banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Kiểm tra checksum, thay đổi checksum  XML
  [Question]   Kiểm tra checksum, thay đổi checksum 18/04/2009 12:21:37 (+0700) | #31 | 177625
zu4er
Member

[Minus]    0    [Plus]
Joined: 06/01/2009 12:58:26
Messages: 85
Offline
[Profile] [PM]
Quay lại em muốn trả lời câu hỏi của anh conmale

conmale wrote:

Bàn thêm đi smilie .

Trong đoạn ------- như thế, thì với điều kiện nào mà attacker có thể capture packets được server gởi cho client (để mà thực hiện chuyện "sửa đổi")? 



Cái này chắc anh đã đồng ý các forwarder là các người nhìn thấy dữ liệu qua lại rồi đúng ko?

còn điều kiện, em nghĩ để capture được toàn bộ packet thì nó có thể dùng biện pháp arp spoofing ( hay có cách khác mà em ko biết ) hoặc tương tự để thay đổi source và destination header của packet giữa Server và client => nó làm thằng đứng giữa để foward packet từ Mỹ và nhận packet từ VN đẻ forward qua Mỹ lại lúc này nó sẽ có đk hơn để thay đổi nội dung file.



[Up] [Print Copy]
  [Question]   Kiểm tra checksum, thay đổi checksum 18/04/2009 13:29:11 (+0700) | #32 | 177635
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

zu4er wrote:
Quay lại em muốn trả lời câu hỏi của anh conmale

conmale wrote:

Bàn thêm đi smilie .

Trong đoạn ------- như thế, thì với điều kiện nào mà attacker có thể capture packets được server gởi cho client (để mà thực hiện chuyện "sửa đổi")? 



Cái này chắc anh đã đồng ý các forwarder là các người nhìn thấy dữ liệu qua lại rồi đúng ko?

còn điều kiện, em nghĩ để capture được toàn bộ packet thì nó có thể dùng biện pháp arp spoofing ( hay có cách khác mà em ko biết ) hoặc tương tự để thay đổi source và destination header của packet giữa Server và client => nó làm thằng đứng giữa để foward packet từ Mỹ và nhận packet từ VN đẻ forward qua Mỹ lại lúc này nó sẽ có đk hơn để thay đổi nội dung file.



 


À ha. "arp spoofing". Chờ mãi mới thấy từ này smilie .

"arp spoofing" cho ta cái gì?

Giả sử anh ngồi ở Úc, download 1 file từ một server bên Mỹ. Từ chỗ anh sang server bên Mỹ là 10 hops chẳng hạn.

- Ở hop nào có thể "arp spoof"? Lý do?
- Ở hop nào không thể "arp spoof"? Lý do?
- Ngay cả ở hop có thể "arp spoof", điều kiện nào cho phép việc này thành công?

smilie
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Kiểm tra checksum, thay đổi checksum 18/04/2009 14:56:24 (+0700) | #33 | 177642
zu4er
Member

[Minus]    0    [Plus]
Joined: 06/01/2009 12:58:26
Messages: 85
Offline
[Profile] [PM]

conmale wrote:


À ha. "arp spoofing". Chờ mãi mới thấy từ này smilie .

"arp spoofing" cho ta cái gì?

Giả sử anh ngồi ở Úc, download 1 file từ một server bên Mỹ. Từ chỗ anh sang server bên Mỹ là 10 hops chẳng hạn.

- Ở hop nào có thể "arp spoof"? Lý do?
- Ở hop nào không thể "arp spoof"? Lý do?
- Ngay cả ở hop có thể "arp spoof", điều kiện nào cho phép việc này thành công?

smilie  


chà bây giờ câu hỏi càng ngày càng xuống thấy từ tấng máy bay bây giờ xuống tầng 2

Em vẽ lại topo:

Sever Mỹ --switch10---router10------......------router 1 --- switch1-----Client Úc

Việc ARP làm là chỉ giúp client biên dịch từ IP<--->MAC address. ARP hoạt động ở lớp 2 nên chú ý đến MAC address.

Khi client requests download file từ 1 site nào đó, nó sẽ chuyển từ DNS-->IP, trả cho client biết ip của server mỹ, lúc này có IP rồi client sẽ hỏi MAC address của server mỹ đó là gì, nó mới moi trong ARP cache của nó ( có thê lưu ở trong máy client ) xem có lưu IP đó có MAC nào chưa, nếu chưa nó sẽ la làng broadcast message trong cùng subnet của nó để hỏi Ai có IP đó thì trả lời nó, IP của server mỹ chắc khác subnet với client nên hỏi default gateway và Routerx sẽ có nhiệm vụ route packet qua các Router khác cho đến khi đụng Server Mỹ sẽ trả lại IP và MAC cho client úc theo chiều ngược lại

(Tới lúc này có lẽ switch1 hoặc 10 sẽ update vào bảng routing table của nó là port ( nối vơi Router ) có MAC và IP đó thì nó sẽ theo forward đi sau này)

Theo câu hỏi của anh

1. nên thể ở hop 1, vì có thể capture và biết được bảng routing table của switch từ đó có thể spoof nó ( em đang suy nghĩ hop 10 có khả thi hơn ko)
2. Những hop trung gian, hop 2-9 ko thể arp spoof, vì nó chỉ làm nhiệm vụ routing ko biết đc ip thực của client và server, và nếu nó spoofing, có thể sẽ phải xử lý ( arp spoof) toàn bộ traffic của hàng triệu request qua nó, mạng sẽ rất chậm
3. Ở hop có thể spoof đc, điều kiện cho phép việc này thành công có thể: chúng arp spoofer phải biét đâu là dc cần để route packet ứng với mac nào, client phải update arp cache khi nó gặp gói arp replay, và cũng có thể client ko set static arp tới default gateway , switch ko có tính năng port security gì đó, hoặc client ko dùng giao thức s-arp để request


[Up] [Print Copy]
  [Question]   Kiểm tra checksum, thay đổi checksum 18/04/2009 15:29:44 (+0700) | #34 | 177643
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]

zu4er wrote:

Khi client requests download file từ 1 site nào đó, nó sẽ chuyển từ DNS-->IP, trả cho client biết ip của server mỹ, lúc này có IP rồi client sẽ hỏi MAC address của server mỹ đó là gì, nó mới moi trong ARP cache của nó ( có thê lưu ở trong máy client ) xem có lưu IP đó có MAC nào chưa, nếu chưa nó sẽ la làng broadcast message trong cùng subnet của nó để hỏi Ai có IP đó thì trả lời nó, IP của server mỹ chắc khác subnet với client nên hỏi default gateway và Routerx sẽ có nhiệm vụ route packet qua các Router khác cho đến khi đụng Server Mỹ sẽ trả lại IP và MAC cho client úc theo chiều ngược lại  

Cái này có chút nhầm lẫn về nguyên tắc hoạt động của network, bạn nên kiểm tra lại.


zu4er wrote:
(Tới lúc này có lẽ switch1 hoặc 10 sẽ update vào bảng routing table của nó là port ( nối vơi Router ) có MAC và IP đó thì nó sẽ theo forward đi sau này)

Theo câu hỏi của anh

1. nên thể ở hop 1, vì có thể capture và biết được bảng routing table của switch từ đó có thể spoof nó ( em đang suy nghĩ hop 10 có khả thi hơn ko)
2. Những hop trung gian, hop 2-9 ko thể arp spoof, vì nó chỉ làm nhiệm vụ routing ko biết đc ip thực của client và server, và nếu nó spoofing, có thể sẽ phải xử lý ( arp spoof) toàn bộ traffic của hàng triệu request qua nó, mạng sẽ rất chậm
3. Ở hop có thể spoof đc, điều kiện cho phép việc này thành công có thể: chúng arp spoofer phải biét đâu là dc cần để route packet ứng với mac nào, client phải update arp cache khi nó gặp gói arp replay, và cũng có thể client ko set static arp tới default gateway , switch ko có tính năng port security gì đó, hoặc client ko dùng giao thức s-arp để request
 

--> Nên chú ý dùng đúng thuật ngữ. Thêm nữa, làm sao mà bạn biết được cái ...table của switch vậy?

--> Bạn nên làm rõ cái gì là attacker và cái gì là victim trong ARP spoofing. Còn nữa, có một lí do hiển nhiên dẫn đến việc ARP spoofing ở hop 2-9 là không thể, chứ không phải là vì nguyên nhân hàng triệu requests làm chậm mạng.
Mind your thought.
[Up] [Print Copy]
  [Question]   Re: Kiểm tra checksum, thay đổi checksum 19/04/2009 10:25:57 (+0700) | #35 | 177729
MrNothing
Member

[Minus]    0    [Plus]
Joined: 04/01/2008 11:05:37
Messages: 76
Offline
[Profile] [PM]
Cho em hỏi cắt dây từ Client đến switch 1 đấu vào 1 con máy có 2 card mạng thì có MITM được ko ạ? Hoặc cắt từ switch1 cho đến phần ra bên ngoài cũng được smilie.
[Up] [Print Copy]
  [Question]   Re: Kiểm tra checksum, thay đổi checksum 19/04/2009 14:24:35 (+0700) | #36 | 177772
zu4er
Member

[Minus]    0    [Plus]
Joined: 06/01/2009 12:58:26
Messages: 85
Offline
[Profile] [PM]

MrNothing wrote:
Cho em hỏi cắt dây từ Client đến switch 1 đấu vào 1 con máy có 2 card mạng thì có MITM được ko ạ? Hoặc cắt từ switch1 cho đến phần ra bên ngoài cũng được smilie


theo mình nghĩ là đc và cũng giống như nó là switch để forward packet, lúc này mình nghĩ cũng vần phải dùng ARP spoofing thôi
[Up] [Print Copy]
  [Question]   Re: Kiểm tra checksum, thay đổi checksum 19/04/2009 14:33:04 (+0700) | #37 | 177774
[Avatar]
H3x4
Member

[Minus]    0    [Plus]
Joined: 02/04/2009 00:03:16
Messages: 242
Offline
[Profile] [PM]

MrNothing wrote:
Cho em hỏi cắt dây từ Client đến switch 1 đấu vào 1 con máy có 2 card mạng thì có MITM được ko ạ? Hoặc cắt từ switch1 cho đến phần ra bên ngoài cũng được smilie

Mình nghĩ bạn nên view qua slide thuyết trình về MITM của bọn mình năm ngoái smilie để hiểu hơn MITM :
http://www.4shared.com/file/100100743/f0e8e5cd/mitm.html
[Up] [Print Copy]
  [Question]   Re: Kiểm tra checksum, thay đổi checksum 19/04/2009 16:41:42 (+0700) | #38 | 177777
Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]

zu4er wrote:
lúc này có IP rồi client sẽ hỏi MAC address của server mỹ đó là gì 

Cái này không chính xác. Client ở Úc không hề quan tâm đến MAC address của server ở Mỹ là gì.

zu4er wrote:
2. Những hop trung gian, hop 2-9 ko thể arp spoof, vì nó chỉ làm nhiệm vụ routing ko biết đc ip thực của client và server, và nếu nó spoofing, có thể sẽ phải xử lý ( arp spoof) toàn bộ traffic của hàng triệu request qua nó, mạng sẽ rất chậm 

Các hop từ 2-9 bắt buộc phải biết IP của client và server. Không biết thì lấy gì mà route?

Câu trả lời cho câu hỏi "Các hop nào có thể sproof ARP được?" của anh conmale là....tùy: Tùy coi người tấn công ở đâu trong topology tên.

Ban cũng nên xem lại cách thức một switch và một router hoạt động thế nào. Từng bước một, một IP Packet chẳng hạn đi từ A đến B, thông qua các switch và các router trung gian thì điều gì sẽ xảy ra, các fields nào của packet, của segment, hoặc của frame sẽ được thay đổi, và thay đổi ra sao.

khoai
[Up] [Print Copy]
  [Question]   Re: Kiểm tra checksum, thay đổi checksum 19/04/2009 20:03:13 (+0700) | #39 | 177780
MrNothing
Member

[Minus]    0    [Plus]
Joined: 04/01/2008 11:05:37
Messages: 76
Offline
[Profile] [PM]

zu4er wrote:

MrNothing wrote:
Cho em hỏi cắt dây từ Client đến switch 1 đấu vào 1 con máy có 2 card mạng thì có MITM được ko ạ? Hoặc cắt từ switch1 cho đến phần ra bên ngoài cũng được smilie


theo mình nghĩ là đc và cũng giống như nó là switch để forward packet, lúc này mình nghĩ cũng vần phải dùng ARP spoofing thôi 


Redirect nó đến fake website bằng cách sửa ip dùng iptables thì sao?
(Sorry vì mình chưa làm thật nên cứ đưa ra ý kiến vậy). Hôm nào thử cái MITM xóa mù smilie.
[Up] [Print Copy]
  [Question]   Re: Kiểm tra checksum, thay đổi checksum 20/04/2009 12:41:46 (+0700) | #40 | 177867
[Avatar]
H3x4
Member

[Minus]    0    [Plus]
Joined: 02/04/2009 00:03:16
Messages: 242
Offline
[Profile] [PM]
Cái này chắc sẽ giúp dc nhiều nè smilie
Code:
https://media.defcon.org/dc-16/video/Defcon16-Kapela-Pilosov-Stealing_the_Internet.m4v
[Up] [Print Copy]
  [Question]   Re: Kiểm tra checksum, thay đổi checksum 20/04/2009 21:13:47 (+0700) | #41 | 177897
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Thảo luận đến đây, các 'héc cờ' wannabe có thấy kiến thức căn bản quan trọng như thế nào chưa? Nếu vẫn chưa thấy thì nên từ bỏ ý định muốn làm 'héc cờ' bởi vì nó hoàn toàn vô vọng. smilie
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Kiểm tra checksum, thay đổi checksum 20/04/2009 23:51:22 (+0700) | #42 | 177913
[Avatar]
ham_choi
Member

[Minus]    0    [Plus]
Joined: 03/09/2006 21:42:03
Messages: 396
Offline
[Profile] [PM]
Thảo luận đến đây, các 'héc cờ' wannabe có thấy kiến thức căn bản quan trọng như thế nào chưa? Nếu vẫn chưa thấy thì nên từ bỏ ý định muốn làm 'héc cờ' bởi vì nó hoàn toàn vô vọng. 


Chí phải , thưa bác smilie
Thế nên con mới học tin học căn bản nè , đâu dám học cao siêu smilie
If love were human it would know me
In a lost space come and show me
Hold me and control me and then
Melt me slowly down
Like chocolate !
[Up] [Print Copy]
  [Question]   Re: Kiểm tra checksum, thay đổi checksum 21/04/2009 06:32:00 (+0700) | #43 | 177946
zu4er
Member

[Minus]    0    [Plus]
Joined: 06/01/2009 12:58:26
Messages: 85
Offline
[Profile] [PM]

Mr.Khoai wrote:

zu4er wrote:
lúc này có IP rồi client sẽ hỏi MAC address của server mỹ đó là gì 

Cái này không chính xác. Client ở Úc không hề quan tâm đến MAC address của server ở Mỹ là gì.

zu4er wrote:
2. Những hop trung gian, hop 2-9 ko thể arp spoof, vì nó chỉ làm nhiệm vụ routing ko biết đc ip thực của client và server, và nếu nó spoofing, có thể sẽ phải xử lý ( arp spoof) toàn bộ traffic của hàng triệu request qua nó, mạng sẽ rất chậm 

Các hop từ 2-9 bắt buộc phải biết IP của client và server. Không biết thì lấy gì mà route?

Câu trả lời cho câu hỏi "Các hop nào có thể sproof ARP được?" của anh conmale là....tùy: Tùy coi người tấn công ở đâu trong topology tên.

Ban cũng nên xem lại cách thức một switch và một router hoạt động thế nào. Từng bước một, một IP Packet chẳng hạn đi từ A đến B, thông qua các switch và các router trung gian thì điều gì sẽ xảy ra, các fields nào của packet, của segment, hoặc của frame sẽ được thay đổi, và thay đổi ra sao.

khoai 


Mặc dù tìm hiểu cái này ko để trở thành hacker nhưng vẫn ko muốn từ bỏ

thank anh Khoai

Em sửa lại như sau:

- Các hop 2-9 bắt buộc phải biết IP của client và server
- Khi các packet đi thông qua các switch thì ko có gì thay đổi, còn khi đi routing qua router em nghĩ chỉ có MAC address của DES và SOURCE thay đổi, khi packet đi tới hop nào thì nó sẽ thay đổi theo hop đó. Cũng chính vì lý do này nên nếu mình dùng ARP ở các hop trung gian 2-9 thì ko thể Spoof được bảng ARP của switch.


[Up] [Print Copy]
  [Question]   Re: Kiểm tra checksum, thay đổi checksum 21/04/2009 09:51:18 (+0700) | #44 | 177965
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]

zu4er wrote:

- Khi các packet đi thông qua các switch thì ko có gì thay đổi, còn khi đi routing qua router em nghĩ chỉ có MAC address của DES và SOURCE thay đổi, khi packet đi tới hop nào thì nó sẽ thay đổi theo hop đó. Cũng chính vì lý do này nên nếu mình dùng ARP ở các hop trung gian 2-9 thì ko thể Spoof được bảng ARP của switch

---> Thường là vậy nhưng không nhất là vậy
---> Có vẻ bạn vẫn chưa nắm rõ thế nào là ARP spoofing. Bạn tấn công ở chỗ nào thì cái switch ở đó là nạn nhân của bạn.

Ở post trước mình có nhắc đến một lý do hiển nhiên dẫn đến việc arp spoofing ở đoạn giữa là bất khả thi. Bạn thử tìm hiểu xem ở chỗ nào trong cái path từ client đến server thì thường tồn tại switches và chỗ nào không.
Mind your thought.
[Up] [Print Copy]
  [Question]   Re: Kiểm tra checksum, thay đổi checksum 25/04/2009 05:57:11 (+0700) | #45 | 178431
zu4er
Member

[Minus]    0    [Plus]
Joined: 06/01/2009 12:58:26
Messages: 85
Offline
[Profile] [PM]

StarGhost wrote:

zu4er wrote:

- Khi các packet đi thông qua các switch thì ko có gì thay đổi, còn khi đi routing qua router em nghĩ chỉ có MAC address của DES và SOURCE thay đổi, khi packet đi tới hop nào thì nó sẽ thay đổi theo hop đó. Cũng chính vì lý do này nên nếu mình dùng ARP ở các hop trung gian 2-9 thì ko thể Spoof được bảng ARP của switch

---> Thường là vậy nhưng không nhất là vậy
---> Có vẻ bạn vẫn chưa nắm rõ thế nào là ARP spoofing. Bạn tấn công ở chỗ nào thì cái switch ở đó là nạn nhân của bạn.

Ở post trước mình có nhắc đến một lý do hiển nhiên dẫn đến việc arp spoofing ở đoạn giữa là bất khả thi. Bạn thử tìm hiểu xem ở chỗ nào trong cái path từ client đến server thì thường tồn tại switches và chỗ nào không. 


cái vụ chữ màu đỏ mình chỉ biết tới đó ko biết StartGhost có ý kiến gì khác không?

À còn Switch nếu ko vì mục đích monitor thì theo mình ít ai đặt switch giữa các host 2-9 làm gì, vì các router đó có các interface đủ để nối tới các router khác

[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|