Архив форумов ЦИТФорума

[Dmitry.Karpov http://prof]

Я получил спрам, предлагающий мне заказать спам-рассылку, позвонил по указанному там телефону и мило побесдовал со спамером. Он утверждает, что IP-номер, указанный в последней (верхней) строчке "Received:" - поддельный, что он отправлял почту со своего сервера. Я знаю, что Кевин Митник нюкнул Шимомуру, подделав IP-номер (т.е. притворившись компьютером, которому Шимомура доверял); но я думал, что эту дырку закрыли. Что это - спамер блефует, или есть технологии, способные подделывать IP-номер, с которого открывается TCP-сессия на порт:25?

[Sol]

Вообще то я думаю, что в этой истории с Митником много нафантазировано, либо особенности конкретного взлома скрыты..

Реально я не совсем понимаю "подделку" IP адресов..
Допустим я имею адрес xxx и поменял в ip пакете его на yyy...
Ответ в этом случае будет возвращаться на yyy.
А кто его тогда поменяет на yyy?
Значит должен быть какой то промежуточный шлюз (по моим управлением), который бы возвращал пакеты мне...

[Роман]

Хотелось бы добавить следующее. Если ты меняешь ip в пакете, то это может оказаться полезно только при атаке на сервер. В этом случае чтобы вызвать отказ от обслуживания тебе вовсе не необходимо получать ответные пакеты. Другой способ подделать ip, как мне кажется состоит вот в чем. Как известно, прежде чем отправлять данные сервер делает gethosbyname() и/или gethosbyaddress() к ближайшму DNS-серверу. Таким образом, если ты имеешь свой сервер, который прослушивает скажем 34.35.36.0 (goodsite.com) и 34.35.36.1 (badsite.com), а также предоставляет виртуальный хостинг, например для хоста 34.35.36.1. 34.35.36.1 в свою очередь предоставляют собственную DNS. А этот сервер предписывает 34.35.36.0 для badsite.com. В конечном итоге все запросы на goodsite.com будут перенаправляться к badsite.com, поскольку главный сервер обращается к DNS виртуального хоста. Этот случай подробно описан в документации Apache. Но вот ка все это применить к спаму я не знаю.

[Dmitry.Karpov http://prof]

Шимомура установил на своем компьютере доверие к некоторому другому компьютеру (по его IP-номеру), т.е. разрешил вход с доверяемого компьютера без ввода пароля; и Митник это знал.

При установлении TCP-соединения:
клиент посылает запрос на открытие сессии;
сервер выделяет этой сессии идентификатор и отсылает его клиенту;
клиент присылает данные, указывая в каждом пакете этот идентификатор.

Если послать запрос с чежого IP-номера и угадать идентификатор сессии, то можно слать на атакуемую машину команды, не видя ее ответов - при этом надо будет подтверждать приход этих ответов. Так митник дал команду на установление доверия еще и к его машине, а затем вторгся в систему.

Раньше идентификаторы выдавали IP-номера последовательно, а после этого случая - рандомайзно. Так я где-то читал. А вот как проверить...