các kết nối được giám sát.
TỔNG QUAN
Hunt là một chương trình để xâm nhập vào một kết nối, xem nó và đặt lại nó. Nó có
một số tính năng mà tôi không tìm thấy trong bất kỳ sản phẩm nào như Juggernaut hoặc T-sight
đã truyền cảm hứng cho tôi trong quá trình phát triển của mình. Tôi thấy Juggernaut không đủ linh hoạt để tiếp tục
vì vậy tôi bắt đầu từ đầu (xem TÍNH NĂNG và TỔNG QUAN THIẾT KẾ). Lưu ý rằng đi săn
đang hoạt động trên Ethernet và được sử dụng tốt nhất cho các kết nối có thể được theo dõi qua nó.
Tuy nhiên, có thể làm điều gì đó ngay cả đối với các máy chủ trên phân đoạn khác hoặc máy chủ lưu trữ
trên các cổng chuyển mạch. Cuộc săn lùng không phân biệt giữa các kết nối mạng cục bộ và
kết nối đến / từ Internet. Nó có thể xử lý tất cả các kết nối mà nó thấy.
Đánh cắp kết nối chủ yếu nhằm vào lưu lượng telnet hoặc rlogin nhưng nó có thể được sử dụng
cho cả lưu lượng truy cập khác. Các tính năng reset, xem, arp, ... là chung cho tất cả
kết nối.
Tính năng nổi bật:
Kết nối Quản lý
* Thiết lập những kết nối mà bạn quan tâm.
* Phát hiện kết nối đang diễn ra (không chỉ khởi động SYN).
* Không tặc hoạt động bình thường khi phát hiện ra cơn bão ACK.
* ARP giả mạo / Đánh cắp thông thường với việc phát hiện giả mạo ARP thành công.
* Đồng bộ hóa máy khách thực sự với máy chủ sau khi chiếm quyền điều khiển (để
kết nối không cần phải được đặt lại).
* Đang đặt lại kết nối.
* Đang xem kết nối.
yêu tinh
* Đặt lại daemon để thiết lập lại kết nối tự động. * ARP giả mạo / trình chuyển tiếp daemon cho
ARP giả mạo các máy chủ với khả năng chuyển tiếp tất cả các gói từ các máy chủ giả mạo. *
Daemon khám phá MAC để thu thập địa chỉ MAC. * Daemon Sniff để đăng nhập TCP
lưu lượng truy cập với khả năng tìm kiếm một chuỗi cụ thể.
Máy chủ Đang giải quyết
* Máy chủ lưu trữ hoãn phân giải thông qua máy chủ trợ giúp DNS chuyên dụng.
Gói Động cơ
* Công cụ gói mở rộng để xem lưu lượng TCP, UDP, ICMP và ARP. *
Thu thập các kết nối TCP với số thứ tự và phát hiện bão ACK.
Khác * Xác định máy chủ nào đang hoạt động.
Đã chuyển đổi Môi trường
* Máy chủ trên các cổng chuyển mạch cũng có thể bị giả mạo, đánh hơi và chiếm quyền điều khiển.
COMMAND ĐƯỜNG DÂY THÔNG SỐ
-V Phiên bản in
-v Chi tiết (in pids của các chủ đề đã tạo)
-i giao diện Nghe trên giao diện này. Mặc định là eth0
KỸ THUẬT GIẢI TRÌNH
Hãy để tôi giải thích một số vấn đề kỹ thuật mà tôi sử dụng khi đi săn và những vấn đề này cần thiết cho
hiểu cách nó hoạt động và những gì bạn nên mong đợi. Các điều khoản quan trọng là IP
giả mạo, giả mạo ARP và cơn bão ACK. Ngay cả khi bạn đã quen thuộc với chúng, bạn có thể nhận được
một số thông tin mới.
IP giả mạo
Bạn đặt địa chỉ nguồn gói thành địa chỉ IP của máy chủ mà bạn giả danh.
ARP giả mạo
Bạn đặt địa chỉ phần cứng nguồn gói (địa chỉ MAC nguồn) thành địa chỉ của
máy chủ mà bạn giả danh.
Đơn giản hoạt động Tấn công chống lại TCP kết nối - It is a cũng nổi tiếng kiểu
tấn công trong đó bạn gửi một gói có địa chỉ IP giả mạo và cũng có thể
với địa chỉ ARP giả mạo (địa chỉ MAC thực của máy khách và máy chủ - không phải địa chỉ giả mạo
như đã giải thích thêm). Bằng cách này, bạn có thể buộc một lệnh vào luồng nhưng bạn
có khả năng nhận được cơn bão ACK (như được giải thích thêm) trừ khi
máy khách của kết nối đang chạy Linux.
ARP giả mạo
Tôi cũng sử dụng thuật ngữ này để buộc máy chủ từ xa nghĩ rằng máy chủ mà tôi muốn
be có một địa chỉ MAC khác để máy chủ từ xa gửi trả lời đến địa chỉ MAC đó
và máy chủ khách hàng ban đầu không thể nhận chúng (nhưng cuộc săn tìm đang theo dõi
cẩn thận và xử lý tất cả các hậu quả) (Giải thích cách buộc máy chủ trên
mạng để nghĩ rằng máy chủ lưu trữ khác có MAC khác, tôi để lại như một bài tập - tôi
khuyến khích bạn đọc mã nguồn). Xin lưu ý rằng tôi sử dụng thuật ngữ ARP
giả mạo thay vì thuật ngữ ARP buộc hoặc đại loại như vậy. Vì vậy, đừng
nhầm lẫn, nếu tôi nói giả mạo ARP, nghĩa là tôi đang sử dụng một số địa chỉ MAC của máy chủ hoặc chỉ
một số địa chỉ MAC giả. Lưu ý rằng ARP giả mạo (với ý nghĩa của tôi là buộc một số MAC)
không hoạt động trên Solaris2.5 vì nó có bộ hẹn giờ hết hạn trên các mục ARP, vì vậy bạn
không thể dễ dàng buộc Solaris bỏ một mục ARP. Mục nhập thường hết hạn sau
20 phút hoặc ít hơn (nhưng bạn có cơ hội ép buộc và săn hỗ trợ chế độ này). Các
bộ hẹn giờ hết hạn trên Solaris được đặt bởi:
không có -bộ / dev / ip ip_ire_flush_interval 60000 /* 1 phút */
không có -bộ / dev / arp arp_cleanup_interval 60 /* 1 phút */
Tôi khuyến khích bạn yêu cầu netadmin của bạn đặt các giá trị trên trên tất cả Solaris
máy móc. Win95 / NT4sp3, Linux2.0, OSF1 V4.0, HP-UX10.20 không được bảo vệ trong
theo cách này để bạn có thể dễ dàng sử dụng kỹ thuật được mô tả trên chúng (thực tế, chúng có
bộ hẹn giờ, nhưng chúng không hoạt động như ở Solaris; trên thực tế, chỉ có Solaris là
ngoại lệ). Trên thực tế, cuộc săn sử dụng kỹ thuật này để nó muốn ép buộc một người giả mạo
MAC của máy chủ đến máy khách và MAC giả của máy khách đối với máy chủ. sau đó
cả máy chủ và máy khách đều đang gửi các gói đến MAC giả mạo đó (và truy tìm có thể
tất nhiên là xử lý chúng). Tuy nhiên, chỉ cần một máy chủ có giả mạo là đủ
MAC của máy chủ khác. Cơn bão ACK cũng không thể xảy ra trong tình huống này. Vì vậy, bạn
có thể sử dụng kỹ thuật này ngay cả khi một đầu là Solaris và đầu kia thì không. Bạn sẽ
chỉ cần thành công trong máy chủ lưu trữ khác và như vậy là đủ. Vì vậy, vấn đề duy nhất là khi
kết nối là giữa hai máy Solaris. Tuy nhiên, nếu có bất kỳ gốc
kết nối đang diễn ra, bạn có thể dễ dàng đẩy các lệnh được đề xuất ở trên mà không cần ARP
giả mạo kết nối và thay đổi bộ hẹn giờ hết hạn của bộ nhớ cache ARP.
ACK bão
Cơn bão ACK là do phần lớn các ngăn xếp TCP gây ra (!!! Linux2.0 là một ngoại lệ
!!!). Hãy tưởng tượng rằng bạn gửi một số dữ liệu đến một kết nối đang diễn ra tới máy chủ
(như thể được gửi bởi khách hàng - với số seq dự kiến, ...). Máy chủ phản hồi
với xác nhận dữ liệu bạn đã gửi nhưng xác nhận này được nhận bởi
cả khách hàng ban đầu. Nhưng từ quan điểm khách hàng ban đầu, máy chủ có
dữ liệu được thừa nhận không tồn tại trên máy khách. Vì vậy, một cái gì đó kỳ lạ đã xảy ra
và máy khách ban đầu gửi số thứ tự "đúng" với ACK đến máy chủ.
Nhưng các quy tắc TCP nói rằng nó được yêu cầu tạo ra một xác nhận ngay lập tức
khi nhận được một phân đoạn không theo thứ tự. ACK này không nên bị trì hoãn. Nên
máy chủ gửi lại xác nhận dữ liệu không tồn tại cho máy khách. Và
phản hồi của khách hàng, ... Chỉ khi máy chủ nguồn của kết nối là Linux thì
Cơn bão ACK không xảy ra. Lưu ý rằng nếu bạn sử dụng ARP giả mạo (buộc) thì ACK
cơn bão không thể đến vì một hoặc cả hai đầu sẽ gửi các gói có MAC giả và
những gói tin đó được nhận bằng cách săn chứ không phải bởi máy chủ khác.
Kết nối Xóa và làm lại
Với một gói được xây dựng đúng cách, bạn có thể thiết lập lại kết nối (cờ RST trong
Tiêu đề TCP). Tất nhiên, bạn phải biết số thứ tự nhưng nó không phải là
vấn đề cho cuộc đi săn luôn theo dõi. Bạn có thể đặt lại máy chủ, máy khách hoặc
cả hai. Khi bạn chỉ đặt lại một đầu, đầu kia sẽ được đặt lại khi cố gắng gửi dữ liệu
đến máy chủ đầu tiên sẽ phản hồi bằng RST vì thiết lập lại kết nối trên
nó.
Kết nối đánh hơi / xem
Điều đơn giản nhất bạn có thể làm là im lặng ngồi trên ghế và xem đầu ra của cuộc săn tìm
về bất kỳ kết nối nào bạn chọn từ danh sách.
Kết nối Đồng bộ hóa
Chà, đó là một trong những đặc điểm chính của cuộc đi săn. Nếu bạn đặt một số dữ liệu vào TCP
luồng (thông qua tấn công tích cực đơn giản hoặc giả mạo ARP), bạn giải mã đồng bộ hóa luồng
từ quan điểm máy chủ / khách hàng ban đầu. Sau một số công việc hoàn thành về điều đó
kết nối bạn chỉ có thể đặt lại nó hoặc bạn có thể thử đồng bộ hóa cả hai đầu ban đầu
lần nữa. Đó không phải là một nhiệm vụ dễ dàng. Người dùng trên máy khách được nhắc nhập một số
ký tự và một số ký tự được gửi đến máy khách và máy chủ. Mục tiêu chính của tất cả mọi thứ
là đồng bộ lại số thứ tự trên cả máy khách và máy chủ.
Chuyển đổi / Phân đoạn giao thông định tuyến lại
Với ARP giả mạo, bạn thậm chí có thể buộc chuyển đổi để nó sẽ gửi cho bạn lưu lượng truy cập
cho các máy chủ trên một phân đoạn / cổng chuyển mạch khác. Điều này là do một công tắc sẽ nghĩ
rằng MAC thuộc về cổng của bạn. Hãy cẩn thận nếu công tắc của bạn có một số bảo mật
chính sách và MAC đã được thiết lập rõ ràng trên cơ sở mỗi cổng - nhưng trên thực tế, tôi
không bao giờ thấy một cấu hình như vậy trên mạng "thông thường".
chuyển tiếp ARP daemon
Đừng nhầm lẫn. Tôi sử dụng thuật ngữ này cho săn daemon chịu trách nhiệm về
chèn các gói vào mạng (định tuyến lại) của tất cả dữ liệu mà nó nhận được từ ARP
máy chủ giả mạo.
Đã chuyển đổi môi trường
Chà, cuộc săn hiện có khả năng theo dõi và cướp các vật chủ đang được bật
các cổng. Nói chung, bạn không thể xem lưu lượng máy chủ trên các cổng đã chuyển nhưng nếu bạn
ARP đầu tiên giả mạo chúng (với menu daemon ARP giả mạo), bạn có thể xem
kết nối giữa các máy chủ đó. Đầu tiên, bạn thực hiện giả mạo arp và các máy chủ sẽ
gửi cho bạn lưu lượng truy cập và từ đó bạn có thể liệt kê các kết nối giữa chúng,
thì bạn có thể xem và chiếm quyền điều khiển chúng. Người ta thường chấp nhận rằng các công tắc
bảo vệ các kết nối của bạn một lần nữa bên trong những kẻ xâm nhập và giả mạo. Chà, đó vẫn là
đúng với các thiết bị chuyển mạch được thiết lập cẩn thận. Các thiết bị chuyển mạch được cắm vào mạng LAN
không có bất kỳ cấu hình bảo mật cổng nào sẽ vô ích trong công việc bảo vệ mạng LAN của bạn.
THIẾT KẾ TỔNG QUAN
Mô hình phát triển dựa trên một công cụ gói (hunter.c) chạy trong luồng riêng của nó
và bắt các gói từ mạng. Công cụ gói thu thập thông tin của TCP
kết nối / bắt đầu / kết thúc, số thứ tự và địa chỉ MAC. Nó thu thập
MAC và seq. số từ quan điểm máy chủ và MAC và seq riêng biệt. con số
từ quan điểm của khách hàng. Vì vậy, nó được chuẩn bị cho không tặc. Thông tin này (seq.
số, MAC,
Mô-đun có thể đăng ký các chức năng với công cụ gói mà sau đó được gọi khi mới
các gói được nhận. Một chức năng mô-đun xác định xem mô-đun có quan tâm đến một gói không
hoặc không và có thể đặt gói tin trong danh sách gói tin mô-đun cụ thể. Một chức năng mô-đun
cũng có thể gửi một số gói đến mạng nếu nó muốn thực hiện rất nhanh. Các
mô-đun (thường là trong một số luồng khác nên nó cần được lên lịch để chạy) sau đó được
các gói từ danh sách và phân tích chúng. Bằng cách này, bạn có thể dễ dàng phát triển các mô-đun
thực hiện các hoạt động khác nhau.
Các gói được gửi dưới dạng phản hồi tới mạng được mô tả theo cấu trúc nên bạn không
phải quan tâm đến một số trường hoặc tổng kiểm tra mặc định. Tại thời điểm này, các chức năng cho TCP, ICMP
và lưu lượng ARP đã được chuẩn bị. (UDP bị thiếu vì tôi không sử dụng nó trong bất kỳ
mô-đun)
Một tập hợp các daemon riêng biệt được sử dụng để phân giải máy chủ (DNS). Đó là bởi vì
Hàm gethostbyname / gethostbyname_r được bảo vệ bởi mutex (Theo như tôi biết - nó là như vậy
hai năm trước - tôi đã không thử nó ngay bây giờ) vì vậy bạn không thể chạy nó thực sự song song trong một đa luồng
môi trường. Do đó, cách giải quyết thường được sử dụng là kích hoạt một số daemon trợ giúp
thông qua fork sẽ chạy gethostbyname.
USER MÔI TRƯỜNG
Chà, môi trường người dùng không phải là đồ họa nhưng tôi tin rằng bạn sẽ thích nó.
Trong tiêu đề của tất cả các menu là một số thông tin trạng thái về cuộc đi săn. Đầu tiên, có một
chỉ báo bạn đang làm việc với menu nào. Thứ hai, số lượng gói tin nhận được khi đi săn
được hiển thị. Hunt phân bổ trước một số bộ đệm cho các gói tin; tình trạng miễn phí và phân bổ
bộ đệm được hiển thị dưới dạng giá trị thứ ba. Số lượng bộ đệm miễn phí thấp đối với mức cao
mạng đã tải hoặc cơn bão ACK hoặc nếu bạn có phần cứng kém. Trong trường hợp của tôi, ví dụ,
các số 63/64 thường được chỉ ra có nghĩa là chỉ có một bộ đệm được sử dụng, nhưng sau
Cơn bão ACK, tôi có một cái gì đó giống như 322/323. Lưu ý rằng các bộ đệm một khi được cấp phát không
được giải phóng. Số lượng bộ đệm miễn phí thấp cũng có thể có nghĩa là một số lỗi trong cuộc săn lùng nhưng tôi nghĩ rằng tôi
đã gỡ lỗi cẩn thận tất cả các mô-đun cho loại lỗi này. Chỉ số cuối cùng báo cáo
daemon (thực sự là các chủ đề) đang chạy. Đó là: R - reset daemon, Y - arp relayer, S -
người đánh hơi, người phát hiện M - MAC. Nếu bạn bật tùy chọn dài dòng, bạn sẽ nhận được thêm
thông tin về số lượng gói đã bị rơi - chúng là các mảnh (xem lỗi) hoặc
không đúng định dạng và có bao nhiêu gói thuộc các giao thức khác ngoài TCP, UDP, ICMP và
ARP. Trong lời nhắc nhập liệu của người dùng là chỉ báo sẽ cho bạn biết thông qua ký tự '*' rằng
tìm (các) kết nối mới đã thêm vào danh sách kết nối kể từ lần nghe kết nối cuối cùng.
Tổng quan giao diện
Trong tất cả các menu, phím x hoạt động như thoát. Mặt nạ mạng được biểu thị bằng
ký hiệu ip_address / mask trong đó mask là số 1 ở bên trái của
mặt nạ mạng. Ví dụ: 0.0.0.0/0 có nghĩa là mọi thứ và 192.168.32.10/32 có nghĩa là
chỉ máy chủ đó.
Đối với hầu hết các mô-đun được sử dụng:
l) Danh sách sản phẩm
a) thêm mặt hàng
m) sửa đổi mục
d) xóa mục
Chúng sẽ được gọi trong văn bản này là l) a) m) d)
Danh sách / Xem / Đặt lại liên quan
Bạn có thể lấy danh sách các kết nối được theo dõi bởi công cụ săn gói tin. Cái mà
kết nối được theo dõi được chỉ định trong menu tùy chọn. Bạn có thể tương tác
xem hoặc đặt lại các kết nối này. Bạn cũng có thể thực hiện tấn công chúng (hai tiếp theo
các mục menu).
ARP / Đơn giản không tặc
ARP / Simple hijack cung cấp cho bạn một giao diện tương tác để chèn dữ liệu vào
kết nối đã chọn. Bạn có thể thực hiện giả mạo ARP cho cả hai đầu kết nối, cho
chỉ có một đầu hoặc bạn không thể làm điều đó ở tất cả. Nếu bạn không làm giả ARP thì bạn
có lẽ nhận được cơn bão ACK sau khi gõ ký tự đầu tiên. Khi bạn thực hiện ARP
giả mạo, nó được kiểm tra nếu nó thành công. Nếu không, bạn sẽ được nhắc nếu bạn muốn
đợi cho đến khi nó thành công (tất nhiên bạn có thể làm gián đoạn việc chờ đợi này thông qua CTRL-C).
Sau khi chèn một số dữ liệu vào kết nối, bạn nhập CTRL-] và sau đó bạn có thể
đồng bộ hóa hoặc đặt lại kết nối. Nếu bạn chọn đồng bộ hóa, người dùng sẽ
được nhắc nhập một số ký tự và sau khi anh ta làm như vậy, kết nối sẽ ở trong
trạng thái đồng bộ. Bạn có thể làm gián đoạn quá trình đồng bộ hóa bằng CTRL-C và
thì bạn có thể thiết lập lại kết nối. Lưu ý rằng CTRL-C được sử dụng rộng rãi để ngắt
một quá trình liên tục. CTRL-] (như telnet) được sử dụng để hoàn thiện tương tác
chèn dữ liệu vào kết nối. ARP / Simple hijack không tự động
thiết lập lại kết nối sau khi nó phát hiện cơn bão ACK, do đó bạn phải tự thực hiện.
Cũng lưu ý rằng ARP / Tấn công đơn giản hoạt động với trình chuyển tiếp ARP (như được mô tả thêm)
để các kết nối khác không bị ảnh hưởng. Thông thường, nếu bạn ARP giả mạo hai máy chủ
thì ARP / Simple hijack chỉ xử lý một kết nối được chọn giữa hai
host nhưng các kết nối khác giữa hai host này trông giống như chúng bị đóng băng. nếu bạn
khởi động trình chuyển tiếp ARP, sau đó các kết nối khác này được xử lý và định tuyến lại
xuyên qua. Vì vậy, các kết nối khác từ một máy chủ giả mạo đến máy chủ khác không bị ảnh hưởng
ở tất cả. Bạn nên chạy trình chuyển tiếp ARP nếu bạn thực hiện tấn công ARP của hai
may chủ. Lưu ý rằng nếu bạn ARP giả mạo (buộc) một số MAC của máy khách vào máy chủ thì
chỉ các kết nối đi từ máy chủ đến máy khách đó bị ảnh hưởng. Khác
kết nối từ máy chủ đến các máy khác không bị ảnh hưởng.
Đơn giản không tặc
Hijack đơn giản cho phép bạn chèn một lệnh vào luồng dữ liệu của kết nối.
Khi bạn chèn lệnh, hãy đợi lệnh hoàn thành trong một khoảng thời gian chờ nhất định
và nếu cơn bão ACK không xảy ra, bạn sẽ được nhắc lệnh tiếp theo. Sau
điều đó, bạn có thể đồng bộ hóa hoặc đặt lại kết nối. Lưu ý rằng bạn có thể sử dụng
giao diện tương tác để chiếm quyền điều khiển đơn giản khi bạn sử dụng ARP / chiếm quyền điều khiển đơn giản mà không cần ARP
giả mạo nhưng nếu bạn sử dụng giao diện tương tác đầy đủ của ARP / chiếm quyền điều khiển đơn giản mà không có ARP
giả mạo, bạn có khả năng nhận được cơn bão ACK ngay lập tức sau khi nhập lần đầu tiên
ký tự. Vì vậy, chế độ không tặc này rất hữu ích khi bạn phải đối phó với cơn bão ACK
bởi vì nó gửi dữ liệu của bạn đến kết nối trong một gói duy nhất. Khi cơn bão ACK
đang trong quá trình thực hiện, rất khó để chuyển các gói tin khác từ máy chủ đến máy chủ như
mạng và máy chủ bị tắc nghẽn.
HÀNG NGÀY
Tôi gọi chúng là daemon nhưng chúng thực sự là các chuỗi. Tất cả các daemon có thể được khởi động và
khom lưng. Đừng ngạc nhiên khi bạn chèn hoặc sửa đổi một số quy tắc trong daemon và nó thực hiện
không có gì. Daemon không chạy - bạn phải khởi động nó. Tất cả các daemon là theo mặc định
đã dừng mặc dù bạn có thể thay đổi cấu hình. Các lệnh phổ biến trong menu daemon
là:
s) khởi động daemon
k) dừng daemon
l) liệt kê các mục cấu hình
a) thêm cấu hình. bài báo
m) sửa đổi cấu hình. bài báo
d) xóa cấu hình. bài báo
Xóa và làm lại daemon
Daemon này có thể được sử dụng để thực hiện đặt lại tự động các kết nối đang diễn ra
săn có thể nhìn thấy. Bạn có thể mô tả những kết nối nào nên được chấm dứt bằng cách đưa ra
Các cổng src / dst host / mask và src / dst. Cờ SYN tắt có nghĩa là tất cả các
kết nối nên được chấm dứt (thậm chí đang diễn ra). Cờ SYN bật nghĩa là chỉ
kết nối mới bắt đầu được đặt lại. Vì vậy, các kết nối đang được tiến hành
không bị ảnh hưởng. Đừng quên khởi động daemon.
ARP daemon
Tại đây bạn có thể thực hiện giả mạo ARP của các máy chủ. Bạn nhập địa chỉ src và dst và mong muốn
srcMAC. Sau đó, dst buộc phải nghĩ rằng src có srcMAC. Bạn có thể sử dụng một số giả
MAC hoặc MAC tốt hơn của máy chủ hiện đang giảm. Bạn chỉ muốn rằng các máy chủ sẽ
gửi cho bạn tất cả dữ liệu (vì vậy bạn thậm chí có thể xem các gói nằm trên một
phân đoạn hoặc cổng chuyển mạch mà bạn thường không thấy) Mô-đun ARP trông
cẩn thận đối với các gói sẽ phá vỡ giả mạo ARP của máy chủ và xử lý chúng nhưng
bạn thậm chí có thể chỉ định khoảng thời gian làm mới cho ARP giả mạo nhưng nó không cần thiết
để làm điều đó. Chỉ đặt khoảng thời gian làm mới nếu bạn gặp phải một số lỗi hoặc
hành vi kỳ lạ của máy chủ giả mạo. Ngoài ra, có khả năng kiểm tra các máy chủ
để giả mạo thành công với khả năng buộc giả mạo đó - bạn nên
kiểm tra giả mạo ARP nếu có điều gì đó giống như sai hoặc máy tính không gửi
lưu lượng truy cập vào cuộc đi săn. Tùy chọn lực lượng rất hữu ích nếu gói tin giả mạo đầu tiên
bị loại bỏ với công tắc, vì vậy nếu bạn đang chạy truy tìm các máy chủ được bật
bạn có thể thử chạy chế độ cưỡng bức trong 10 giây và sau đó phá vỡ nó bằng
CTRL-C nếu giả mạo tiếp tục không thành công. Trình nền chuyển tiếp ARP được sử dụng để thực hiện
ARP chuyển tiếp các kết nối giả mạo ARP. Khi bạn chèn một số ARP giả mạo máy chủ
việc giả mạo ARP được thực hiện ngay lập tức ngay cả khi bộ chuyển tiếp không chạy !!!. Nhưng
nếu giả mạo ARP thành công, các kết nối sẽ giống như bị đóng băng. Vì
định tuyến lại (không phải định tuyến IP!) các kết nối này thông qua việc tìm kiếm của bạn, bạn cần bắt đầu
trình chuyển tiếp ARP. Bộ chuyển tiếp hoạt động tốt với ARP / chiếm đoạt đơn giản, vì vậy một khi bạn có
máy chủ ARP giả mạo với ARP relay, bạn có thể dễ dàng thực hiện ARP / chiếm quyền điều khiển đơn giản mà sẽ
phát hiện rằng các máy chủ đã được ARP giả mạo và chiếm quyền điều khiển kết nối
ngay lập tức. Với kỹ thuật này, bạn có thể dễ dàng trở thành người đàn ông ở giữa từ
bắt đầu kết nối ngay cả khi máy chủ lưu trữ của bạn đi săn không phải là cổng IP. tôi
khuyến khích bạn viết các trình xử lý giao thức ứng dụng cụ thể khác cho người đàn ông trong
cuộc tấn công giữa vì nó thực sự đơn giản với khuôn khổ này.
Bị nghẹt mũi daemon
Mục đích của trình nền hít là ghi lại các gói được chỉ định. Daemon đánh hơi có thể
cũng tìm kiếm một mẫu đơn giản (chuỗi) trong luồng dữ liệu (xem lỗi
phần). Bạn có thể chỉ định kết nối mà bạn quan tâm, tìm kiếm ở đâu
(src, dst, cả hai), bạn muốn tìm kiếm cái gì, bạn muốn ghi lại bao nhiêu byte, từ
hướng nào (src, dst, cả hai) và tệp daemon nên ghi. Tất cả các
các tệp đã ghi được lưu trữ trong thư mục .sniff. Tên tệp mặc định để ghi nhật ký
được tạo thành o, 0t (ashnew-linesoor asmhex num.). menu phụ tùy chọn bạn có thể đặt cách
đăng nhập các dòng mới (
MAC phát hiện daemon
Daemon này được sử dụng để thu thập các địa chỉ MAC tương ứng với IP được chỉ định
phạm vi. Bạn có thể nhập thời gian mà sau đó daemon sẽ thử thu thập lại
(mặc định là 5 phút).
Máy chủ up thực đơn
Mô-đun máy chủ lưu trữ xác định máy chủ nào đang hoạt động (với ngăn xếp TCP / IP). Bạn chỉ
xác định phạm vi IP và không gian đó sau đó được tìm kiếm cho các máy chủ đang chạy. Nó là
có khả năng xác định máy chủ nào có giao diện mạng ở chế độ quảng bá. Các
chế độ lăng nhăng thường cho thấy rằng máy chủ đang chạy một số loại
trình đánh hơi / phân tích mạng.
Các lựa chọn thực đơn
Trong menu tùy chọn, bạn có thể điều chỉnh những thứ khác nhau:
l) a) m) d)
Danh sách / Thêm / Mod / Del Kết nối Chính sách lối vào
Trước hết, bạn có thể chọn các kết nối sẽ được theo dõi. Mặc định
cài đặt là xem xét các kết nối telnet từ tất cả các máy chủ nhưng bạn có thể điều chỉnh điều này
hành vi của các cặp cổng src / dst address / mask src / dst. Với
lệnh: l) a) m) d) bạn thiết lập những gì bạn quan tâm.
c) Kết nối Listening Bất động sản
Bạn có thể đặt xem số thứ tự và MAC của các kết nối đang diễn ra sẽ là
hiển thị trong quá trình nghe kết nối.
h) Máy chủ Đang giải quyết
Bạn có thể bật tính năng phân giải các máy chủ theo tên của chúng. Vì việc giải quyết được trì hoãn, bạn
không nhận được tên của máy chủ lưu trữ ngay lập tức. Chỉ cần cố gắng liệt kê một số kết nối
lần và bạn sẽ thấy tên máy chủ. (Tôi đã sử dụng phương pháp trì hoãn này vì tôi
không muốn bất kỳ sự chậm trễ nào của giao diện mà việc phân giải có thể gây ra).
r) Xóa và làm lại ACK bão Timeout
Thời gian chờ này được sử dụng trong tấn công đơn giản để tự động thiết lập lại kết nối sau
cơn bão ACK được phát hiện. Lưu ý rằng bạn có thể nhận được cơn bão ACK ngay cả trong
chiếm đoạt arp / đơn giản trong trường hợp bạn không thực hiện giả mạo ACK của bất kỳ máy chủ nào.
s) Đơn giản không tặc Timeout Trong Trang Tiếp cmd
Hijack đơn giản không có giao diện kết nối tương tác. Điều đó có nghĩa là bạn viết
toàn bộ lệnh sẽ được chèn vào luồng dữ liệu kết nối. Nếu không có dữ liệu là
được chuyển qua kết nối cho đến hết thời gian chờ này, bạn sẽ được nhắc về
lệnh tiếp theo.
q) ARP Yêu cầu trả lời Gói
Số lượng gói tin yêu cầu hoặc trả lời mà cuộc tìm kiếm sẽ gửi khi nó đang thực hiện hành vi giả mạo arp.
t) ARP Yêu cầu Lừa đảo Thông qua Yêu cầu
Tùy chọn liệu Hunt sẽ gửi yêu cầu giả mạo ARP hay trả lời giả mạo ARP khi nhận được
yêu cầu ARP đã phát sẽ phá vỡ ARP giả mạo.
w) Đã chuyển đổi Môi trường
Một số tối ưu hóa cho môi trường chuyển đổi. Nó hoạt động hoàn hảo cho không chuyển đổi
môi trường cũng vậy.
y) ARP Lừa đảo Với My MAC
Đặt địa chỉ MAC gốc của ARP giả mạo đã gửi thành MAC ethernet (săn lùng) của tôi -
đôi khi giúp ích trong môi trường chuyển đổi.
e) Kiến Thức MAC Từ IP Giao thông
Bạn có thể kích hoạt rằng địa chỉ MAC sẽ được học từ tất cả lưu lượng IP không chỉ từ
ARP.
p) Số dòng in trên mỗi trang nghe
Tự giải thích
v) Bật / Tắt chi tiết
Tự giải thích
TESTED MÔI TRƯỜNG
SĂN BẮN chương trình yêu cầu:
* Linux> = 2.2
* Glibc với linuxthreads
* Ethernet
Thử nghiệm máy chủ:
Linux 2.0, Linux 2.1, Linux 2.2, Solaris 2.5.1, NT4sp3 / 4, Win95, OSF V4.0D, HPUX 10.20,
IRIX 6.2
Thử nghiệm mạng Trang thiết bị:
Công tắc BayNetworks 28115, 28200, 300 Bộ chuyển mạch 3Com SuperStack II 3000, 1000
AN NINH GHI CHÚ
Xin lưu ý sự thật đã biết rằng telnet và các chương trình tương tự gửi mật khẩu
trong văn bản rõ ràng dễ bị tổn thương bởi các cuộc tấn công được mô tả. Các chương trình sử dụng mật khẩu một lần
cũng dễ dàng bị tấn công và trên thực tế, chúng vô dụng nếu ai đó có thể chạy một chương trình như
săn bắn. Chỉ lưu lượng truy cập được mã hóa đầy đủ mới không bị các cuộc tấn công này tấn công nhưng lưu ý rằng bạn có thể
trở thành người ở giữa nếu bạn sử dụng ARP giả mạo (ép buộc) mà không có cơn bão ACK và bạn
có thể cố gắng làm điều gì đó. Ngoài ra, công tắc chưa được định cấu hình không bảo vệ bạn khỏi bị đánh hơi hoặc
không tặc. Cần phải cấu hình cẩn thận bảo mật cổng trên các thiết bị chuyển mạch theo thứ tự
để bảo vệ các máy tính trên các cổng chuyển mạch.
Phát hiện các cuộc tấn công không phải là một nhiệm vụ dễ dàng. Đối với giả mạo ARP, có các công cụ có thể phát hiện
nó. Bão ACK có thể được phát hiện bởi một số máy phân tích mạng phức tạp (bạn có thể phát hiện
mô hình của cơn bão ACK hoặc số liệu thống kê của ACK không có dữ liệu). Nếu bạn chạy đi săn
mạng của bạn, bạn có thể phát hiện ra cơn bão ACK vì cuộc đi săn có thể phát hiện ra cơn bão ACK
mô hình.
THI LƯU Ý
Đảm bảo rằng bạn đang chạy săn trên máy không tải với đủ năng lượng (Tôi đã sử dụng PII-233 với
128MB RAM) và không có bất kỳ trình phân tích gói nào khác vì nếu bạn sử dụng các tính năng nâng cao như
arp spoofing hoặc hijacking săn lùng cần phải trả lời nhanh với các gói tin của chính nó được chèn vào
lưu lượng trên mạng.
TẢI VỀ
Phần mềm này có thể được tìm thấy tại http://www.gncz.cz/kra/index.html
hoặc tại
ftp://ftp.gncz.cz/pub/linux/hunt/
Được biết đến GIỎI
* một số cấu trúc bị khóa kém thông qua mutexes
* nếu bạn xem kết nối thì một số chuỗi thoát khỏi kết nối đó có thể ảnh hưởng
thiết bị đầu cuối của bạn. Lưu ý rằng thiết bị đầu cuối của bạn có tên là "Linux" ("xterm" - nếu bạn chạy nó từ X,
...) nhưng các trình tự thoát dành cho thiết bị đầu cuối phía máy khách có thể có hoặc không
Linux nên bạn có thể gặp một số mớ hỗn độn.
* ngửi không có khả năng tìm kiếm một mẫu vượt qua ranh giới gói. Điều đó
có nghĩa là nó không thể tìm kiếm một mẫu đầu vào do người dùng nhập vì đầu vào này thường là
được truyền với gói dữ liệu dài 1B.
* Hunt không hỗ trợ chống phân mảnh nên các đoạn IP phải được loại bỏ.
BUG SỬA LỖI, BỀN VỮNG
Vui lòng gửi mô tả lỗi, bản vá, đề xuất, mô-đun mới hoặc câu chuyện thành công tới
[email được bảo vệ]
LỜI CẢM ƠN
Tôi xin cảm ơn Sven Ubik [email được bảo vệ] > cho đầu vào vô giá của anh ấy và
Phản hồi.
CUỐI CÙNG WORD
Lưu ý rằng phần mềm này được viết chỉ để tôi giải trí trong thời gian rảnh rỗi và nó thật tuyệt
thực hành các giao thức TCP / IP. Bây giờ tôi đã quen thuộc với seq. số, ACK, thời gian chờ, MAC,
tổng kiểm tra, ... đến mức tốt nhất. Vì tôi có một số nền tảng khá tốt nên "cuộc săn" này
thách thức khiến tôi nghĩ rằng tôi đã không biết TCP / IP tuyệt vời như tôi đã nghĩ. Bạn là
chào mừng bạn đến đọc mã nguồn và cố gắng sửa đổi nó hoặc viết các mô-đun của riêng bạn.
DEBIAN
Trang này được chuyển đổi từ tài liệu nội bộ bởi Jon marler < [email được bảo vệ]
> dành cho hệ điều hành Debian GNU / Linux.
SĂN BẮN(1)
Sử dụng săn trực tuyến bằng các dịch vụ onworks.net
