The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проект TCP Stealth стал ответом на деятельность спецслужб по..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от opennews (ok) on 22-Авг-14, 14:39 
Фонд свободного ПО сообщил (http://www.fsf.org/blogs/community/gnu-hackers-discover-haci...) о выявлении активности, связанной с проведением совместной операции спецслужб США, Канады, Великобритании, Австралии и Новой Зеландии по созданию полной базы всех серверов сети.


Операция проводится под именем HACIENDA и упоминается в ряде документов, раскрытых Эдвардом Сноуденом. Целью операции является проведение полного сканирования портов всех серверов в 27 странах и создание базы данных, отражающей такие параметры каждого сервера, как используемая операционная система и открытые сетевые порты. Используя данную базу спецслужбы смогут определить потенциально уязвимые системы для получения контроля над ними  в случае проведения спецопераций. В процессе работы HACIEND применяются перехваченные гражданские компьютеры, которые используются для получения вычислительных ресурсов или скрытия следов.


В ответ на выявление подобной активности, группа разработчиков свободного фреймворка для построения безопасных P2P-сетей GNUnet (http://www.opennet.ru/opennews/art.shtml?num=38726), разработала технологию скрытия предоставляемых сетевых сервисов, которая получила имя TCP Stealth (https://gnunet.org/kirsch2014knock). Рабочий прототип с реализацией TCP Stealth для клиентских и серверных соединений подготовлен (https://gnunet.org/knock) форме патча для ядра Linux (включается в приложении через опцию сетевого сокета) и  библиотеки libknockify, позволяющей обеспечить поддержку TCP Stealth в любом клиентском или серверном приложении без его пересборки (libknockify через LD_PRELOAD подменяет  системные вызовы для установки соединения).


Метод TCP Stealth (https://gnunet.org/sites/default/files/ma_kirsch_2014_0.pdf) относится к категории "port knoсking", т.е. подразумевает открытие заданного сетевого порта только после прохождения скрытой аутентификации. В отличие от классических методов подобной аутентификации, таких как последовательное обращение к набору портов или отправка специально оформленного пакета, в TCP Stealth предлагается подменять традиционный случайный номер последовательности TCP (TCP SQN) на специально сгенерированный маркер, который аутентифицирует запрос клиента.


Подобный подход позволяет организовать работу и при обращении через NAT, так как большинство реализаций NAT не меняют TCP SQN. Кроме того, для усиления стойкости ключа аутентификации от подбора, кроме 32-разрядного значения TCP SQN опционально часть ключа может передаваться в первых нескольких байтах в поле с данными. В будущем TCP Stealth планируется интегрировать в GNUnet  и организовать возможность запуска пиров в стелс-режиме, позволяющем скрыть для внешних наблюдателей факт запуска узла  GNUnet. Ожидается, что интерес к обеспечению поддержки представленной техники также могут проявить такие проекты как Tor и OpenSSH.

<div style="margin-left:auto;margin-right:auto;text-align:center;">
<video controls="controls" width="500px">
<source src="//audio-video.gnu.org/video/GHM14-en-Julian_Kirsch-Knocking_down_the_HACIENDA.webm">
</video>
</div>


URL: http://www.fsf.org/blogs/community/gnu-hackers-discover-haci...
Новость: http://www.opennet.ru/opennews/art.shtml?num=40429

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +1 +/
Сообщение от A.Stahl (ok) on 22-Авг-14, 14:39 
Разжуйте пожалуйста.
Т.е. получается, что приконнектиться к какому-то порту возможно лишь после отсылки на какой-то другой порт специального пакета и получения ключа?
Так?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +5 +/
Сообщение от YetAnotherOnanym (ok) on 22-Авг-14, 14:44 
Насколько я понял - нет, клиент стукается напрямую к серверу, только в одном из полей TCP-заголовка должно быть не абы что, а только то, что должно быть.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

26. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от AAW on 22-Авг-14, 15:44 
Технология Port Knocking осуществляет последовательность попыток подключения к закрытым портам. Даже не смотря на то, что все порты закрыты, вы можете отследить все попытки подключения в лог-файлах файрвола. Сервер, чаще всего, никак не отвечает на эти подключения, но он считывает и обрабатывает их. Но если же серия подключений была заранее обозначена пользователем, то выполнится определенное действие.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

34. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +1 +/
Сообщение от A.Stahl (ok) on 22-Авг-14, 16:30 
Т.е. я в заголовок пакета пишу какой-то идентификатор, потом коннекчусь в 46, 38, 12 портам (которые мне не отвечают) и после этого могу с этим же идентификатором коннектится к 80му и он мне уже ответит. Так?
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

35. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от lv7e email on 22-Авг-14, 16:34 
Да.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

53. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +7 +/
Сообщение от Аноним (??) on 22-Авг-14, 19:16 
Здесь не классический Port Knocking, а что-то близкое к нему. Ни на какие дополнительные порты стучать не надо. Подключаешься напрямую к нужному, но в поле номера пакета, где в первом пакете соединения обычно стоит случайное число, ставишь сгенерированный на основе твоего адреса и секретного ключа код авторизации.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

130. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Michael Shigorin email(ok) on 27-Авг-14, 13:18 
> Здесь не классический Port Knocking, а что-то близкое к нему.

Вариант single packet authorization.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

66. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 22-Авг-14, 21:46 
Это одна из технологий, позволяющая тебе секьюрно заходить на свой сервачок. Вроде бы скрывает сам факт существования твоего сервера в сети, что довольно интересно.

ПС:
1) Сноуден уже больше года не приделах, но все еще его инфа считается актуальной. Спецслужбы могли ускорить проект и уже завершить сканирование, а он тут про старые планы вещает.
2) Использование перехваченных пользовательских машин? Легальный ботнет?
3) gnunet надо поковырять. Что-то про него не писали раньше (или давно) Все про торы всякие и i2p.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

84. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Anonym2 on 23-Авг-14, 08:19 
> 1) Сноуден уже больше года не приделах, но все еще его инфа
> считается актуальной. Спецслужбы могли ускорить проект и уже завершить сканирование, а
> он тут про старые планы вещает.
> 2) Использование перехваченных пользовательских машин? Легальный ботнет?

:-) Но вот прошёл год...

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

94. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 23-Авг-14, 18:58 
> 3) gnunet надо поковырять. Что-то про него не писали раньше (или давно)

При том что его автор - специалист своего дела.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

91. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +1 +/
Сообщение от Кевин on 23-Авг-14, 12:47 
это как тайные стуки в дверь если три длинных вда коротких и один звонок, то всё ок. если нет, то никого нет дома.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  –3 +/
Сообщение от qqq (??) on 22-Авг-14, 14:41 
...без таких людей жизнь была бы скучна... (c)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 22-Авг-14, 14:41 
А как клиенты будут подключаться к серверу, у которого 80 порт отвечает только после подобных манипуляций с портами?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +5 +/
Сообщение от YetAnotherOnanym (ok) on 22-Авг-14, 14:51 
> А как клиенты будут подключаться к серверу, у которого 80 порт отвечает
> только после подобных манипуляций с портами?

Это не для публичных сервисов. На 80 порт могут коннектиться кто угодно, а на 22 - только админ, у которого на ноуте/рабстанции линух с поддержкой этой фичи. Всем остальным сервер просто не ответит, как будто на 22 порту ничего не слушает.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

67. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  –2 +/
Сообщение от Аноним (??) on 22-Авг-14, 21:49 
Лично я не буду ставить ради закрытия и так безопасного ssh (который на другом порту и с прочими заморочками) всякие экспериментальные руткитоподобные либы, которые перехватывают вызовы ядра. Вот Линус посмотрит патчи хотябы ))


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

113. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +3 +/
Сообщение от Аноним (??) on 24-Авг-14, 22:31 
Ты так говоришь, как будто пришел суровый мужик с пистолетом, наставил пистолет на тебя и недвусмысленно потребовал использовать его патч.
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

75. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 23-Авг-14, 06:44 
> Это не для публичных сервисов. На 80 порт могут коннектиться кто угодно,

Ну ты же понимаешь что роутеры по пути не обязаны быть дружественными. А половина из них может запросто отзеркалить траффик или выжимку кому-то еще.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  –17 +/
Сообщение от Dan Dare 3 on 22-Авг-14, 14:52 
а не проще ли будет закрыть входящие icmp?
deny icmp from any to any in icmptypes 8
allow icmp from any to any out icmptypes 8
allow icmp from any to any in icmptypes 0
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +17 +/
Сообщение от EuPhobos (ok) on 22-Авг-14, 14:56 
> а не проще ли будет закрыть входящие icmp?
> deny icmp from any to any in icmptypes 8
> allow icmp from any to any out icmptypes 8
> allow icmp from any to any in icmptypes 0

Мда.. как всё печально..
Для начала почитай для чего нужен icmp и о его полезностях в глобальной сети..

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  –25 +/
Сообщение от Dan Dare 3 on 22-Авг-14, 15:02 
ты наверное умней, чем авторы книг по FreeBSD. данный пример есть почти в каждой книге по IPFW. а может ты чукча не читатель, а чукча писатель. я вижу ты даже не понимаешь, что означает данные цепочки правил.  
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +26 +/
Сообщение от annnonnn on 22-Авг-14, 15:08 
Копировать правила для фаервола из книг, не задумываясь что они делают - просто атас.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  –11 +/
Сообщение от Dan Dare 3 on 22-Авг-14, 15:12 
ты про меня "не задумываеца"? к твоему сведенью, в книгах эти цепочки правил подробно описаны. ты наверное книги не читаешь, советую хоть иногда читать
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +11 +/
Сообщение от Аноним (??) on 22-Авг-14, 15:14 
Чувак, не позорься.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

57. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +4 +/
Сообщение от Аноним (??) on 22-Авг-14, 19:26 
> Чувак, не позорься.

Так давно же сказали: "глядит в книгу, видит фигу".

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

27. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +3 +/
Сообщение от Slav (??) on 22-Авг-14, 15:48 
Книжки читаешь! Это здорово! Токма когда читаешь, получше вникай в смысл темы или вопроса.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

131. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Michael Shigorin email(ok) on 27-Авг-14, 13:23 
> ты наверное книги не читаешь

Вы, наверное, не в курсе, что про таких умников с книгами наперевес думают грамотные и вменяемые сетевики: http://security.stackexchange.com/questions/22711/is-it-a-ba...

Как уже порекомендовали -- не позорьтесь.  Если вдруг дойдёт, могу грохнуть ветку от #6 по доброте душевной.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

136. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Andrey Mitrofanov on 27-Авг-14, 14:12 
> Как уже порекомендовали -- не позорьтесь.  Если вдруг дойдёт, могу грохнуть
> ветку от #6 по доброте душевной.

Посмотри ещё раз на #6 в свете --

0 - Echo Reply (ping response)
8 - Echo Request (ping request)

Там не закрытие "всего-всего icmp", а всего-навсего закрытие вх._пингов_.

Да, конечно, оно никакого отношения [к "не проще ли"] к inband one packet pre-auth не имеет. Но не имеет оно никакого отношения и к "поломеке всего-всего интернета" [к "что профессионалы думают"].

Ответить | Правка | ^ к родителю #131 | Наверх | Cообщить модератору

20. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +1 +/
Сообщение от Аноним (??) on 22-Авг-14, 15:25 
> Копировать правила для фаервола из книг, не задумываясь что они делают -
> просто атас.

Стандартный бсдшник. Nobrainer в чистом виде.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

30. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  –3 +/
Сообщение от t28 on 22-Авг-14, 15:51 
> Стандартный бсдшник. Nobrainer в чистом виде.

Наоборот. Какой-то нестандартный. Наверное, линуксоид.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

54. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +2 +/
Сообщение от Аноним (??) on 22-Авг-14, 19:22 
> Наоборот. Какой-то нестандартный.

Да как же нестандартный? Хорошо вписывается в общую картину всяких тигаров, изенов и нагуалов у которых гонора много а знаний мало.

> Наверное, линуксоид.

В линуксе не пользуются ipfw. А так все хорошо, прекрасная маркиза.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

40. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +1 +/
Сообщение от anonymous (??) on 22-Авг-14, 17:14 
> Копировать правила для фаервола из книг, не задумываясь что они делают -
> просто атас.

Так много где делают, на самом деле. Не только в случае фаерволлов. Делают, не зная, что вообще, собственно, делают.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

55. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 22-Авг-14, 19:23 
> Делают, не зная, что вообще, собственно, делают.

Перепись дрессированных обезьян на опеннете :).

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

60. "Проект TCP Stealth стал ответом на деятельность..."  +/
Сообщение от arisu (ok) on 22-Авг-14, 19:50 
>> Делают, не зная, что вообще, собственно, делают.
> Перепись дрессированных обезьян на опеннете :).

таки да, и не только эта ветка. читаю и наслаждаюсь. даже отвечать никому не хочется: они идеально прекрасны в своей незамутнённости.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

76. "Проект TCP Stealth стал ответом на деятельность..."  +1 +/
Сообщение от Аноним (??) on 23-Авг-14, 06:50 
> таки да, и не только эта ветка. читаю и наслаждаюсь. даже отвечать
> никому не хочется: они идеально прекрасны в своей незамутнённости.

Не в обиду фрибсдшниками, я по дефолту навешиваю на фрибсдшников лэйбл "тyпой но агрессивный ламак" а снимаю его (или часть) только если индивид делом докажет обратное. С вероятностью в 90% я не ошибусь. Из адекватных бздeльников я вообще так сходу могу пару знакомых опеночников припомнить. Эти по крайней мере признают что их система неидеальна, как и любая иная, и у них хватает ума не лезть на рожон с глупым но наглым видом. Эти если лезут в рубку - то уж могут приложить технически валидной аргументацией без явных продолбов.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

80. "Проект TCP Stealth стал ответом на деятельность..."  +2 +/
Сообщение от arisu (ok) on 23-Авг-14, 06:59 
bsd-шники-то тут при чём? они себе спокойно пилят и/или используют свою систему. а агрессивное ламерьё в это время орёт. причём со стороны пингвинуса такого ламерья сильно больше — просто в силу того, что пользователей пингвинуса больше.
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

95. "Проект TCP Stealth стал ответом на деятельность..."  +/
Сообщение от Аноним (??) on 23-Авг-14, 19:12 
> bsd-шники-то тут при чём? они себе спокойно пилят и/или используют свою систему.

Да кто как. Вон Kibab какой-нибудь с пеной у рта доказывал как рулит бзда и ее лицензия. И даже дрова писал для SATA какого-то экзотичного процика... сидя в гей-оси на десктопе. Ну то-есть еще один этакий ReactOS, где даже разработчики порой не хотят грызть кактус который сами же и выращивают.

> а агрессивное ламерьё в это время орёт.

ЧСХ, других в их комьюнити почти и не осталось, вероятно из-за отсутствия логичных и рациональных причин выбирать такую систему. Говорю же - упомянутая развеска лэйбла работает с вероятностью процентов 90.

> причём со стороны пингвинуса такого ламерья сильно больше

Это так, и я имею неудовольствие констатировать наличие нескольких реально тyпых индивидов юзающих линь на опеннете. НО соотношение SNR в целом как-то лучше. Наверное связано с тем что если толпа народа пользуется системой - повыпендриваешься голубыми кровями только на той почве что "осилил поставить!!!111" - никого уже не впечатляет особо. И, соответственно, наиболее агрессивное но глупое ламерье идет "осиливать" бзды.

> — просто в силу того, что пользователей пингвинуса больше.

Несомненно, но вопрос о SNR...

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

108. "Проект TCP Stealth стал ответом на деятельность..."  +/
Сообщение от Гость (??) on 24-Авг-14, 14:54 
Статистику в студию!
Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

114. "Проект TCP Stealth стал ответом на деятельность..."  +/
Сообщение от Аноним (??) on 24-Авг-14, 23:31 
> Статистику в студию!

Так мы как раз в студии. Поклацать по профайлам - много ума не надо. А метрики вы уж сами собирайте и анализируйте, если они вам нужны.

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

132. "Проект TCP Stealth стал ответом на деятельность..."  +/
Сообщение от Michael Shigorin email(ok) on 27-Авг-14, 13:25 
> Да кто как. Вон Kibab какой-нибудь с пеной у рта доказывал

Он как раз вменяемый и дело делает.  Пользуясь случаем, также передаю привет Чеусову. :)

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

43. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от sorrymak (ok) on 22-Авг-14, 17:17 
Всегда так делаю.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

68. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 22-Авг-14, 21:53 
> ты наверное умней, чем авторы книг по FreeBSD. данный пример есть почти
> в каждой книге по IPFW. а может ты чукча не читатель,
> а чукча писатель. я вижу ты даже не понимаешь, что означает
> данные цепочки правил.

Книги устаревают еще до поступления на прилавок. Угрозы развиваются стремительно, и эти правила уже не актуальны, если говорить об угрозе из этой новости.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

105. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Hammer (ok) on 24-Авг-14, 08:08 
А почему Вы думаете, что автор поста не может быть умней авторов книги по FreeBSD
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +4 +/
Сообщение от Аноним (??) on 22-Авг-14, 15:15 
Как поможет запрет ICMP если при переборе всех ip-адресов диапаозонов будет производиться попытка подключения к портам по протоколу TCP (в начале по самым распространенным, затем по всем)?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

16. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  –8 +/
Сообщение от Dan Dare 3 on 22-Авг-14, 15:23 
курим матчасть стека протоколов tcp/ip
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

19. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +4 +/
Сообщение от Аноним (??) on 22-Авг-14, 15:24 
> курим матчасть стека протоколов tcp/ip

И узнаем что TCP - отдельный протокол и icmp ему никуда не вперся. Поэтому если некто простым перебором адресов придет на TCP порт - а ему какое дело до участи icmp на вашей машине вообще???

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

21. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +1 +/
Сообщение от Аноним (??) on 22-Авг-14, 15:26 
> курим матчасть стека протоколов tcp/ip

Предлагаю тебе покурить самому и еще прочитать как устанавливается соединение по TCP/IP и увидеть, что ICMP не используется никак.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

28. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от продавец_кирпичей on 22-Авг-14, 15:49 
>> курим матчасть стека протоколов tcp/ip
> Предлагаю тебе покурить самому и еще прочитать как устанавливается соединение по TCP/IP
> и увидеть, что ICMP не используется никак.

Да, это так. Но есть ньюанс ;)

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

69. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  –1 +/
Сообщение от Аноним (??) on 22-Авг-14, 21:56 

> Да, это так. Но есть ньюанс ;)

Нюанс в том, что сканировать все порты всех айпишников в интернетах силенок не хватит, но если задействовать все вин машины...

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

78. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +3 +/
Сообщение от Аноним (??) on 23-Авг-14, 06:54 
> Нюанс в том, что сканировать все порты всех айпишников в интернетах силенок
> не хватит, но если задействовать все вин машины...

Zmap-у это расскажите, который за считанные часы перебирает на гигабитном канале весь интернет.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

17. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +4 +/
Сообщение от Аноним (??) on 22-Авг-14, 15:23 
> а не проще ли будет закрыть входящие icmp?

Не мешает сканированию TCP, вообще-то, гражданин кулсисоп.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

18. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 22-Авг-14, 15:24 
> а не проще ли будет закрыть входящие icmp?
> deny icmp from any to any in icmptypes 8
> allow icmp from any to any out icmptypes 8
> allow icmp from any to any in icmptypes 0

Типа этого
nmap -Pn  -PS22-25,80,113,1050 -oG logs/scan.gnmap -n xxx.xxx.xxx.xxx/20


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

37. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +2 +/
Сообщение от Нанобот (ok) on 22-Авг-14, 16:35 
> а не проще ли будет закрыть входящие icmp?
> deny icmp from any to any in icmptypes 8
> allow icmp from any to any out icmptypes 8
> allow icmp from any to any in icmptypes 0

это такой вброс???

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору
Часть нити удалена модератором

98. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 23-Авг-14, 19:26 
> У тебя достаточно было бы закрыть исходящие ICMP, если бы целевую ОСь
> определяли по отсылаемым целевым ядром ICMP сообщениям,

Да что вы к этому ICMP привязались, о бсдшные ламерюги? В новости про icmp вообще ни звука.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

102. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +1 +/
Сообщение от metallica (ok) on 23-Авг-14, 21:53 
> Да что вы к этому ICMP привязались, о бсдшные ламерюги? В новости
> про icmp вообще ни звука.

Смотри, линуксовый специоламерист. Техника определeния ОСи на удалённом хосте
может включать анализ ICMP сообщений от хоста. В новости говорилось про определение
ОСи, и вышеобруганный человек предположил, что для запрета анализа можно рубить
обмен ICMP сообщениями. Что до последних, то при взаимодействии по TCP/IP, ICMP
в linux может врубится вот так, На уровне обработчиков IP уровня:


if (skb->pkt_type != PACKET_HOST)
                 return -EINVAL;
         if (rt->rt_type == RTN_UNICAST) {
                 if (!opt->is_strictroute)
                         return 0;
                 icmp_send(skb, ICMP_PARAMETERPROB, 0, htonl(16<<24));
                return -EINVAL;
         }
if (rt->rt_type != RTN_LOCAL)
                return -EINVAL;

         for (srrptr = optptr[2], srrspace = optptr[1]; srrptr <= srrspace; srrptr += 4) {
                if (srrptr + 3 > srrspace) {
                        icmp_send(skb, ICMP_PARAMETERPROB, 0, htonl((opt->srr+2)<<24));
                         return -EINVAL;
.....................................................................

        IP_INC_STATS_BH(net, IPSTATS_MIB_INDELIVERS);
                 } else {
                        if (!raw) {
                                 if (xfrm4_policy_check(NULL, XFRM_POLICY_IN, skb)) {
                                        IP_INC_STATS_BH(net, IPSTATS_MIB_INUNKNOWNPROTOS);
                                        icmp_send(skb, ICMP_DEST_UNREACH,
                                                   ICMP_PROT_UNREACH, 0);
                                 }
                                kfree_skb(skb);
..........................................................................

log_martians = IN_DEV_LOG_MARTIANS(in_dev);
         rcu_read_unlock();

         net = dev_net(rt->dst.dev);
         peer = inet_getpeer_v4(net->ipv4.peers, ip_hdr(skb)->saddr, 1);
         if (!peer) {
                 icmp_send(skb, ICMP_REDIRECT, ICMP_REDIR_HOST,
                           rt_nexthop(rt, ip_hdr(skb)->daddr));
                 return;
         }

..........................................................................

                if (qp->user == IP_DEFRAG_AF_PACKET ||
                     ((qp->user >= IP_DEFRAG_CONNTRACK_IN) &&
                      (qp->user <= __IP_DEFRAG_CONNTRACK_IN_END) &&
                      (skb_rtable(head)->rt_type != RTN_LOCAL)))
                         goto out_rcu_unlock;


                 /* Send an ICMP "Fragment Reassembly Timeout" message. */
                 icmp_send(head, ICMP_TIME_EXCEEDED, ICMP_EXC_FRAGTIME, 0);
out_rcu_unlock:


Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

106. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от anonymous (??) on 24-Авг-14, 09:37 
>[оверквотинг удален]
>            
>            
>   goto out_rcu_unlock;
>            
>      /* Send an ICMP "Fragment Reassembly
> Timeout" message. */
>            
>      icmp_send(head, ICMP_TIME_EXCEEDED, ICMP_EXC_FRAGTIME, 0);
>  out_rcu_unlock:
>

Тут большая часть кода вообще не к месту, а то, что более-менее к месту - отключается через sysctl, и даже файрволл трогать не надо. И вообще будет действовать в "сильно некоторых" случаях.

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

109. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от metallica (ok) on 24-Авг-14, 16:48 
> Тут большая часть кода вообще не к месту, а то, что более-менее
> к месту - отключается через sysctl, и даже файрволл трогать не
> надо. И вообще будет действовать в "сильно некоторых" случаях.

Его привёл как пример того, как ICMP может включаться при TCP/IP
взаимодествиях. Его не надо отключать через sysctl, достаточно
формировать корректные заголовки, что в некоторых техниках
определения удалённой ОС, заведомо не производится. И, наконец, про sysctl,
скажите, как таким образом отключить, например, тот icmp_send, что в ip_local_deliver_finish,
ну так, чтоб при некорректном значении поля protocol в IP заголовке, icmp_send
не срабатывал?


Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

116. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 25-Авг-14, 00:17 
> Его привёл как пример того, как ICMP может включаться при TCP/IP
> взаимодествиях.

ICMP может включаться при сетевых взаимодействиях. Но как раз из-за всяких удодов которые думают что удавить его это круто - на него всерьез давно уже никто не рассчитывает.

> формировать корректные заголовки, что в некоторых техниках
> определения удалённой ОС, заведомо не производится.

Ключевое слово - в НЕКОТОРЫХ. Плох тот сканер который эксклюзивно закладывается на протокол который в 50% случаев элементарно не работает.

> ну так, чтоб при некорректном значении поля protocol в IP заголовке, icmp_send
> не срабатывал?

"Как мне сломать логику сетевых протоколов?". Пойти в дворники и не портить сети, запуская свои кривые лапки в протоколы без понимания нафига они вот такие, бэть. Кулсисопам не приходило в голову что если пакеты отсылаются - на это были некие причины? Для красоты пакеты никто не рассылает.

А что до маскировки - вы или уж в случае TCP как-то отвечаете на SYN пакет и тогда легитимный клиент может конектиться дальше. Но тогда и сканер увидит порт. Или уж дропаете SYN пакеты, молча в тряпочку, но тогда и легитимные клиенты ткнувшись в это увидят глухой таймаут. Возможны варианты типа сабжа, но они катят только для непубличных сервисов. А детектирование операционки можно делать по туевой хуче критериев. А хоть тем же параметрам TCP/IP типа sequence numbers и прочим интимным особенностям.

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

115. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 24-Авг-14, 23:50 
> Смотри, линуксовый специоламерист. Техника определeния ОСи на удалённом хосте
> может включать анализ ICMP сообщений от хоста.

Может, но это далеко не единственный метод. А у половины кулсисопов к тому же на страничке сервака, извините, недвусмысленная картинка "powered by freebsd" висит. А что у сарая нет стены - Зоркий Глаз, старательно затыкающий ICMP, обычно замечает далеко не сразу ;].

Не говоря о том что от детектирования сервиса на порту указанные команды не спасут.

> в linux может врубится вот так, На уровне обработчиков IP уровня:

Круто. А теперь посмотри на то как работает какой-нибудь zmap, вообще наполовину кладущий на стандартную ядерную механику (в целях оптимизации пакеты кроятся и разруливаются самой софтиной). Чтобы понять насколько все это бла-бла может быть иррелевантно для работы сканеров.

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

111. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  –2 +/
Сообщение от Dan Dare 3 on 24-Авг-14, 20:21 
я вот никак не пойму, почему никто не обсудил данные 3 строчки файрвола:
>deny icmp from any to any in icmptypes 8
>allow icmp from any to any out icmptypes 8
>allow icmp from any to any in icmptypes 0

смысл их в том, что они запрещают пинговать меня(8й флаг протокола ICMP), для удаленной машины моя отключена, а я могу пинговать

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

123. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +1 +/
Сообщение от Аноним (??) on 25-Авг-14, 03:47 
> смысл их в том, что они запрещают пинговать меня(8й флаг протокола ICMP),
> для удаленной машины моя отключена, а я могу пинговать

Ну все, после этого ты крутой бсдшный хакир, не меньше. Правда, сканеры типа zmap вообще класть хотели на возможность тебя пинговать, они порты сканируют рассылая SYN, на который ты или уж ответишь, или уж не сможешь клиентов обслуживать.

Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

125. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  –1 +/
Сообщение от Dan Dare 3 on 25-Авг-14, 08:28 
называться хакером мне совершенно не льстит. это детям нравится, чтобы повыпендриваться
Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору

126. "Проект TCP Stealth стал ответом на деятельность..."  –1 +/
Сообщение от arisu (ok) on 25-Авг-14, 08:52 
как ты ненавязчиво поставил себя выше огромного количества людей в MIT. действительно, дети какие-то, не то, что серьёзный ты. ну и что, что ты дурак? зато серьёзный.
Ответить | Правка | ^ к родителю #125 | Наверх | Cообщить модератору

129. "Проект TCP Stealth стал ответом на деятельность..."  +1 +/
Сообщение от Mike (??) on 25-Авг-14, 18:39 
он у мамы дурачок
Ответить | Правка | ^ к родителю #126 | Наверх | Cообщить модератору

133. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Michael Shigorin email(ok) on 27-Авг-14, 13:31 
> я вот никак не пойму, почему никто не обсудил данные 3 строчки файрвола:

Это потому, что Вы научились читать с бумажки "2*2 = 4", а люди интересуются, в какой системе счисления работаем.  Но ламерьё вместо того, чтоб заткнуться и пойти в читалку, продолжает выпендриваться -- агрессию пришлось почистить.

Учитесь слушать других, ощущение собственной крутости ещё никому на пользу не пошло, насколько могу судить.

Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

7. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +4 +/
Сообщение от EuPhobos (ok) on 22-Авг-14, 14:55 
Почему бы просто не создать какой ни будь сервис или демон на отдельно стоящем сервере в компании, и перенаправлять туда всё что не касается сканируемых серверов компании, а этот сервис/демон пусть отвечает как нам надо на все запросы/сканы спец.служб.

Напрмиер:
Сканируют 80-ый порт, которого нет на сервере, но спецслужбам идёт ответ что там установлен ISS какой ни будь старой версии.
Сканируют 445 на сервере, идёт ответ что там винда XP с сервис паком 1
И т.д. по всем более менее важным портам.

Таким образом засрать базу данных этих самых спец.служб так, что они потом не разберутся, где и у кого реально есть уязвимости.

А то как-то усложняют себе жизнь этим TCP Stealth ..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +2 +/
Сообщение от Аноним (??) on 22-Авг-14, 15:37 
Это называется Honeypot.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

24. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Случайный гость on 22-Авг-14, 15:41 
http://ru.wikipedia.org/wiki/Honeypot
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

52. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Ник (??) on 22-Авг-14, 18:44 
это не совсем ханипот. Цель ханипота - разместить заведомо уязвимую версию ПО и максимально залогировать действия злоумышленника на сервере, а тут предлагают подмену стандартного баннера. Допустим у нас на 21 порту будет баннер телнета, а на самом деле будет ссш. В принципе, баннеры для многих сервисов скрываются/подменяются либо через обычные конфиги, либо через замену строк до сборки пакета.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

70. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 22-Авг-14, 22:00 
Вот удобной подмены баннеров действительно нехватает. Пересобирать ссш и обновлять вручную влом.
И держать для этого какую-то другую систему не обязательно. Только ресурсы зря будут тратиться на ответы всяким ботам.


Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

90. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 23-Авг-14, 09:36 
Тут предлагают некий deceiverd, который будет принимать соединения на всех интересных портах и выдавать на них интересные баннеры (возможно, даже произвольно выбранные из пула), но сам при этом никаких сервисов предоставлять не будет. Или будет предоставлять минимальные, типа отдачи пустого index.html, открытия и мгновенного закрытия соединения по telnet, и т.д.
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

119. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 25-Авг-14, 00:59 
> Тут предлагают некий deceiverd, который будет принимать соединения на всех интересных портах
> и выдавать на них интересные баннеры (возможно, даже произвольно выбранные из
> пула), но сам при этом никаких сервисов предоставлять не будет. Или
> будет предоставлять минимальные, типа отдачи пустого index.html, открытия и мгновенного
> закрытия соединения по telnet, и т.д.

Ачо, tcpwrappers уже отменили? И в портах нету? И в ебилдах?

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

127. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 25-Авг-14, 09:12 
Ну покажи инсталляцию tcpwrappers на любом произвольном сервере, которая делает ровно это.
Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору

29. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от _KUL (ok) on 22-Авг-14, 15:49 
Смотрим на ripe.net диапазоны спецслужб и блочим их. Есть же геоайпи, так нужно спецслцужбыайпи сделать :)
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

33. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +1 +/
Сообщение от Аноним (??) on 22-Авг-14, 16:15 
Слишком просто. Думаете, вы умнее спецслужб, и те не подумали про диапазоны?

В новости даже написано:

> В процессе работы HACIEND применяются перехваченные гражданские компьютеры, которые используются для получения вычислительных ресурсов или скрытия следов.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

41. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +1 +/
Сообщение от anonymous (??) on 22-Авг-14, 17:15 
> Слишком просто. Думаете, вы умнее спецслужб, и те не подумали про диапазоны?
> В новости даже написано:
>> В процессе работы HACIEND применяются перехваченные гражданские компьютеры, которые используются для получения вычислительных ресурсов или скрытия следов.

Добавлю ключевые слова для поиска: landmark, orb, olympia, hacienda.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

58. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +1 +/
Сообщение от Аноним (??) on 22-Авг-14, 19:32 
>> В процессе работы HACIEND применяются перехваченные гражданские компьютеры,
>> которыеиспользуются для получения вычислительных ресурсов или скрытия следов.

Ну то-есть чуваки внаглую отбабахали (или отжали) ботнет, промышляют сканами, а поскольку у них крыша - то как бы даже все шито-крыто :). Что там следующее? Ждем когда они начнут на заказ ддосы производить? :)

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

61. "Проект TCP Stealth стал ответом на деятельность..."  +1 +/
Сообщение от arisu (ok) on 22-Авг-14, 19:53 
> Что там следующее? Ждем когда они начнут на заказ ддосы производить?

если ты думаешь, что нет…

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

74. "Проект TCP Stealth стал ответом на деятельность..."  +/
Сообщение от Аноним (??) on 23-Авг-14, 06:41 
> если ты думаешь, что нет…

Так я и спрашиваю - когда уже начнут тарифы в открытую вывешивать ;).

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

81. "Проект TCP Stealth стал ответом на деятельность..."  +1 +/
Сообщение от arisu (ok) on 23-Авг-14, 07:00 
>> если ты думаешь, что нет…
> Так я и спрашиваю - когда уже начнут тарифы в открытую вывешивать

это невыгодно: снижает возможность дифферинцирования цен. ну, в плане: «а почему Васе за десять долларов, а мне за триста?!»

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

99. "Проект TCP Stealth стал ответом на деятельность..."  +/
Сообщение от Аноним (??) on 23-Авг-14, 19:27 
> это невыгодно: снижает возможность дифферинцирования цен. ну, в плане: «а почему Васе
> за десять долларов, а мне за триста?!»

Хм, действительно :).

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

134. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Michael Shigorin email(ok) on 27-Авг-14, 13:33 
> Что там следующее? Ждем когда они начнут на заказ ддосы производить? :)

Штукснет уже дождались.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

31. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Andrey (??) on 22-Авг-14, 15:58 
Политика агронома из анекдота "нехай этот суслик подавится"? Уверяю вас это порочная практика, особенно если для этой "дыры" есть хоть один хост в сети, который будет доверять на каком-то уровне.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

124. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 25-Авг-14, 03:50 
> Почему бы просто не создать какой ни будь сервис или демон на
> отдельно стоящем сервере в компании, и перенаправлять туда всё

Поздравляю, вы только что изобрели DMZ :).

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Нанобот (ok) on 22-Авг-14, 15:06 
а если бы использовали TCP_MD5SIG, можно было бы добиться аналогичного результата без необходимости патчить йадро
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +4 +/
Сообщение от pavlinux (ok) on 22-Авг-14, 18:16 
Чукча не читатель, чукча песатель?

https://gnunet.org/sites/default/files/tcp_stealth_3.16_1.diff


+#ifdef CONFIG_TCP_STEALTH
+u32 tcp_stealth_sequence_number(struct sock *sk, __be32 *daddr,
+                u32 daddr_size, __be16 dport)
+{
+    struct tcp_sock *tp = tcp_sk(sk);
+    struct tcp_md5sig_key *md5;
+
+    __u32 sec[MD5_MESSAGE_BYTES / sizeof(__u32)];
+    __u32 i;
+    __u32 tsval = 0;
+
+    __be32 iv[MD5_DIGEST_WORDS] = { 0 };
+    __be32 isn;
+
+    memcpy(iv, (const __u8 *)daddr,
+           (daddr_size > sizeof(iv)) ? sizeof(iv) : daddr_size);
+
+#ifdef CONFIG_TCP_MD5SIG
+    md5 = tp->af_specific->md5_lookup(sk, sk);
+#else
+    md5 = NULL;
+#endif
...

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

104. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от pavlinux (ok) on 24-Авг-14, 01:48 
То есть никто не заметил, что посаны массив iv[] - обнуляют, а на sec[] - забили ...

+    __u32 sec[MD5_MESSAGE_BYTES / sizeof(__u32)];
+    __be32 iv[MD5_DIGEST_WORDS] = { 0 };

... а меж тем после его заполнения ...

 
    for (i = 0; i < MD5_DIGEST_WORDS; i++)
        iv[i] = le32_to_cpu(iv[i]);
    for (i = 0; i < MD5_MESSAGE_BYTES / sizeof(__le32); i++)
        sec[i] = le32_to_cpu(((__le32 *)tp->stealth.secret)[i]);


... и  работы функции

    md5_transform(iv, sec);

Ну а это любимое занятие всех чайников (либо косящих под чайников) - добавить
свою супер-криптохрень после известных алгоритмов, и обязательно с XOR.
md5_transform() им мало, он верят в свою чистую карму и чувствуют что постигли Харикришну :)

    isn = cpu_to_be32(iv[0]) ^ cpu_to_be32(iv[1]) ^
          cpu_to_be32(iv[2]) ^ cpu_to_be32(iv[3]);

    if (tp->stealth.mode & TCP_STEALTH_MODE_INTEGRITY)
        be32_isn_to_be16_ih(isn) =
            cpu_to_be16(tp->stealth.integrity_hash);

    return be32_to_cpu(isn);
}


массив sec[] остаётся в памяти, с некриптованным кодом tp->stealth.secret[]
...

Ну децкий сад - посаны упорно верят в XOR.


((__be16 *)iv)[6] ^= dport;

И эта, массив iv[MD5_DIGEST_WORDS] (см. выше) состоит из 4 элементов!!!
Где они 7-ой накопали???? Вроде от преобразования BIG-ENDIAN<->LITTLE-ENDIAN
размеры массива не изменяются :)

#define MD5_DIGEST_WORDS 4
http://lxr.free-electrons.com/source/include/linux/cryptohas...
---
Вся функция - иммитация бурной деятельности, тупа заменяется на:  


u32 tcp_stealth_sequence_number(void) {

    return be32_to_cpu(get_random_int());

}


Какой-то троян от АНБ, ну в жопу...

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

15. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 22-Авг-14, 15:20 
На секундочку, в 2014 году любой овощ может запустить zmap на серваке с гигабитным каналом и через менее чем сутки получить исчерпывающий список машин с интересовавшим портом. Лобовым перебором IPv4. Целиком.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 22-Авг-14, 15:32 
Портов 65535, если что. 65535 суток - это как бы дофига.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

25. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +1 +/
Сообщение от Случайный гость on 22-Авг-14, 15:43 
> Портов 65535, если что. 65535 суток - это как бы дофига.

А нелюбой овощ может запустить 65535 zmap-ов на 65535 машинах.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

50. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +1 +/
Сообщение от pavlinux (ok) on 22-Авг-14, 18:18 
>> Портов 65535, если что. 65535 суток - это как бы дофига.
> А нелюбой овощ может запустить 65535 zmap-ов на 65535 машинах.

В новости написано же - ботнеты АНБ юзает.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

59. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 22-Авг-14, 19:35 
> Портов 65535, если что. 65535 суток - это как бы дофига.

Во первых там несколько часов. Во вторых, можно взять скажем тысячу компьютеров. Несколько часов * 65 - через менее чем месяц у вас будет исчерпывающий скан интернета.

Впрочем, в основном интересуют стандартные сервера на стандартных портах. Разбираться что там за нестандартный кастом на энном порту - много времени надо.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

32. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +1 +/
Сообщение от Аноним (??) on 22-Авг-14, 16:07 
Спецслужбы выявляют как раз уязвимый, годами непропатченный софт. А не любителей собирать ядро с новомодными фичами для безопасности.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  –1 +/
Сообщение от Нанобот (ok) on 22-Авг-14, 16:34 
данный софт расчитан на любителей поистерить на тему "мы все под колпаком", спецслужбы тут вообще никоим боком
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

38. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +2 +/
Сообщение от Аноним (??) on 22-Авг-14, 16:44 
> В процессе работы HACIEND применяются перехваченные гражданские компьютеры, которые используются для получения вычислительных ресурсов или скрытия следов.

Т.е. спецслужбы занимаются кибер-терроризмом?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +3 +/
Сообщение от anonymous (??) on 22-Авг-14, 17:16 
>> В процессе работы HACIEND применяются перехваченные гражданские компьютеры, которые используются для получения вычислительных ресурсов или скрытия следов.
> Т.е. спецслужбы занимаются кибер-терроризмом?

Неожиданно, правда?
Смешней всего, когда похекают именно твой комп и именно тебе дадут по голове за то, что ты не делал.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

44. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +2 +/
Сообщение от sorrymak (ok) on 22-Авг-14, 17:18 
Уже давным-давно.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

62. "Проект TCP Stealth стал ответом на деятельность..."  +3 +/
Сообщение от arisu (ok) on 22-Авг-14, 19:54 
> Т.е. спецслужбы занимаются кибер-терроризмом?

для тебя это новость?

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

73. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 23-Авг-14, 06:40 
> Т.е. спецслужбы занимаются кибер-терроризмом?

Как известно, хуже террористов только борцы с терроризмом...

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

83. "Проект TCP Stealth стал ответом на деятельность..."  +/
Сообщение от arisu (ok) on 23-Авг-14, 07:04 
> Как известно, хуже террористов только борцы с терроризмом...

угу. «для борьбы с терроризмом годятся *любые* методы!»

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

39. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от дл on 22-Авг-14, 16:50 
SQN 32 бита, коллизий не боятся?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +1 +/
Сообщение от Аноним (??) on 22-Авг-14, 17:30 
В передаваемом хэше учитывается IP, порт отправителя и timestamp, поэтому коллизии очень легко отметаются.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

45. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +1 +/
Сообщение от Аноним (??) on 22-Авг-14, 17:29 
про port knocking (стук в порты) здесь http://www.ibm.com/developerworks/ru/library/au-sshlocks/ind... достаточно подробно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 22-Авг-14, 18:02 
-A INPUT -p tcp -m tcp -j TARPIT ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от pavlinux (ok) on 22-Авг-14, 18:19 
> -A INPUT -p tcp -m tcp -j TARPIT ?

Своим тоже?

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

79. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 23-Авг-14, 06:55 
> Своим тоже?

Ну, прикинь как прикольно. Идешь на сервак по ssh. А там - обана, tarpit. Не рой другому яму! :)))

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

48. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от вои и аноним подкрался on 22-Авг-14, 18:06 
а не проще держать порты закрытыми на системе. если сервак публичный ничего не попишешь, но если он внутренний то в чем проблема. определил список имеющих разрешение на подключение и все. а за публиным следить особо просто. чтоб дыры вовремя патчить и все. на крайняк выставить ответный скан на незаконных подключенцев))) если возникнут проблемы с законом из-за них выдать логи спецам пусть смотрят кто накуролесил через ваш сервак. в мандриве была такая фишка открывать ответный скан на запрещенные подключения.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

63. "Проект TCP Stealth стал ответом на деятельность..."  +/
Сообщение от arisu (ok) on 22-Авг-14, 19:55 
как хорошо, что тебе доверяют только кофе разносить.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

64. "Проект TCP Stealth стал ответом на деятельность..."  +1 +/
Сообщение от Аноним (??) on 22-Авг-14, 20:57 
Причем походу - только холодный :)
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

72. "Проект TCP Stealth стал ответом на деятельность..."  +/
Сообщение от вои и аноним подкрался on 22-Авг-14, 23:44 
так я и не хвастаюсь что админ или программер. я чисто любопытный линуксоид так сказать. нет если будет интересно могу конечно и в коде покопаться, но я не профи . поэтому и не лезу ссоветами. просто предложил. кстати была тут программка похожая, которая позволяла подключаться похожим образом. типа постучался в порт особым образом и соединение есть. вот только не помню название. я например дома просто закрываю все порты в системе для подключения из вне и остается только доступ в сеть изнутри. но прекрасно понимаю что это не подходит для публичных серверов.
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

82. "Проект TCP Stealth стал ответом на деятельность..."  –1 +/
Сообщение от arisu (ok) on 23-Авг-14, 07:02 
> поэтому и не лезу ссоветами.
> просто предложил.

эти два предложения противоречат друг другу.

скажи, хирургу ты тоже будешь «просто предлагать», как лучше операции делать? нет? а зачем ты тогда лезешь со своими «предложениями» в другие области, где точно так же ничего не понимаешь?

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

88. "Проект TCP Stealth стал ответом на деятельность..."  +/
Сообщение от вот такой вот аноним on 23-Авг-14, 09:18 
я говорил что совсем ничего не понимаю? понимаю, но не считаю свое мнение окончательным. я ведь хоть не профи админ или программист, но все же далеко не рядовой пользователь. не стоит ставить свою точку зрения окончательной.
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

89. "Проект TCP Stealth стал ответом на деятельность..."  +1 +/
Сообщение от arisu (ok) on 23-Авг-14, 09:25 
> я говорил что совсем ничего не понимаю?

ты это написал. прямо в #48. яснее некуда.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

135. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Michael Shigorin email(ok) on 27-Авг-14, 13:41 
> а не проще держать порты закрытыми на системе.

Не проще, когда требуется разрешить противоречие вида "сервис должен быть доступен своим, но сервис должен быть недоступен чужим" или "сервис должен быть доступен своим, но их IP-адреса заранее неизвестны".  Вариантов решения последней задачи знаю два -- VPN и port knocking.

Когда не знаете точно, но что-либо удивило -- лучше не писать много текста, а кратенько спросить; в данном случае достаточно было первого предложения с вопросительным знаком в конце, чтоб даже от хмурого arisu получить скорее ответ, чем наезд. :)

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

85. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +2 +/
Сообщение от Адекват (ok) on 23-Авг-14, 08:48 
Мне кажется это очень изящный способ выстрелить себе в ногу, результатом которого будет то, что вы сами не сможете подключиться на свой сервер, который находиться в другом часовом поясе например.
Не вижу ничего страшного в том, чтобы открыто светить свой ssh-порт хоть на 22, хоть на 22222 порту.
Кроме того, порты задумывались как штука, к которой смогут подключиться все кто захочет, а для всех остальных есть всякие ВПН, ключи и сертификаты.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

100. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 23-Авг-14, 19:35 
> Не вижу ничего страшного в том, чтобы открыто светить свой ssh-порт хоть
> на 22, хоть на 22222 порту.

Кроме того что на него прется легион ботов которые неиллюзорно грузят машину при многопоточных сканах и загаживают логи.

> Кроме того, порты задумывались как штука, к которой смогут подключиться все кто захочет,

И зачем мне "все кто захочет" на интерфейсе управления МОИМ сервером, например?


Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

103. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от chinarulezzz (ok) on 24-Авг-14, 00:06 
>И зачем мне "все кто захочет" на интерфейсе управления МОИМ сервером, например?

фу, эгоист :D

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

117. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +1 +/
Сообщение от Аноним (??) on 25-Авг-14, 00:18 
> фу, эгоист :D

Не будь эгоистом - расшарь свой сервак. Просим, просим :)

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

101. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от lucentcode (ok) on 23-Авг-14, 20:43 
Идея годная, посмотрим на реализацию.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

107. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 24-Авг-14, 13:34 
pavlinux выше уже посмотрел.
Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

110. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от pavlinux (ok) on 24-Авг-14, 18:18 
Реализация вроде правильная, всё по феншую, по API.
Но поверхностный просмотр кода оставляет впечатление, что написано по заказу,
либо посаны для себя бэкдор оставили (либо просто чайники и этого не видят). :)
Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

128. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  –1 +/
Сообщение от Аноним (??) on 25-Авг-14, 18:31 
Павлин, ну смени ты уже ник на д'Артаньян.
Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

137. "Проект TCP Stealth стал ответом на деятельность спецслужб по..."  +/
Сообщение от Аноним (??) on 31-Май-15, 08:57 
Ребята мне очень страшно помогите!!!!!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру