Umgehen und Hacking-Firewall oder Internet Hacking



  • [1.]
  • [2. Erkennungsprinzip]
  • [3 Bypass - Prinzip]
  • [4. Fazit]


    • [1.]

    Viele der Artikel, die die Prinzipien umgehen Firewalls beschreiben Sie die wichtigsten nicht beschreiben!
    Wie Sie sie finden können ... Ich werde versuchen, in diesem Artikel zu füllen
    diese Lücke und Sie nur zwei Prinzipien zu sagen: das Prinzip der Erfassung und
    umgehen Firewalls ...
    Also wir gehen ...

    [2. Erkennungsprinzip]


    Wie Sie vielleicht erwarten, jede Firewall hat seinen eigenen Namen, bedeutet dies eine Art "Stigma" in
    Netzwerk d Einige Firewalls öffnen Specials. Port, können Sie lernen,
    Version, den Namen und weitere interessante Informationen. Wenn eine Firewall sein müssen
    sehr vorsichtig, nicht alles Vergangenheit die Augen zu verpassen. In der Tat ist die Detektion einer Firewall
    mehrere Stufen unterteilt in ... Es ist banal und Scannen, diese Routenverfolgung,
    Lesen Service Banner und t.d.Pro jedes Element Erkennung Ich werde sagen,
    mehr. sagen will nur, dass es eine Reihe von Sonder sind. Werkzeuge, die
    sehr gut bei der Erkennung von Firewalls helfen ... Über sie, ich versuche auch, um mehr zu lesen
    erzählen.

    Also, es ist Zeit, um mehr über die Prinzipien der Erkennung lernen.


    A. Banal Scan

    Ich hoffe, dass viele von Ihnen die Netzwerk-Ports von jeder IP-Adresse gescannt haben ... Jeder Dienst
    hat einen eindeutigen Port, ob der FTP (21), http (80), die ssh (22), usw., wurde nicht verschont Atte
    alle tion und Firewalls, aber nicht ... Ich muss sagen, dass nicht alle Firewalls Port lauscht. Nekoto
    Roggen verkleidete Dämonen wie Port 23 (die in der Regel hängt an Cisco-Router oder ihn auf
    Daubney). Hier ist eine Liste von einigen Häfen, die manchmal Firewalls oder mene hängen
    Standard Jerome:
    Anwendung: Port:
    cisco-manager (mgmt) 4001 (6001, 2001)
    checkpoint DNS (53udp/tcp) RIP (520udp)
    cisco-xremotesrv 9001
    wingate 8080, 81
    realsecure 2998/2997/2999
    Dies ist wahrscheinlich die häufigste heute Firewalls.
    Wenn also zu den oben beschriebenen Anschlüssen verbunden ist, kann ein Dienst Banner Firewall betrachtet werden.
    Aber noch einmal, ich wiederhole, das ist nicht immer! Ich werde sagen, dass eine gut konfigurierte Firewall
    wird nicht zulassen, dass Sie Ports in den "Massen" zu scannen, dh Sie erhalten die Adresse zu scannen, wenn ska nicht in der Lage sein,
    ning mehr als einen Port ... Dann wirklich komplizierte Aufgabe anzugreifen und Com
    ditsya einige Möglichkeiten erfinden. scannen (ob mit der Substitution Quelladresse gescannt)
    Ich will nur zu sagen, dass einige Firewalls so konfiguriert sind, dass das interne Netzwerk
    Zugang ist für alle, aber ihre eigenen internen Netzwerk dh verweigert Sie werden nicht zu den Häfen beitreten Lage sein,
    die gefiltert, um eine Firewall, wenn Sie nicht auf das interne Netzwerk oder Host gehören
    LAN ... Wege dieser Schutz nicht so viele zu umgehen. Lassen Sie mich nur sagen, dass einer der
    Möglichkeiten, wie Sie scannen "für eine Firewall", kam mit all den bekannten früheren Redakteur up
    Phrack - Weg. Sein Nutzen Feuerlauf können Ports zu scannen, da es für eine Firewall waren. aber
    zur gleichen Zeit, da es nicht notwendig ist, auf alle 100% verlassen, werden die Ports abtasten und
    Viele Firewalls sind so konfiguriert, dass die Firewall sie TLL Paket identifizieren kann, wenn
    Sein (von der Liste überprüft). Daher Benachrichtigung Pakete ICMP-Typ über Ablauf von TLL wird otsy
    latsya sowieso ...

    Jetzt kommt der Punkt, der die Route des Netzwerk-Paketverfolgung ...

    B. Tracerouting

    Viele hoffen, konfrontiert mit einem Programm wie dem trace oder tracert, und so sagen, was
    Diese Programme können den Überblick über den Durchgang von der Strecke zu halten über das Netzwerk-Paket ...

    In WIN32, Versorgungs tracert.exe und Unix-ähnlichen Systemen - trace.

    Lassen Sie uns ein Beispiel für ein Paket aussehen, die Firewall auf dem Weg zu identifizieren proho
    Unterdrückt unsere UDP / ICMP-Paket:

    Trace Route zu 168.75.176.102
    mit maximal 30 Hops:

    1 * 4366 ms * Loopback0.GW8.ALA2.nursat.net [195.82.29.53]
    2 3373 ms * 4287 ms Ethernet0-0-2.GW1.ALA2.nursat.net [195.82.28.7]
    3 * 4463 ms * Serial6-1.GW2.MOW1.nursat.net [195.82.28.198]
    4 * * * Превышен интервал ожидания для запроса.
    5 * * * Превышен интервал ожидания для запроса.
    6 * * * Превышен интервал ожидания для запроса.
    7 * * * Превышен интервал ожидания для запроса.
    8 2274 ms 971 ms 958 ms so-2-3-1-zar1.skt.cw.net [166.63.220.69]
    9 928 ms 945 ms 958 ms ge-3-3-0-ycr1.skt.cw.net [166.63.220.129]
    10 954 ms 958 ms * so-1-0-0-ycr1.cpi.cw.net [208.173.216.25]
    11 958 ms 958 ms 971 ms so-2-0-0-ycr2.cpi.cw.net [208.173.216.2]
    12 981 ms 958 ms 958 ms so-2-0-0-bcr1.amd.cw.net [208.173.211.233]
    13 1059 ms 1050 ms 1049 ms dcr1.nyk.cw.net [195.2.1.3]
    14 1050 ms 1037 ms 1036 ms 65.59.192.13
    15 1041 ms 1050 ms 1063 ms ge-0-3-0.bbr2.NewYork1.Level3.net [209.247.9.209]
    16 1050 ms 1036 ms 1076 ms ge-7-0-0.edge1.NewYork1.Level3.net [64.159.4.150]
    17 1050 ms 1063 ms 1050 ms xo-level3-oc12.NewYork1.Level3.net [209.244.160.178]
    18 1050 ms 1062 ms 1076 ms p5-0-0.RAR1.NYC-NY.us.xo.net [65.106.3.37]
    19 1115 ms 1523 ms 1757 ms p6-0-0.RAR2.Chicago-IL.us.xo.net [65.106.0.29]
    20 1324 ms 1471 ms 1324 ms p1-0-0.RAR1.Dallas-TX.us.xo.net [65.106.0.34]
    21 1141 ms 1141 ms 1141 ms p6-0-0.RAR2.LA-CA.us.xo.net [65.106.0.14]
    22 1732 ms 1377 ms 1456 ms p4-0-0.MAR2.LasVegas-NV.us.xo.net [65.106.5.34]
    23 1155 ms 1141 ms 1128 ms p15-0.CHR1.LasVegas-NV.us.xo.net [207.88.81.78]
    24 1404 ms 1181 ms * 66.238.47.34.ptr.us.xo.net [66.238.47.34]
    25 1614 ms 1378 ms 1378 ms 168.75.176.102

    Trace abgeschlossen.

    In dem obigen Beispiel zeigt sehr deutlich die Struktur des Durchgangs des Netzwerkpakets.
    Es kann davon ausgegangen werden, dass die Firewall eine bestimmte Kette von Adressen erstellt, die unsere übergeben
    Paket ... In Sprung Tracing 1-3 kann, dass der DFÜ-Server-Filter Einlass beobachtet werden
    ing-Pakete, dann gibt es eine Meldung auf dem Kettenpaketnetzadressen ... Am Ende,
    schließlich ist zu sehen, dass unser Paket am Ziel ankommt - 168.75.176.102 ... In dieser
    Fall kann ich sagen, dass wahrscheinlich eine Firewall - 66.238.47.34, obwohl Interesse 100 D
    Ich habe keine Ergebnisse geben, da in diesem Fall muss man sehr vorsichtig sein ...

    C. Lese Service Banner.

    Nun, ich denke, dass dieses Verfahren sehr einfach ist, aber im Moment ist es sehr schwierig, das Feuer zu finden
    Mauer, die Informationen über sich selbst abgeleitet würde, aber dann wieder, "man weiß ja nie" ... lesen
    Banner liegt darin, dass, wenn Sie mit der Firewall verbinden, können Sie eine bestimmte Nachricht erhalten
    von der Remote-Firewall ... Ie wenn sie kombiniert werden, wie beispielsweise 295 (port CheckPoint Firewall),
    Sie Informationen über die Version der Firewall zeigt, dann können Sie mit Zuversicht schauen gehen
    bugtraq Schwachstelle in der Firewall, oft, wenn ich kam über Firewalls
    CheckPoint, ging ich einige Informationen, anfangs habe ich es nicht verstehen,
    Es stellt ... Und es ist, dass, wenn Sie die Firewall CheckPoint verbinden, er Sie
    treibt eine bestimmte Folge von Zahlen, wie 30003, 30002, usw. Wie ich später erfuhr, dass
    es ist typisch Firewall CheckPoint ...

    Nun, in der Tat die am häufigsten verwendeten Möglichkeiten Feind Firewall jetzt zu erkennen ...
    Ich möchte Ihnen ein paar Möglichkeiten, zu sagen, erfasst, um die Firewall zu umgehen ...
    Also los geht ...

    [3 Bypass-Prinzip]


    Lassen Sie uns beginnen mit der Tatsache, dass jede Firewall, die Filter-Pakete, um sicherzustellen, konfiguriert ist, können Sie
    senden, wenn es einem beliebigen Remote-Host-Port anschließen. Und dies geschieht auf die Wespen
    Überlegungen zur Firewall-Regeln erstellt. dh wenn Sie die Firewall liest das Paket und ana verbinden
    lyse alle Daten ... dh wenn Ihre Adresse nicht auf der Grundlage der Firewall ist, wird die Firewall passieren
    Ihr internes Netzwerk ... kommt viele Möglichkeiten, um die Firewall umgehen zu kümmern. Zuerst schütteln
    lui einfachste Weg, dieses Subnetz-Scanning-Firewall zu umgehen, an gefährdete ma finden
    Reifen und brechen sie dann ... Nur zu sagen, dass diese Methode nicht immer rollt, weil ho
    roshy Administrator wird wahrscheinlich nicht Einreisegenehmigung für das gesamte Netz stellen, ist es wahrscheinlich,
    Erlaubnis ausgewählte Netzwerk-Maschinen zu liefern ...

    Es ist eine weitere sehr interessante Art und Weise: Tunnel ICMP / UDP-Pakete, die er eingegeben hat ...
    Es besteht darin, dass einige Firewalls haben keine Regeln ICMP ECHO, ICMP ECHO REPLY zu blockieren,
    UDP. All dies trägt zu einem guten Angriff ... Tale sagen, dass diese Vorgehensweise, wenn Sie LOCAT
    dites die Subnet-Firewall. Für seine Umsetzung benötigen Sie zwei Programme - Loki, lokid
    (Dämon). Um einen Angriff durchzuführen, sollten Sie eine Firewall für den Dämon zu installieren und nach
    Abblastätigkeit loki-Dienstprogramm ...

    [4. Fazit]


    Die Schlussfolgerung ist - nichts ist perfekt! In jeder Vorrichtung, und die Programm
    usw. es gibt immer Möglichkeiten, es in jeder möglichen Weise zu brechen, zu umgehen, usw. Natürlich in diesem Artikel
    Nicht alle Möglichkeiten zur Umgehung von Firewalls ... eine Vielzahl von Möglichkeiten ... Sobald hundert
    Kichererbsen erscheinen neue Geräte, wird es neue Möglichkeiten geben, ...