Mình có dùng tcmpdump và wireshark để theo dõi connection. Khi connection bị reset thì sẽ có một gói tin tương tự như sau:
Code:

22:21:03.380717 10.0.0.1.3270 > 192.168.0.1.80: R [tcp sum ok] 4174694923:4174694923(0) win 0 (ttl 118, id 23180)

Mình nghĩ có thể sequence number của ICMP không phù hợp nhưng mình chưa tìm ra sequence number như thế nào để phù hợp.  

darkwizard136 wrote:

Mình có dùng tcmpdump và wireshark để theo dõi connection. Khi connection bị reset thì sẽ có một gói tin tương tự như sau:
Code:

22:21:03.380717 10.0.0.1.3270 > 192.168.0.1.80: R [tcp sum ok] 4174694923:4174694923(0) win 0 (ttl 118, id 23180)

Mình nghĩ có thể sequence number của ICMP không phù hợp nhưng mình chưa tìm ra sequence number như thế nào để phù hợp.  

Hi, hôm nay mới thấy topic này, cũng khá thú vị.

seq trong unreach ICMP phải nằm giữa snd_una và snd_nxt trong tcp socket của bên bị tấn công, vì một lí do hiển nhiên rằng đây là một unreach ICMP.

Thân mến. 

rickb,

Thì cái ICMP error type 3 là destination unreachable type. Còn network, host, hay port unreachable thì còn tùy cái code.

Mấy cái ICMP error thường thì sẽ include thêm IP header và 8 bytes của UDP hoặc TCP header nữa. Cụ thể với TCP thì nó sẽ có IP header + Src Port + Dst Port và sequence number. Ý StarGhost nói cái sequence number này phải là một trong các sequence number của một TCP socket mà darkwizard phải tấn công.

Khoai có coi qua cái source code để tấn công thì thấy là TCP sequence number được randomized, hoặc là được nhập từ argument. Như vậy rất có bắt chính xác được sequence number nào thích hợp. Nếu là blind attack thì chỉ có cách bruteforce với hy vọng là may mắn thì trúng được một connection nào đó. Còn nếu darkwizard muốn thử trong LAN thì tốt nhất là viết một sniffer rồi sử dụng IP + 8bytes TCP header tóm được trong network thì sẽ chính xác hơn.

khoai