¿¿ALGUN SNIFFER PARA IDENTIFICAR TCP/IP EN UN CHAT??
Rubén
hijo... me esta jodiendo pero a base de bien en un chat, no se como lo ha
hecho pero a averiguado mi TCP/IP y me boquea el pc, me tira de la conexión
y demás, y ahora aki os planteo mis dudas.
¿me puede hacer algo mas a parte de eso?
¿como puedo jugársela yo de la misma manera?
Es urgente, please. Saludos y gracias.
Lepton
# Hola muy buenas, ante todo quiero presentarme y exponeros mi caso, un
# hijo... me esta jodiendo pero a base de bien en un chat, no se como lo ha
# hecho pero a averiguado mi TCP/IP y me boquea el pc, me tira de la conexión
# y demás, y ahora aki os planteo mis dudas.
#
# ¿me puede hacer algo mas a parte de eso?
# ¿como puedo jugársela yo de la misma manera?
#
# Es urgente, please. Saludos y gracias.
Lo siento, pero te ha tocado pasar "el examen", por primera
vez:
"Que significa que alguien ha averiguado tu TCP/IP?"
Cuando contestes eso, de una forma mas o menos aceptable,
te contestare muy gustoso :)
Lepton.
TyPhOoN
news:78JK8.340185$kC5.3...@telenews.teleline.es:
Hola 'Ruben' :-)
Tu caso puede ser uno de los típicos, alguien se ha hecho con tu
IP de TDE fija (no tu TCP/IP :-) y usa alguna técnica para tirar tu
conexión, posiblemente floodnet con clones (dependiendo de la red de irc o
chat room que utilices), nukes desde servidores proxy o smurf con un rango
IP de broadcast spoofeando su IP original canónica :-(
Pero antes, debes desestimar otras posibilidades para acotar el
ataque, por ejemplo... ¿te caes solo del IRC o la desconexión con Inet es
total? ¿a que red de IRC te refieres? ¿que módem, tipo de conexión y S.O.
utilizas y que bugs pueden implicar estos de por si? ¿que sistemas de
protección usas (firewall, etc...)? ¿puedes tener algún troyano rodando en
tu máquina? etc... :-O
Detectar el ataque será el siguiente paso, por lo menos en cuanto
al tipo y procedencia, aunque me temo, que la IP original canónica del
individuo o individuos en cuestión esté oculta con alguna técnica de
camuflaje :-(
Del IRC es fácil caerse por muchos motivos, que van desde los
propios de configuración hasta los provinientes de individuos maliciosos
pasando por problemas circunstanciales de los servers irc que forman la red
que utilizas para chatear :-/
Sobre lo de devolvérselo lo veo difícil y además poco
interesante, lo que debes hacer es centrarte en detener el ataque y ser
invulnerable a éste, con eso hay más que suficiente ;-)
Un saludo,
TyP
Rubén
"Lepton" <rei...@terra.es> escribió en el mensaje
news:5lsmfu8s6pskn9hh8...@4ax.com...
Jeje, veo ke me kieres poner a prueba, y lo has conseguido, yo se ke (o creo
ke se) cada ekipo cuando se conecta a internet tiene una dirección IP, no?,
pues eso este mamoncete me llego a comentar ke tenia mi IP con lo cual
siempre ke entrase al chat me tendría controlado por ke siempre entro con la
misma dirección y con lo cual me la juega.
Como veras estoy muy verde en estos temas de redes y demás, estoy intentando
ponerme al día pero hay muchísimos conceptos ke todavía no los domino, pero
estoy en ello.
Espero ke esta respuesta te haya ayudado un poco.
Salu2.
Rubén
"TyPhOoN" <typhoo...@hotmail.com> escribió en el mensaje
news:Xns9222A1D63A95Fty...@194.179.3.156...
> "Rubén" <tur...@tururu.es> wrote in
> news:78JK8.340185$kC5.3...@telenews.teleline.es:
>
> > Hola muy buenas, ante todo quiero presentarme y exponeros mi caso, un
> > hijo... me esta jodiendo pero a base de bien en un chat, no se como lo
> > ha hecho pero a averiguado mi TCP/IP y me boquea el pc, me tira de la
> > conexión y demás, y ahora aki os planteo mis dudas.
> >
> > ¿me puede hacer algo mas a parte de eso?
> > ¿como puedo jugársela yo de la misma manera?
> >
> > Es urgente, please. Saludos y gracias.
> >
> >
>
>
> Tu caso puede ser uno de los típicos, alguien se ha hecho con tu
> IP de TDE fija (no tu TCP/IP :-) y usa alguna técnica para tirar tu
> conexión, posiblemente floodnet con clones (dependiendo de la red de irc o
> chat room que utilices), nukes desde servidores proxy o smurf con un rango
> IP de broadcast spoofeando su IP original canónica :-(
Muchas gracias por esta respuesta tan técnica y desarrollada, pero como
habrás podido comprobar no estoy muy puesto en estos temas de redes y demás,
la verdad estoy intentando ponerme al día ya ke hay muchísimos conceptos y
definiciones ke todavía no pillo, con lo cual, me puedes explicar esto de
una manera mas comprensible para un novatillo?.
> Pero antes, debes desestimar otras posibilidades para acotar el
> ataque, por ejemplo... ¿te caes solo del IRC o la desconexión con Inet es
> total? ¿a que red de IRC te refieres? ¿que módem, tipo de conexión y S.O.
> utilizas y que bugs pueden implicar estos de por si? ¿que sistemas de
> protección usas (firewall, etc...)? ¿puedes tener algún troyano rodando en
> tu máquina? etc... :-O
La desconexión con internet es total.
El chat al que hago referencia es un canal especifico de inforchat.
Speedstream, adsl 256.
Windows me.
No tengo ningún sistema de protección.
Lo del troyano en realidad no lo se, quizás si o quizás no.
> Detectar el ataque será el siguiente paso, por lo menos en cuanto
> al tipo y procedencia, aunque me temo, que la IP original canónica del
> individuo o individuos en cuestión esté oculta con alguna técnica de
> camuflaje :-(
>
> Del IRC es fácil caerse por muchos motivos, que van desde los
> propios de configuración hasta los provenientes de individuos maliciosos
> pasando por problemas circunstanciales de los servers irc que forman la
red
> que utilizas para chatear :-/
Si, en esto te doy toda la razón ya ke alguna vez me ha pasado, pero solo me
tiraba del chat no la conexión entera de por si.
>
> Sobre lo de devolvérselo lo veo difícil y además poco
> interesante, lo que debes hacer es centrarte en detener el ataque y ser
> invulnerable a éste, con eso hay más que suficiente ;-)
A parte de la venganza claro esta ;-D, también me gustaría saber como se
hacen estas cosas de los sniffers de los ke tanto he oído hablar por ahí
para intentar meterme un poco en el mundo apasionante del hacking, por
cierto como puedo coger unas lecciones un poco básicas sobre este mundillo?.
Muchísimas gracias veo ke por aki hay mas de un entendido.
Lepton
# Jeje, veo ke me kieres poner a prueba, y lo has conseguido, yo se ke (o creo
# ke se) cada ekipo cuando se conecta a internet tiene una dirección IP, no?,
vale vale.. aprobado :)
espero que no te haya parecido ofensivo ni nada, solo tengo intencion
de hacer este tipo de preguntas para ver si:
1. el que pregunta sabe realmente algo de lo que pregunta
2. el que pregunta *lee* el grupo, hay demasiados OTP (one-time
posters :)) que nos hacen perder el tiempo..
# pues eso este mamoncete me llego a comentar ke tenia mi IP con lo cual
# siempre ke entrase al chat me tendría controlado por ke siempre entro con la
# misma dirección y con lo cual me la juega.
efectivamente, si el individuo ese conoce tu IP, y es constante
(si tienes ADSL o similar), el puede saber cuando estas conectado,
pero en principio eso es todo lo que puede saber, a menos que tu
le ayudes.. como?
por lo que dices en tu respuesta a typhoon, no has tomado ninguna
medida para protegerse.. en general eso no es tan grave, suponiendo
que tu ordenador no "ofrezca" nada al exterior.
posibles cosas que pueden estar pasando:
1. el individuo ese te esta enviando "algo" (*) que de alguna
forma te desconecta de internet.
(*) ese algo puede ser algun paquete (datos) que de alguna
forma hacen que tu conexion se vuelva loca. no entrare en
detalles ahora..
2. te han enviado algun programa, que tu has ejecutado, y no
ha resultado ser lo que deberia ser -> es un troyano.
que es un troyano? simplemente un programa que aparentemente
hace alguna cosa, generalmente tonta (un salvapantallas, un
conversor de euros, etc..), pero que lleva otro programa, maligno,
que se instala en tu ordenador sin tu consentimiento ni
conocimiento :)
ese programa puede por ejemplo avisar a su "creador" cada vez
que te conectes. ademas, el troyano podria permitir al "creador"
(lo pongo entre comillas porque los troyaneros suelen usar cosas
que otra gente ha creado) controlar tu ordenador desde el suyo.
solucion: por un lado deberias instalar algun antivirus.. no hacen
magia, pero te ayudara mucho, sobre todo si no tienes demasiada
experiencia.
por otro lado podrias instalar un firewall y/o sistema de deteccion
de intrusos (IDS). en tu caso concreto te recomendaria el ZoneAlarm,
o el BlackICE, ya que incorporan (al menos este ultimo) caracteristicas
de un IDS.
y finalmente, y lo mas importante, deberias tener cuidado con lo
que haces. me refiero a con quien hablas en los chats, que datos
das sobre ti y/o tu ordenador, que programas ejecutas sin ningun
control, etc.. esta es por supuesto la parte mas dificil, pero es
la que siempre te garantizara un buen nivel de seguridad.
# Como veras estoy muy verde en estos temas de redes y demás, estoy intentando
# ponerme al día pero hay muchísimos conceptos ke todavía no los domino, pero
# estoy en ello.
# Espero ke esta respuesta te haya ayudado un poco.
yo espero que la mia te haya ayudado a ti. si tienes algun problema
con la instalacion del antivirus y el firewall, recuerda primero
leerte tranquilamente la documentacion (si, es un con~azo, pero se
aprende mucho!), y si todavia te queda alguna duda, aqui estare(mos)
gustosos de ayudarte.
suerte,
Lepton.
Nimrod
>
> A parte de la venganza claro esta ;-D, también me gustaría saber como se
> hacen estas cosas de los sniffers de los ke tanto he oído hablar por ahí
> para intentar meterme un poco en el mundo apasionante del hacking, por
> cierto como puedo coger unas lecciones un poco básicas sobre este mundillo?.
Hola.
Un sniffer es, básicamente, un programa que captura los paquetes que
atraviesan un determinado segmento de red. En tu caso, que supongo que es un
ordenador conectado a un cablemódem, te serviría para capturar los paquetes que
recibes y mandas desde/a Internet. Esto te permitiría saber si te cortan la
conexión mediante el envío de determinados paquetes (como te sugería Lepton) e
incluso ver si tienes un programa instalado (que te hayan colado con un troyano,
por ejemplo) que da control sobre tu máquina a una persona externa.
Como te ha dicho Lepton, lo primero que tal vez deberías hacer es instalar
un antivirus. Muchos de ellos detectan ciertos programas instalados en tu
ordenador que pueden servir para el control remoto. Además, te servirá para
evitar que te cuelen más troyanos en el futuro. Es cierto que no son 100%
seguros, pero algo hacen.
En cuanto a los firewalls e IDS, como IDS el BlackIce es bueno, además creo
recordar que incorpora un sniffer, por lo que instalándolo también podrás tener
lo que querías.
También te recomendaría Snort. Es fundamentalmente para Linux, y tú usas
Windows. De todas formas, creo que hay una versión para Windows, o por lo menos
la estaban desarrollando. Snort es un IDS muy flexible, además de incorporar un
sniffer muy potente y totalmente configurable. Aunque esto también podría ser un
problema, puesto que si no tienes demasiada idea de redes y seguridad, puede
resultarte bastante difícil sacarle partido.
TyPhOoN
Hola 'Ruben' :-)
Sigue las indicaciones de 'Lepton' y 'Nimod', no había leído sus
post... puñeteros servidores de news :-(
Instálate un antivirus, bájate 'The Cleaner' y ejecútalo para
detectar posibles troyanos genéricos, y por último, un firewall que al
menos bloquee las conexiones no deseadas, tanto desde Inet como de tu
máquina hacia ésta ;-)
Existen "troyanos no genéricos", o sea, aquellos que los
antivirus y antitroyanos no detectan, ya que suelen ser troyanos
modificados o de cosecha propia, con muy baja difusión e incidencia en la
red, insuficiente para que las empresas dedicadas a generar soluciones a
estos estén al tanto, sobre todo, si el troyanuser es discreto... la única
forma de pillar a estos, puede ser mediante un fire o una auditoría de
conexión :-O
Si quieres ir más allá y auditar tu conexión, pues entonces
céntrate en lo que te dicen sobre el uso de IDSs o como usar un sniffer
para conseguir lo mismo, el snort que apunta 'Nimrod', también lo tienes
para MSDOS/windows, con una plataforma IDS en sí bajo windows, si no
recuerdo mal, aunque particularmente yo usaría 'Ethereal' con librería
'WinPCAP', me resulta más atractivo... puede ser una mala costumbre :O)
Un saludo,
TyP
TyPhOoN
Particularmente, no creo que sea un troyano tu problema, me inclino a
pensar que o bien es un bug del firmware de tu módem que permite forzar una
desconexión remota con un reset del módem, aunque no conozco ninguno para
el Speedstream :-(
O bien puede ser una vulnerabilidad de algún puerto que llevas abierto
en tu Windows ME y es explotado remotamente a base de un "nuke" o similar,
o sea, el envío a ese puerto de "basura no digerible" que produce un
cuelgue. También puede ser lo mismo pero usando otra técnica, en concreto
un "smurf" desde un rango IP que funciona como repetidor broadcast hacia tu
IP, spoofeando la IP de envío (falseandola por la tuya), consumiendo así,
tu ancho de banda hasta la desconexión :-(
El funcionamiento es bien simple, a grosso modo, un repetidor
broadcast multiplica su respuesta a una petición tuya, por ejemplo, si le
envias un ping te responderá con lote de ellos, o sea, obtienes varias
respuestas para una única petición, si se localizan uvarios que funcionen
de este modo en todo un rango de IPs, por ejemplo x.x.x.1 a 255, la
respuesta es masiva, basta enviar una serie de pings para generar un
tráfico a tu máquina desmesurado y desbordante... tu máquina se volvería
loca respondiendo, y como provendría de diferentes IPs sería dificil de
identificar y discriminar, resultado... un D.o.S. (denial of Service) que
te desconecta :-(
La parte fundamental es hacer spoofing con tu IP de la siguiente
manera, el agresor envía desde su máquina la petición a varios repetidores
broadcast falseando la procedencia IP e indicando la tuya como origen,
resultado... él provoca las respuestas pero se dirigen hacia ti... :-O
No se si existe alguna protección para este tipo de agresión D.o.S.,
imagino que sí pero debe de ser bastante elaborada y parece difícil de
implementar a nivel de firewall a no ser eliminando todo un tipo de tráfico
que por otro lado puede ser necesario, dependiendo de tu ISP, para
mentenerte conectado, aunque hay otras posibilidades... :-O
Detectar este tipo de ataque, o si es un simple "nuke", es el primer
paso. Usa un firewall y al menos tendrás más datos para determinarlo ;-)
Un saludo de nuevo,
TyP
Rubén
> On Tue, 04 Jun 2002 09:07:13 GMT, "Rubén" <tur...@tururu.es> wrote:
>
> # Jeje, veo ke me kieres poner a prueba, y lo has conseguido, yo se ke (o
creo
> # ke se) cada ekipo cuando se conecta a internet tiene una dirección IP,
no?,
>
> vale vale.. aprobado :)
>
> espero que no te haya parecido ofensivo ni nada, solo tengo intencion
> de hacer este tipo de preguntas para ver si:
>
> 1. el que pregunta sabe realmente algo de lo que pregunta
> 2. el que pregunta *lee* el grupo, hay demasiados OTP (one-time
> posters :)) que nos hacen perder el tiempo..
>
No me ofende nu mucho menos, inclusive veo ke gran importancia lo ke haces
por ke siempre hay gentuza por ahi ke nada mas ke hace tocar los cojones y
joder a los demas cuando realmente este se supone ke es un sitio de
informacion, charla y debate, me alegro de ke me hayas hecho esa pregunta.
Lo dudo, aun ke nunca se sabe, pero suelo estar bastante atento a lo ke me
mandan desde ke un capullo me mando un virus en un adjunto sin kerer y tuve
ke tirar abajo el HD.
> solucion: por un lado deberias instalar algun antivirus.. no hacen
> magia, pero te ayudara mucho, sobre todo si no tienes demasiada
> experiencia.
Tengo el norton antivirus siempre activo, gracias a el me he salvado de
alguna ke otra putadilla mas.
> por otro lado podrias instalar un firewall y/o sistema de deteccion
> de intrusos (IDS). en tu caso concreto te recomendaria el ZoneAlarm,
> o el BlackICE, ya que incorporan (al menos este ultimo) caracteristicas
> de un IDS.
>
> y finalmente, y lo mas importante, deberias tener cuidado con lo
> que haces. me refiero a con quien hablas en los chats, que datos
> das sobre ti y/o tu ordenador, que programas ejecutas sin ningun
> control, etc.. esta es por supuesto la parte mas dificil, pero es
> la que siempre te garantizara un buen nivel de seguridad.
Gracias por la advertencia pero suelo tomar precauciones y nunca revelo nada
personal.
> # Como veras estoy muy verde en estos temas de redes y demás, estoy
intentando
> # ponerme al día pero hay muchísimos conceptos ke todavía no los domino,
pero
> # estoy en ello.
> # Espero ke esta respuesta te haya ayudado un poco.
>
> yo espero que la mia te haya ayudado a ti. si tienes algun problema
> con la instalacion del antivirus y el firewall, recuerda primero
> leerte tranquilamente la documentacion (si, es un con~azo, pero se
> aprende mucho!), y si todavia te queda alguna duda, aqui estare(mos)
> gustosos de ayudarte.
Me ha servido de gran ayuda, muchísimas gracias a ti por todo, seguiré
empapándome de todo lo ke pueda respecto a redes para estar todo lo
informado ke pueda y seguiré leyendo el news ya que lo considero de gran
utilidad para los usuarios.
Rubén
"Nimrod" <sha...@mordor.net> escribió en el mensaje
news:3CFCA9BB...@mordor.net...
fio ya ke veo ke teneis la buena intencion y la sabiduria para hechar una
mano a los mas novatillos como yo.
Salu2
Rubén
> 'WinPCAP', me resulta más atractivo... puede ser una mala costumbre :O)
He seguido tu consejo pero ahora me encuento en ke me haria falta ke me
hechases un cable en el manejo y funcionamiento por ke en la pagina oficial
viene to en ingles y es un poco complicado, o por lo menos dime donde me
puedo informar pero en español.
Un saludo compadre.
TyPhOoN
news:zpnL8.35608$4Q.2...@telenews.teleline.es:
Hola de nuevo`'Ruben' :-)
Saber algo de inglés, como ves, nunca viene mal... en el tema del
'hack', además, has de entender que posiblemente el 80% de las cosas que a
él se refieren se encuentran en ese idioma :-(
No creo que encuentres un manual en castellano para el Ethereal,
quizás pueda serte útil lo contenido en la siguiente dirección:
http://www.sindominio.net/hmleioa01/material/analisis.txt
Suerte,
TyP