info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Сканирование
10 views
Skip to first unread message
John Zaicev
Nov 24, 2011, 11:15:45 PM11/24/11
to
#/ŒŒŒŒŒ/# ž žžž€ ¨ ðÒÉ×ÅÔ _All_ ! ðÉÛÅÔ ÔÅÂÅ *John* !
_*‹‹‹‹‹*_ « €€€€€€€€€€€€€€€€€žžžžž ž ž ž
Copyright c http://www.crime-research.org
÷ ÜÔÏÊ ÓÔÁÔØÅ ÏÐÉÓÁÎ ËÁÎÁÎÏÞÅÓËÉÊ ×ÁÒÉÁÎÔ IP ID ÓËÁÎÉÒÏ×ÁÎÉÑ É ÅÇÏ ÍÏÄÉÆÉËÁÃÉÉ,
ËÁË ÕÖÅ ÉÚ×ÅÓÔÎÙÅ, ÔÁË É ÎÏ×ÙÅ (2^ ÓËÁÎÉÒÏ×ÁÎÉÅ, ÓËÒÙÔÎÏÅ ÎÁÂÌÀÄÅÎÉÅ ÚÁ IP ID).
IP ID (dumb host) ÓËÁÎÉÒÏ×ÁÎÉÅ - ÏÔÎÏÓÉÔÅÌØÎÏ ÎÏ×ÁÑ É ÏÞÅÎØ ÍÏÝÎÁÑ ÔÅÈÎÏÌÏÇÉÑ,
ËÏÔÏÒÁÑ ÐÏÚ×ÏÌÑÅÔ:
ðÒÏ×ÅÓÔÉ ÍÁËÓÉÍÁÌØÎÏ ÓËÒÙÔÎÏÅ ÓËÁÎÉÒÏ×ÁÎÉÅ:HÁ ÁÔÁËÕÅÍÏÍ ÈÏÓÔÅ ÎÅÔ ÄÁÖÅ
ÐÒÉÎÃÉÐÉÁÌØÎÏÊ ×ÏÚÍÏÖÎÏÓÔÉ ÕÚÎÁÔØ ÁÄÒÅÓ ×ÚÌÏÍÝÉËÁ, Á ÔÒÁÆÉË ×ÚÌÏÍÝÉËÁ Ó ÒÅÌÅÅÍ
(dumb ÈÏÓÔÏÍ) ÍÏÖÅÔ ÂÙÔØ ÚÁÍÁÓËÉÒÏ×ÁÎ ÐÏÄ ÏÂÙÞÎÙÊ ÔÒÁÆÉË.
óËÁÎÉÒÏ×ÁÔØ ÓÉÓÔÅÍÙ, ÄÏÓÔÕÐ Ë ËÏÔÏÒÙÍ ÚÁËÒÙÔ ÄÌÑ ÁÔÁËÕÀÝÅÇÏ ÆÁÊÒ×ÏÌÏÍ.
þÁÓÔÉÞÎÏ ÉÓÓÌÅÄÏ×ÁÔØ ÐÒÁ×ÉÌÁ ÆÁÊÒ×ÏÌÏ×.
éÓÔÏÒÉÞÅÓËÉÅ ÐÒÅÄÐÏÓÙÌËÉ
ðÒÅÄÐÏÓÙÌËÁ 1
äÌÑ ÔÏÇÏ, ÞÔÏÂÙ ÐÒÉ ÐÅÒÅÄÁÞÅ ÂÏÌØÛÏÇÏ IP ÐÁËÅÔÁ ÍÅÖÄÕ ÓÅÔÑÍÉ Ó ÒÁÚÎÙÍÉ MTU ÅÇÏ
ÍÏÖÎÏ ÂÙÌÏ ÆÒÁÇÅÎÔÉÒÏ×ÁÔØ, RFC 791 ÔÒÅÂÕÅÔ ÏÔ ÈÏÓÔÁ, ÏÔÐÒÁ×ÌÑÀÝÅÇÏ IP ÐÁËÅÔ,
ÞÔÏÂÙ ÓÏ×ÏËÕÐÎÏÓÔØ ÐÏÌÅÊ Identification (16 ÂÉÔ), Source address, Destination
address É Protocol ÂÙÌÁ ÕÎÉËÁÌØÎÏÊ × ÔÅÞÅÎÉÉ ×ÒÅÍÅÎÉ, ÐÏËÁ ÐÁËÅÔ ÍÏÖÅÔ ÂÙÔØ
'ÖÉ×ÙÍ' × óÅÔÉ. ôÁË ÖÅ ÄÏÐÕÓËÁÅÔÓÑ, ÞÔÏ ÎÅËÏÔÏÒÙÅ ÈÏÓÔÙ ÍÏÇÕÔ ÐÒÏÓÔÏ
ÉÓÐÏÌØÚÏ×ÁÔØ ÕÎÉËÁÌØÎÙÅ ÚÎÁÞÅÎÉÑ ÄÌÑ ID ÐÏÌÑ ËÁÖÄÏÇÏ ÉÓÈÏÄÑÝÅÇÏ ÐÁËÅÔÁ ×ÎÅ
ÚÁ×ÉÓÉÍÏÓÔÉ ÏÔ source/destination ÁÄÒÅÓÏ×.
÷ ÂÏÌØÛÉÎÓÔ×Å ÓÌÕÞÁÅ× ÒÁÚÒÁÂÏÔÞÉËÉ ÏÐÅÒÁÃÉÏÎÎÙÈ ÓÉÓÔÅÍ ÐÏÛÌÉ ÐÏ ÎÁÉÂÏÌÅÅ
ÐÒÏÓÔÏÍÕ ÐÕÔÉ ÐÒÉÓ×ÁÉ×ÁÑ ËÁÖÄÏÊ ÐÏÓÌÅÄÕÀÝÅÊ ÉÓÈÏÄÑÝÅÊ ÄÁÔÁÇÒÁÍÍÅ ÚÎÁÞÅÎÉÅ ÐÏÌÑ
ID ÎÁ ÅÄÉÎÉÃÕ ÂÏÌØÛÅÅ ÞÅÍ × ÐÒÅÄÙÄÕÝÅÊ.
ðÒÅÄÐÏÓÙÌËÁ 2
TCP ÐÒÏÔÏËÏÌ (RFC 793) ÔÒÅÂÕÅÔ ÞÔÏÂÙ ÈÏÓÔ ÏÔÓÙÌÁÌ RST ÐÁËÅÔ × ÓÌÕÞÁÅ ÅÓÌÉ ÏÎ
ÐÏÌÕÞÉÌ ÌÀÂÏÊ ÐÁËÅÔ ËÒÏÍÅ RST ÎÅ ÏÔÎÏÓÑÝÉÊÓÑ Ë ÓÕÝÅÓÔ×ÕÀÝÉÍ ÓÏÅÄÉÎÅÎÉÑÍ.
ëÒÏÍÅ ÔÏÇÏ, ÐÒÏÃÅÄÕÒÁ three-way handshake'Á, ÔÒÅÂÕÅÔ ÞÔÏÂÙ ÐÏ ÐÒÉÈÏÄÕ SYN'Á ÎÁ
ÏÔËÒÙÔÙÊ ÐÏÒÔ ÈÏÓÔ ÏÔ×ÅÔÉÌ ACK É SYN'ÏÍ (ÏÂÙÞÎÏ ÜÔÏ ÐÒÏÉÓÈÏÄÉÔ × ÏÄÎÏÍ ÐÁËÅÔÅ,
ÈÏÔÑ, ÎÁÓËÏÌØËÏ Ñ ÐÏÎÉÍÁÀ, ÄÏÌÖÎÁ ÂÙÔØ ×ÏÚÍÏÖÎÏÓÔØ ×ÙÐÏÌÎÉÔØ ÜÔÏÔ ÜÔÁÐ
ÈÜÎÄÛÅÊËÁ É Ä×ÕÍÑ ÐÁËÅÔÁÍÉ c SYN É ACK ÆÌÁÇÁÍÉ ÐÏ ÏÄÎÏÍÕ × ÐÁËÅÔÅ).
ïÐÉÓÁÎÉÅ ÂÁÚÏ×ÏÇÏ ÍÅÔÏÄÁ IP ID ÓËÁÎÉÒÏ×ÁÎÉÑ
18 ÄÅËÁÂÒÑ 1998 ÇÏÄÁ Salvatore Sanfilippo aka antirez ÏÐÉÓÁÌ × Ó×ÏÅÍ ÐÏÓÔÉÎÇÅ ×
bugtraq ÎÏ×ÙÊ ÍÅÔÏÄ ÓËÁÎÉÒÏ×ÁÎÉÑ Ó ÉÓÐÏÌØÚÏ×ÁÎÉÅÍ dumb ÈÏÓÔÏ×. ôÅÈÎÉËÁ
ÓËÁÎÉÒÏ×ÁÎÉÑ ÈÏÒÏÛÏ ÏÐÉÓÁÎÁ × ÐÉÓØÍÅ, ÔÁË ÞÔÏ Ñ ÌÉÛØ × ÏÂÝÉÈ ÞÅÒÔÁÈ ÚÄÅÓØ
ÒÁÓÓËÁÖÕ Ï ÎÅÊ.
÷ ÏÒÉÇÉÎÁÌÅ ÁÔÁËÁ ÐÏÚ×ÏÌÑÅÔ ÐÒÏÓËÁÎÉÒÏ×ÁÔØ TCP ÐÏÒÔÙ ÍÁÛÉÎÙ victim Ó
ÉÓÐÏÌØÚÏ×ÁÎÉÅÍ 'ÎÅÍÏÊ' (dumb) ÓÉÓÔÅÍÙ. ÷ ËÁÞÅÓÔ×Å dumb ÍÏÖÅÔ ×ÙÓÔÕÐÁÔØ ÌÀÂÁÑ
ÍÁÛÉÎÁ, ËÏÔÏÒÁÑ ÂÙ Õ×ÅÌÉÞÉ×ÁÌÁ IP ID ÎÁ ÅÄÉÎÉÃÕ Ó ËÁÖÄÙÍ ÏÔÏÓÌÁÎÎÙÍ ÐÁËÅÔÏÍ
(ÞÔÏ ÄÅÌÁÀÔ ÏÞÅÎØ ÍÎÏÇÉÅ ïó) É ÎÅ ÉÍÅÌÁ ÔÒÁÆÉËÁ ×Ï ×ÒÅÍÑ ÓËÁÎÉÒÏ×ÁÎÉÑ, ÞÔÏÂÙ
ÉÚÍÅÎÅÎÉÑ IP ID ËÏÎÔÒÏÌÉÒÏ×ÁÌÉÓØ ÔÏÌØËÏ ÁÔÁËÕÀÝÉÍ. ôÁË ÖÅ dumb ÄÏÌÖÎÁ ÉÍÅÔØ
×ÏÚÍÏÖÎÏÓÔØ ×ÙÐÏÌÎÉÔØ ÐÏÒÔÓËÁÎ victim. (ïÂÒÁÔÉÔÅ ×ÎÉÍÁÎÉÅ - dumb, ÎÅ ÁÔÁËÕÀÝÉÊ!
- ÅÇÏ ÍÁÛÉÎÁ ËÁË ÒÁÚ ÍÏÖÅÔ É ÎÅ ÉÍÅÔØ ÔÁËÏÊ ×ÏÚÍÏÖÎÏÓÔÉ, ÎÁÐÒÉÍÅÒ, ÔÒÁÆÉË Ó ÎÅÅ
ÍÏÖÅÔ ÂÙÔØ ÓÐÅÃÉÁÌØÎÏ ÂÌÏËÉÒÏ×ÁÎ ÆÁÊÒ×ÏÌÏÍ, ÎÏ ÜÔÏ ÎÅ Ñ×ÌÑÅÔÓÑ ÐÒÅÐÑÔÓÔ×ÉÅÍ).
áÔÁËÕÀÝÉÊ, ÚÎÁÑ ÁÄÒÅÓ ÌÀÂÏÊ dumb ÓÉÓÔÅÍÙ ÐÏÓÙÌÁÅÔ SYN ÐÁËÅÔÙ ÎÁ ÓËÁÎÉÒÕÅÍÙÅ
ÐÏÒÔÙ ÉÓÓÌÅÄÕÅÍÏÊ ÍÁÛÉÎÙ (victim) ÚÁÍÅÎÑÑ × ÏÔÐÒÁ×ÌÑÅÍÙÈ ÐÁËÅÔÁÈ Ó×ÏÊ ÁÄÒÅÓ ÎÁ
ÁÄÒÅÓ dumb. ðÒÉ ÜÔÏÍ ÏÎ ÓÏÚÄÁÅÔ ÐÏÔÏË TCP ÐÁËÅÔÏ× ÎÁ ÁÄÒÅÓ dumb ÄÌÑ
ÏÔÓÌÅÖÉ×ÁÎÉÑ ÉÚÍÅÎÅÎÉÑ ÐÏÌÑ ID × ÐÒÉÈÏÄÑÝÉÈ Ë ÎÅÍÕ Ó dumb ÐÁËÅÔÁÈ. ðÒÉ 'ÓÅÔÅ×ÏÍ
ÛÔÉÌÅ' ÎÁ dumb, ËÁÖÄÙÊ ÏÔ×ÅÔÎÙÊ ÐÁËÅÔ Ó ÎÅÇÏ ÂÕÄÅÔ ÉÄÔÉ Ó ÐÏÌÅÍ ID ÎÁ ÅÄÉÎÉÃÕ
ÂÏÌØÛÉÍ ÞÅÍ ÒÁÎÅÅ.
óËÁÎÉÒÕÅÍÙÊ ÈÏÓÔ (victim) × ÚÁ×ÉÓÏÍÏÓÔÉ ÏÔ ÔÏÇÏ, ÏÔËÒÙÔ ÕËÁÚÁÎÎÙÊ × ÐÁËÅÔÅ ÐÏÒÔ
ÎÁÚÎÁÞÅÎÉÑ ÉÌÉ ÎÅÔ, ÏÔ×ÅÞÁÅÔ ÎÁ ÁÄÒÅÓ 'ÏÔÐÒÁ×ÉÔÅÌÑ' (ÔÏ ÅÓÔØ ÎÁ ÁÄÒÅÓ dumb)
ÌÉÂÏ RST ÐÁËÅÔÏÍ (ÅÓÌÉ ÐÏÒÔ ÏÔËÒÙÔ) ÌÉÂÏ SYN|ACK ÐÁËÅÔÏÍ (ÅÓÌÉ ÐÏÒÔ ÏÔËÒÙÔ).
ðÏÌÕÞÉ× ÏÔ×ÅÔ ÏÔ victim, dumb ÌÉÂÏ ÉÇÎÏÒÉÒÕÅÔ ÅÇÏ (ÅÓÌÉ ÜÔÏ RST ÐÁËÅÔ), ÌÉÂÏ
(ÅÓÌÉ ÜÔÏ SYN|ACK) ÏÔ×ÅÞÁÅÔ ÓÁÍ RST ÐÁËÅÔÏÍ, ÔÁË ËÁË ÐÒÉÛÅÄÉÛÉÊ ÐÁËÅÔ ÎÅ
ÏÔÎÏÓÉÔÓÑ ÎÉ Ë ÏÄÎÏÍÕ ÉÚ ÓÏÅÄÉÎÅÎÉÊ. ÷ ÐÅÒ×ÏÍ ÓÌÕÞÁÅ ÚÎÁÞÅÎÉÅ ÐÏÌÑ IP ID ×
ÉÓÈÏÄÑÝÉÈ Ó dumb ÐÁËÅÔÁÈ ÐÏ ÐÒÅÖÎÅÍÕ ÍÏÎÏÔÏÎÎÏ Õ×ÅÌÉÞÉ×ÁÅÔÓÑ ÎÁ 1 É ÁÔÁËÕÀÝÉÊ,
ÎÅ ÏÂÎÁÒÕÖÉ× ÎÉËÁËÏÇÏ ÉÚÍÅÎÅÎÉÑ, ÄÅÌÁÅÔ ×Ù×ÏÄ ÞÔÏ ÐÏÒn ÚÁËÒÙÔ. ÷Ï ×ÔÏÒÏÍ
ÓÌÕÞÁÅ, ÏÔÐÒÁ×É× RST ÐÁËÅÔ, dumb Õ×ÅÌÉÞÉÌ ÎÁ ÅÄÉÎÉÃÕ Ó×ÏÊ ÓÞÅÔÞÉË É ÁÔÁËÕÀÝÉÊ,
ÚÁÍÅÔÉ× ÜÔÏÔ ÓËÁÞÏË, ÄÅÌÁÅÔ ×Ù×ÏÄ, ÞÔÏ ÐÏÒÔ ÏÔËÒÙÔ.
÷ ÞÅÍ ÚÁËÌÀÞÁÀÔÓÑ ÏÔÌÉÞÉÔÅÌØÎÙÅ ÏÓÏÂÅÎÎÏÓÔÉ ÜÔÏÇÏ ÔÉÐÁ ÕÑÚ×ÉÍÏÓÔÉ
óËÁÎÉÒÕÅÍÙÊ ÈÏÓÔ ÎÅ ÚÎÁÅÔ, ËÔÏ ÎÁ ÓÁÍÏÍ ÄÅÌÅ ÁÔÁËÕÀÝÉÊ. äÁÖÅ ÐÏÌÎÁÑ ÚÁÐÉÓØ
×ÓÅÇÏ ÔÒÁÆÉËÁ ÎÁ victim É ÐÏÓÌÅÄÕÀÝÉÊ ÁÎÁÌÉÚ ÎÅ ÐÏÚ×ÏÌÑÔ ÎÁÊÔÉ ÚÌÏÕÍÙÛÌÅÎÎÉËÁ.
áÄÍÉÎÉÓÔÒÁÔÏÒ ÁÔÁËÏ×ÁÎÏÊ ÍÁÛÉÎÙ ÍÏÖÅÔ ÐÏ-ÏÛÉÂËÅ ÓÄÅÌÁÔØ ×Ù×ÏÄ ÞÔÏ dumb É ÅÓÔØ
ÁÔÁËÕÀÝÉÊ (ËÁÒÔÉÎÁ × ÓÅÔÉ ÂÕÄÅÔ ÔÁËÁÑ, ÂÕÄÔÏ dumb ×ÙÐÏÌÎÑÅÔ SYN ÓËÁÎÉÒÏ×ÁÎÉÅ).
óËÁÎÉÒÏ×ÁÎÉÅ ÐÏÒÔÏ× ÄÁÎÎÙÍ ÍÅÔÏÄÏÍ ÉÓÐÏÌØÚÕÅÔ ÕÑÚ×ÉÍÏÓÔØ ÎÅ victim, Á ÔÒÅÔØÅÊ
ÍÁÛÉÎÙ. ÷ÎÅ ÚÁ×ÉÓÉÍÏÓÔÉ ÏÔ ÔÏÇÏ ÐÏÄ×ÅÒÖÅÎÁ ÌÉ victim ÜÔÏÊ ÕÑÚ×ÉÍÏÓÔÉ ÉÌÉ ÎÅÔ,
×ÚÌÏÍÝÉË ÍÏÖÅÔ ×ÓÅ ÒÁ×ÎÏ ÏÓÕÝÅÓÔ×ÉÔØ ÔÁËÕÀ ÁÔÁËÕ.
ôÒÅÂÕÅÔÓÑ ×ÓÅÇÏ 1 dumb host ÄÌÑ ÐÒÏ×ÅÄÅÎÉÑ ÁÔÁËÉ. á ÚÎÁÞÉÔ ÔÅÈÎÏÌÏÇÉÑ ÂÕÄÅÔ
ÒÅÁÌÉÚÕÅÍÁ ÐÏËÁ ÷óå ÍÁÛÉÎÙ × ÉÎÔÅÒÎÅÔÅ ÎÅ ÓÍÅÎÑÔ ÓÐÏÓÏÂ ÇÅÎÅÒÁÃÉÉ IP ID. (ÅÓÌÉ
ÔÁËÉÈ ÍÁÛÉÎ ÓÔÁÎÅÔ ÕÖÅ ËÒÉÔÉÞÅÓËÉ ÍÁÌÏ, ÔÅÏÒÅÔÉÞÅÓËÁÑ ×ÏÚÍÏÖÎÏÓÔØ ÁÔÁËÉ
ÏÓÔÁÎÅÔÓÑ, ÎÁ ÐÒÁËÔÉËÅ ÏÓÕÝÅÓÔ×ÉÔØ ÅÅ ÂÕÄÅÔ ÔÑÖÅÌÏ, ÔÁË ËÁË ÏÄÎÏ×ÒÅÍÅÎÎÁÑ
ÐÏÐÙÔËÁ Ä×ÕÈ ×ÚÌÏÍÝÉËÏ× ÐÒÏ×ÅÓÔÉ ÔÁËÕÀ ÁÔÁËÕ ÞÅÒÅÚ ÏÄÉÎ dumb ÐÒÉ×ÅÄÅÔ Ë ÔÏÍÕ,
ÞÔÏ ÏÎÉ ÂÕÄÕÔ ÍÅÛÁÔØ ÄÒÕÇ ÄÒÕÇÕ.)
HÉ ÁÄÍÉÎÉÓÔÒÁÔÏÒ ÕÑÚ×ÉÍÏÊ ÍÁÛÉÎÙ, ÎÉ ÒÁÚÒÁÂÏÔÞÉË ïó ÄÌÑ ÎÅÅ ÎÅ ÓÉÌØÎÏ ÓÔÒÁÄÁÀÔ
ÏÔ ÔÁËÏÊ ÕÑÚ×ÉÍÏÓÔÉ (ÓÌÅÄÏ×ÁÔÅÌØÎÏ, É ÎÅ ÉÓÐÙÔÙ×ÁÀÔ ÏÓÔÒÏÊ ÎÅÏÂÈÏÄÉÍÏÓÔÉ
ÉÓÐÒÁ×ÌÑÔØ ÕÑÚ×ÉÍÏÓÔØ ), ÐÏÓËÏÌØËÕ dumb Ñ×ÌÑÅÔÓÑ ÒÅÌÅÅÍ, ÎÏ ÎÅ ÖÅÒÔ×ÏÊ ÁÔÁËÉ.
÷ÏÚÍÏÖÎÏÓÔÉ, ËÏÔÏÒÙÅ ÄÁÅÔ IP ID ÓËÁÎ É ÅÇÏ ÍÏÄÉÆÉËÁÃÉÉ
éÓÓÌÅÄÏ×ÁÎÉÅ ÐÒÁ×ÉÌ ÆÁÊÒ×ÏÌÁ É ÏÂÈÏÄ ÆÁÊÒ×ÏÌÁ ÐÒÉ ÓËÁÎÉÒÏ×ÁÎÉÉ.
íÅÔÏÄ ÏËÁÚÙ×ÁÅÔ ÎÅËÏÔÏÒÕÀ ÐÏÍÏÝØ × ÉÓÓÌÅÄÏ×ÁÎÉÉ ÎÁÓÔÒÏÅË ÆÁÊÒ×ÏÌÏ×. æÁËÔÉÞÅÓËÉ,
ÐÒÏ×ÅÒËÁ ËÁÖÄÏÇÏ ÐÏÒÔÁ ÎÁ ÓÔÏÒÏÎÅ victim ×ÙÇÌÑÄÉÔ ËÁË ÐÏÐÙÔËÁ ÕÓÔÁÎÏ×ÌÅÎÉÑ
ÓÏÅÄÉÎÅÎÉÑ ÏÔ ÈÏÓÔÁ dumb, É ÒÅÚÕÌØÔÁÔÙ ÓËÁÎÉÒÏ×ÁÎÉÑ ÐÏËÁÚÙ×ÁÀÔ ËÁÒÔÉÎÕ victim Ó
ÔÏÞËÉ ÚÒÅÎÉÑ dumb. åÓÌÉ dumb ÉÓÐÏÌØÚÕÅÔ ÔÒÅÂÕÅÍÕÀ ÚÄÅÓØ ÇÅÎÅÒÁÃÉÀ IP ID, ÅÓÔØ
×ÏÚÍÏÖÎÏÓÔØ ÐÒÏ×ÅÒÉÔØ, ÄÏÓÔÕÐÅÎ ÌÉ ËÁËÏÊ-ÌÉÂÏ ÐÏÒÔ ÎÁ victim ÄÌÑ dumb.
äÌÑ ÓËÁÎÉÒÏ×ÁÎÉÑ ÍÁÛÉÎ ÚÁ ÆÁÊÒ×ÏÌÏÍ ÔÒÅÂÕÅÔÓÑ ÔÏÌØËÏ ÞÔÏÂÙ Õ ÁÔÁËÕÀÝÅÇÏ ÂÙÌÁ
×ÏÚÍÏÖÎÏÓÔØ ÐÏÓÌÁÔØ ÐÁËÅÔ ÎÁ victim c saddr=dumb. þÁÓÔÏ ÜÔÏ ÎÅ ÐÒÏÂÌÅÍÁ, ÔÁË
ËÁË ÔÑÖÅÌÏ ÏÐÒÅÄÅÌÉÔØ ËÔÏ ÎÁ ÓÁÍÏÍ ÄÅÌÅ ÏÔÐÒÁ×ÉÌ ÐÁËÅÔ, ÎÏ ÅÓÌÉ ÁÔÁËÕÀÝÉÊ É
dumb ÎÁÈÏÄÑÔÓÑ ÎÁ ÒÁÚÎÙÈ ÉÎÔÅÒÆÅÊÓÁÈ ÒÏÕÔÅÒÁ/ÆÁÊÒ×ÏÌÁ ÖÅÒÔ×Ù, ÔÏ ÐÒÁ×ÉÌØÎÁÑ
ÎÁÓÔÒÏÊËÁ ÆÁÊÒ×ÏÌÁ ÍÏÖÅÔ ÂÙÔØ ÓÅÒØÅÚÎÙÍ ÐÒÅÐÑÔÓÔ×ÉÅÍ ÄÌÑ ÔÁËÏÇÏ ÓËÁÎÉÒÏ×ÁÎÉÑ.
óËÁÎÉÒÏ×ÁÎÉÅ ÍÁÛÉÎ Ó ÐÒÉ×ÁÔÎÙÍÉ ÁÄÒÅÓÁÍÉ
Elie Bursztein aka lupin ÏÐÕÂÌÉËÏ×ÁÌ advisory, ÇÄÅ ÕËÁÚÁÌ ÎÁ ÐÒÉÍÅÎÉÍÏÓÔØ ÜÔÏÇÏ
ÓËÁÎÉÒÏ×ÁÎÉÑ ÄÌÑ ÓÌÕÞÁÑ ËÏÇÄÁ dumb - ÇÅÊÔ×ÅÊ × ÐÒÉ×ÁÔÎÕÀ ÓÅÔØ, Á victim -
ÍÁÛÉÎÁ, ÎÁÈÏÄÑÝÁÑÓÑ ×Ï ×ÎÕÔÒÅÎÎÅÊ ÓÅÔÉ ÚÁ dumb.
óËÁÎÉÒÏ×ÁÎÉÅ ×ÙÐÏÌÎÑÅÔÓÑ ÔÅÍ ÖÅ ÐÕÔÅÍ. HÏ ÓÌÅÄÕÅÔ ÕÞÅÓÔØ, ÞÔÏ ×ÏÚÍÏÖÎÏ ÜÔÏ
ÔÏÌØËÏ × ÓÌÕÞÁÅ (ÓÍ. ×ÙÛÅ) ËÏÇÄÁ ÁÔÁËÕÀÝÉÊ ÍÏÖÅÔ ÐÏÓÌÁÔØ ÓÐÕÆÌÅÎÙÊ ÐÁËÅÔ ÎÁ
victim. á ÜÔÏ ×ÏÚÍÏÖÎÏ ÔÏÌØËÏ ËÏÇÄÁ ÷óå ÒÏÕÔÅÒÙ ÎÁ ÐÕÔÉ ÏÔ ÁÔÁËÕÀÝÅÇÏ ÄÏ ÖÅÒÔ×Ù
ÐÒÏÐÕÓÔÑÔ ÔÁËÏÊ ÐÁËÅÔ, É ÂÏÌÅÅ ÔÏÇÏ, ÂÕÄÕÔ ÍÁÒÛÒÕÔÉÚÉÒÏ×ÁÔØ ÅÇÏ × ÎÁÐÒÁ×ÌÅÎÉÉ,
ÕËÁÚÁÎÎÏÍ ÁÔÁËÕÀÝÉÍ. HÁ ÐÒÁËÔÉËÅ ÜÔÏ ×ÏÚÍÏÖÎÏ ÔÏÌØËÏ × ÓÌÕÞÁÅ ËÏÇÄÁ dumb ÎÅ
ÉÍÅÅÔ ÜÌÅÍÅÎÔÁÒÎÏÊ ÚÁÝÉÔÙ ÏÔ spoof'ÉÎÇÁ, Á ×ÚÌÏÍÝÉË ÁÔÁËÕÅÔ Ó ÍÁÛÉÎÙ
ÎÅÐÏÓÒÅÄÓÔ×ÅÎÎÏ ÏÂÝÁÀÝÅÊÓÑ Ó dumb (e.g. Ó ÒÏÕÔÅÒÁ ÐÒÏ×ÁÊÄÅÒÁ). HÏ × ÜÔÏÍ
ÓÌÕÞÁÅ, ËÁË ÐÒÁ×ÉÌÏ, Õ ÁÔÁËÕÀÝÅÇÏ ÅÓÔØ É ÏÂÙÞÎÁÑ ×ÏÚÍÏÖÎÏÓÔØ ×ÙÐÏÌÎÉÔØ
ÓËÁÎÉÒÏ×ÁÎÉÅ victim, ÅÄÉÎÓÔ×ÅÎÎÏÅ ÏÇÒÁÎÉÞÅÎÉÅ, ËÏÔÏÒÏÅ × ÜÔÏÍ ÓÌÕÞÁÅ ÓÎÉÍÁÅÔÓÑ
- ÎÅÔ ÎÅÏÂÈÏÄÉÍÏÓÔÉ × ÐÏÌÕÞÅÎÉÉ ÁÔÁËÕÀÝÉÍ ÔÒÁÆÉËÁ Ó victim. ôÁË ÖÅ ÓÌÅÄÕÅÔ
ÐÏÍÎÉÔØ, ÞÔÏ ÐÏÓËÏÌØËÕ × ËÁÞÅÓÔ×Å dumb ×ÙÓÔÕÐÁÅÔ ÍÁÛÉÎÁ ÉÚ ÔÏÊ ÖÅ ÓÅÔÉ ÞÔÏ É
victim, ÄÌÑ ÒÁÓÓÌÅÄÏ×ÁÎÉÑ ÉÎÃÉÄÅÎÔÁ ÍÏÇÕÔ ÂÙÔØ ÉÓÐÏÌØÚÏ×ÁÎÙ ÌÏÇÉ ÔÒÁÆÆÉËÁ ÎÁ
ÎÅÊ - × ÎÉÈ ÂÕÄÅÔ ÐÒÉÓÕÔÓÔ×Ï×ÁÔØ ip ÁÔÁËÕÀÝÅÇÏ.
éÓÐÏÌØÚÏ×ÁÎÉÅ IP ID ÐÒÉ ÓËÁÎÉÒÏ×ÁÎÉÅ UDP ÓÅÒ×ÉÓÏ× ÚÁ ÆÁÊÒ×ÏÌÏÍ.
ó ÎÅËÏÔÏÒÙÍÉ ÍÏÄÉÆÉËÁÃÉÑÍÉ, IP ID ÓËÁÎÉÒÏ×ÁÎÉÅ ÍÏÖÎÏ ÐÒÏ×ÏÄÉÔØ É ÄÌÑ
ÓËÁÎÉÒÏ×ÁÎÉÑ UDP ÐÏÒÔÏ×.
'ïÂÙÞÎÏÅ' UDP ÓËÁÎÉÒÏ×ÁÎÉÅ ÏÔÌÉÞÁÅÔÓÑ ÏÔ TCP ÉÚ-ÚÁ ÔÏÇÏ, ÞÔÏ ÎÅÔ ÓÈÅÍÙ
ÈÅÎÄÛÅÊËÁ ÎÁ ÕÒÏ×ÎÅ ÐÒÏÔÏËÏÌÁ, É ÎÅÔ ×ÏÚÍÏÖÎÏÓÔÉ ÐÏÓÌÁ× ÏÄÉÎ UDP ÐÁËÅÔ ÎÁ ËÁËÏÊ
ÌÉÂÏ ÐÏÒÔ, ÐÏÌÕÞÉÔØ × ÏÔ×ÅÔ ËÁËÏÅ-ÌÉÂÏ ÓÔÁÎÄÁÒÔÎÏÅ ÐÏÄÔ×ÅÒÖÄÅÎÉÅ ÉÌÉ
ÏÐÒÏ×ÅÒÖÅÎÉÅ ÇÉÐÏÔÅÚÙ Ï ÎÁÌÉÞÉÉ ÏÔËÒÙÔÏÇÏ ÐÏÒÔÁ ÏÔ UDP ÐÒÏÔÏËÏÌÁ. HÏ ïó ×
ÓÌÕÞÁÅ ÏÂÒÁÝÅÎÉÑ Ë ÎÅÓÕÝÅÓÔ×ÕÀÝÅÍÕ UDP ÐÏÒÔÕ ÐÏÓÙÌÁÀÔ ICMP ÓÏÏÂÝÅÎÉÅ ÏÂ ÜÔÏÍ.
äÌÑ ÓËÁÎÉÒÏ×ÁÎÉÑ ÉÓÐÏÌØÚÕÅÔÓÑ ÍÅÔÏÄ ÐÏÓÙÌËÉ UDP ÐÁËÅÔÁ ÎÁ ÁÎÁÌÉÚÉÒÕÅÍÙÊ ÐÏÒÔ, É
ÏÖÉÄÁÎÉÅ ICMP ÓÏÏÂÝÅÎÉÑ Ó Type=3 (Destination Unreachable), Code=3 (Port
Unreachable). åÓÌÉ ÓÏÏÂÝÅÎÉÅ ÎÅ ÐÒÉÈÏÄÉÔ, ÐÏÒÔ ÓÞÉÔÁÅÔÓÑ ÏÔËÒÙÔÙÍ (Ó ÎÅËÏÔÏÒÏÊ
×ÅÒÏÑÔÎÏÓÔØÀ), ÅÓÌÉ ÐÒÉÈÏÄÉÔ, ÐÏÒÔ ÓÞÉÔÁÅÔÓÑ ÚÁËÒÙÔÙÍ.
ìÀÂÏÊ ÐÒÁ×ÉÌØÎÏ ÓËÏÎÆÉÇÕÒÉÒÏ×ÁÎÎÙÊ ÆÁÊÒ×ÏÌ ÎÅ ÐÒÏÐÕÓÔÉÔ ÔÁËÉÅ ÓÏÏÂÝÅÎÉÑ ÎÁÒÕÖÕ,
É ÄÌÑ ÁÔÁËÕÀÝÅÇÏ, ÉÓÐÏÌØÚÕÀÝÅÇÏ ICMP ÄÌÑ ÏÐÒÅÄÅÌÅÎÉÑ ÓÔÁÔÕÓÁ ÐÏÒÔÁ, ÎÅÔ
×ÏÚÍÏÖÎÏÓÔÉ ÕÚÎÁÔØ ÏÔËÒÙÔ ÐÏÒÔ ÉÌÉ ÎÅÔ.
úÄÅÓØ ÏÐÑÔØ ×ÏÚÍÏÖÎÏ ÉÓÐÏÌØÚÏ×ÁÎÉÅ IP ID ÄÌÑ ÓËÁÎÉÒÏ×ÁÎÉÑ, ÔÏÌØËÏ × ËÁÞÅÓÔ×Å
dumb ×ÙÓÔÕÐÁÅÔ ÓÁÍÁ victim (ÅÓÌÉ ÏÎÁ ÐÏÄÈÏÄÉÔ ÐÏÄ ÜÔÏ ÏÐÒÅÄÅÌÅÎÉÅ). áÔÁËÕÀÝÉÊ
ÓÌÅÄÉÔ ÚÁ ÉÚÍÅÎÅÎÉÑÍÉ IP ID, ÐÒÉ ÜÔÏÍ ÓËÁÎÉÒÕÑ UDP ÐÏÒÔÙ. ëÁË ÔÏÌØËÏ ÎÁ victim
(ÏÎÁ ÖÅ dumb) ÐÒÉÈÏÄÉÔ ÐÁËÅÔ Ó ÁÄÒÅÓÏÍ ÚÁËÒÙÔÏÇÏ UDP ÐÏÒÔÁ, victim ÏÔÓÙÌÁÅÔ
ICMP ÓÏÏÂÝÅÎÉÅ Ï ÜÔÏÍ, Õ×ÅÌÉÞÉ×ÁÑ ÔÅÍ ÓÁÍÙÍ ÓÞÅÔÞÉË IP ID. ïÔ×ÅÔ ÎÁ ÓÌÅÄÕÀÝÉÊ
TCP ÐÁËÅÔ ÁÔÁËÕÀÝÅÇÏ ÕÖÅ ÂÕÄÅÔ ÎÅÓÔÉ × ÓÅÂÅ ÉÎÆÏÒÍÁÃÉÀ ÏÂ ÜÔÏÍ. saddr ÍÏÖÅÔ
spoof'ÉÔØÓÑ ÌÀÂÙÍ ÚÎÁÞÅÎÉÅÍ, × ÚÁ×ÉÓÉÍÏÓÔÉ ÏÔ ËÏÎËÒÅÔÎÏÊ ÓÉÔÕÁÃÉÉ.
áÔÁËÕÀÝÉÊ ÄÏÌÖÅÎ '×ÉÄÅÔØ' ÏÔ×ÅÔÙ ÎÁ Ó×ÏÉ TCP ÚÁÐÒÏÓÙ ÞÔÏÂÙ ÏÔÓÌÅÖÉ×ÁÔØ ÓËÁÞËÉ
IP ID, ÓÌÅÄÏ×ÁÔÅÌØÎÏ ÍÅÔÏÄ ÎÅ ÐÏÚ×ÏÌÑÅÔ ÓÏÈÒÁÎÉÔØ ÐÏÌÎÕÀ ÁÎÏÎÉÍÎÏÓÔØ, ÎÏ UDP
ÐÁËÅÔÙ ÍÏÇÕÔ ÉÄÔÉ Ó ÐÒÏÉÚ×ÏÌØÎÏÇÏ ÁÄÒÅÓÁ, ÔÁË ÞÔÏ ÍÎÏÇÉÅ IDS ÍÏÇÕÔ
ÚÁÒÅÇÉÓÔÒÉÒÏ×ÁÔØ ÓËÁÎÉÒÏ×ÁÎÉÅ Ó ÐÏÄÓÔÁ×ÎÏÇÏ ÁÄÒÅÓÁ.
óÌÏÖÎÅÅ, ÎÏ ÔÏÖÅ ×ÏÚÍÏÖÎÏ ÉÓÐÏÌØÚÏ×ÁÔØ ÓÌÅÖÅÎÉÅ ÚÁ IP ID ÄÌÑ ÐÒÏ×ÅÄÅÎÉÑ
ÁÎÏÎÉÍÎÏÇÏ UDP ÓËÁÎÉÒÏ×ÁÎÉÑ _ÎÁ ÉÚ×ÅÓÔÎÙÅ ÓÅÒ×ÉÓÙ_. ôÅÈÎÏÌÏÇÉÑ ÚÁËÌÀÞÁÅÔÓÑ ×
ÔÏÍ, ÞÔÏÂÙ ÓÐÒÏ×ÏÃÉÒÏ×ÁÔØ victim ÐÏÓÌÁÔØ UDP ÓÏÏÂÝÅÎÉÅ (×ÏÚÍÏÖÎÏ ÎÅËÏÒÒÅËÔÎÏÅ),
ËÏÔÏÒÏÅ ÂÙ ×ÙÚ×ÁÌÏ ÏÔ×ÅÔÎÕÀ ÄÁÔÁÇÒÁÍÍÕ ÎÁ dumb. åÓÌÉ ÁÔÁËÕÀÝÉÊ ÍÏÖÅÔ ÜÔÏ
ÓÄÅÌÁÔØ - ÔÏÇÄÁ dumb ÍÏÖÅÔ ÏÔ×ÅÔÉÔØ ÎÁ ÜÔÏ icmp port unreachable, ÞÔÏ ×ÙÚÏ×ÅÔ
ÓËÁÞÏË IP ID × ÉÓÈÏÄÑÝÉÈ Ó ÎÅÇÏ ÐÁËÅÔÁÈ.
íÅÔÏÄ ÐÏÚ×ÏÌÑÅÔ ÁÎÏÎÉÍÎÏ ÏÐÒÅÄÅÌÉÔØ ÎÅËÏÔÏÒÙÅ ÓÅÒ×ÉÓÙ ÎÁ victim, ËÏÔÏÒÙÅ ÍÏÖÎÏ
ÓÐÒÏ×ÏÃÉÒÏ×ÁÔØ ÎÁ ÉÓÈÏÄÑÝÅÅ UDP ÓÏÏÂÝÅÎÉÅ ÏÔÐÒÁ×ÉÔÅÌÀ. HÁÐÒÉÍÅÒ:
hping2 -i u100 -a -D -p 53 -S -r --sign 123456789012 -d 12 -s 123 --udp
÷ÙÚÙ×ÁÅÔ ÛÔÏÒÍ (100 ÐÁËÅÔÏ× × ÓÅËÕÎÄÕ) ÎÅËÏÒÒÅËÔÎÙÈ DNS ÚÁÐÒÏÓÏ× ÎÁ 53 ÐÏÒÔ
victimÀ ÞÔÏ ×ÅÄÅÔ Ë ÔÁËÏÍÕ ÖÅ ÛÔÏÒÍÕ UDP ÓÏÏÂÝÅÎÉÊ Ï ÏÛÉÂËÅ Ó victim ÎÁ dump c
ÆÌÁÇÁÍÉ 0xb3b4 (Unknown operation response, Not implemented) ÎÁ ÐÏÒÔ 123.
ëÁÖÄÏÅ ÔÁËÏÅ ÓÏÏÂÝÅÎÉÅ × Ó×ÏÀ ÏÞÅÒÅÄØ ÐÒÉ×ÅÄÅÔ Ë ÉÓÈÏÄÑÝÅÍÕ Ó dump ÎÁ victim
icmp ÓÏÏÂÝÅÎÉÀ, É ÇÌÁ×ÎÏÅ - Ë ÉÚÍÅÎÅÎÉÀ IP ID, ÞÔÏ É ÔÒÅÂÕÅÔÓÑ ÄÌÑ
ÐÏÄÔ×ÅÒÖÄÅÎÉÑ ÔÏÇÏ, ÞÔÏ ÎÁ victim ÒÁÂÏÔÁÅÔ DNS ÓÅÒ×ÅÒ. ëÁÒÔÉÎÁ ÐÒÉ 'hping2 -r'
×Ï ×ÒÅÍÑ ×ÙÛÅÏÐÉÓÁÎÎÏÇÏ ÛÔÏÒÍÁ DNS:
len=46 ip= flags=RA seq=1 ttl=128 id=+98 win=0 rtt=0.2 ms
len=46 ip= flags=RA seq=2 ttl=128 id=+101 win=0 rtt=0.4 ms
len=46 ip= flags=RA seq=3 ttl=128 id=+101 win=0 rtt=0.2 ms
len=46 ip= flags=RA seq=4 ttl=128 id=+103 win=0 rtt=0.3 ms
íÅÔÏÄ ÐÏÄÈÏÄÉÔ ÎÅ ÄÌÑ ×ÓÅÈ ÓÅÒ×ÉÓÏ×. Syslog, ÎÁÓËÏÌØËÏ Ñ ÚÎÁÀ, ×ÏÏÂÝÅ
ÎÅ×ÏÚÍÏÖÎÏ ÏÂÎÁÒÕÖÉÔØ ÔÁËÉÍ ÓÐÏÓÏÂÏÍ, Ô.Ë. ÏÎ ÍÏÌÞÁ ÐÒÏÇÌÁÔÙ×ÁÅÔ ×ÓÅ ×ÈÏÄÑÝÅÅ
ÐÏ udp/514 Ë ÓÅÂÅ × ÌÏÇ. äÌÑ ÎÅÉÚ×ÅÓÔÎÙÈ UDP ÓÅÒ×ÉÓÏ× ÍÏÖÎÏ ÐÒÏÂÏ×ÁÔØ ÎÅÓËÏÌØËÏ
ÒÁÚÎÙÈ ÐÁËÅÔÏ× (ÎÁ ÂÕÄÕÝÅÅ - ÍÏÖÎÏ ÒÁÚÒÁÂÏÔÁÔØ _ÍÉÎÉÍÁÌØÎÙÊ_ ÎÁÂÏÒ ÔÁËÉÈ
'ÏÛÉÂÏÞÎÙÈ' UDP ÄÁÔÁÇÒÁÍÍ, ÞÔÏÂÙ ÌÀÂÏÊ ÄÏÓÔÁÔÏÞÎÏ ÐÏÐÕÌÑÒÎÙÊ udp ÓÅÒ×ÉÓ ÏÔ×ÅÔÉÌ
ÈÏÔÑ ÂÙ ÎÁ ÏÄÎÕ ÉÚ ÎÉÈ. ÐÏÓËÏÌØËÕ ÄÏÓÔÁÔÏÞÎÏ ÐÒÏÓÔÏ ÓÄÅÌÁÔØ ÐÁËÅÔ ËÏÔÏÒÙÊ ÂÙÌ
ÂÙ 'ÐÌÏÈÉÍ' ÄÌÑ ÎÅÓËÏÌØËÉÈ ÓÅÒ×ÉÓÏ×, ÜÔÏÔ ÐÕÔØ ÍÎÅ ËÁÖÅÔÓÑ ÂÏÌÅÅ ÐÅÒÓÐÅËÔÉ×ÎÙÍ
ÞÅÍ ÒÁÚÒÁÂÏÔËÁ ÍÉÎÉÍÁÌØÎÏÇÏ ÎÁÂÏÒÁ ËÏÒÒÅËÔÎÙÈ ÄÁÔÁÇÒÁÍÍ), ÂÌÁÇÏ, ÞÔÏ ÌÀÂÏÊ
ÏÔ×ÅÔ victim (É ÈÏÔØ ÏÄÉÎ ÎÁ ÓËÏÌØËÏ ÕÇÏÄÎÏ ×ÈÏÄÑÝÉÈ ÐÁËÅÔÏ×) ÂÕÄÅÔ ÕÓÔÒÁÉ×ÁÔØ
ÁÔÁËÕÀÝÅÇÏ, ÔÁË ËÁË ÇÏ×ÏÒÉÔ Ï ÔÏÍ, ÞÔÏ ÐÏÒÔ ÏÔËÒÙÔØ.
äÌÑ ÏÐÒÅÄÅÌÅÎÉÑ 'ÎÅÍÙÈ' ÓÅÒ×ÉÓÏ× ÔÉÐÁ syslog ×ÏÚÍÏÖÎÏ ÉÓÐÏÌØÚÏ×ÁÎÉÅ ËÏÓ×ÅÎÎÙÈ
ÐÒÉÚÎÁËÏ×. HÁÐÒÉÍÅÒ, syslog ÎÅ ÐÏÓÙÌÁÅÔ ÏÔ×ÅÔÏ× ÎÁ ÐÒÉÈÏÄÑÝÉÅ ÄÁÔÁÇÒÁÍÍÙ, ÎÏ
ÒÅÚÏÌ×ÉÔ ip ÁÄÒÅÓÁ, Ó ËÏÔÏÒÙÈ ÐÒÉÛÌÉ ÜÔÉ ÓÏÏÂÝÅÎÉÑ. åÓÌÉ ÓÌÅÄÉÔØ ÚÁ IP ID ÎÁ
DNS ÓÅÒ×ÅÒÅ ËÏÔÏÒÙÊ ÂÕÄÅÔ ÓÐÒÏÛÅÎ × ÒÅÚÕÌØÔÁÔÅ ÒÅÓÏÌ×ÉÎÇÁ ÏÔÐÒÁ×ÌÅÎÎÏÊ syslog'Õ
ÄÁÔÁÇÒÁÍÍÙ, ÍÏÖÎÏ ÚÁÍÅÔÉÔØ ÓËÁÞÏË IP ID ÎÁ ÎÅÍ, ÞÔÏ ÂÕÄÅÔ Ó×ÉÄÅÔÅÌØÓÔ×ÏÍ ÔÏÇÏ,
ÞÔÏ ÐÏÒÔ ÏÔËÒÙÔ.
÷ ËÁÞÅÓÔ×Å DNS ÓÅÒ×ÅÒÁ ÄÌÑ ÜÔÏÊ ÁÔÁËÉ ÐÏÄÏÊÄÅÔ ÔÏÔ, ËÏÔÏÒÙÊ 1) ÏÂÌÁÄÁÅÔ
ÕÑ×ÚÉÍÏÊ ÓÈÅÍÏÊ ÇÅÎÅÒÁÃÉÉ IP ID 2) ÎÅ ÉÍÅÅÔ ÔÒÁÆÉËÁ × ÍÏÍÅÎÔ ÓËÁÎÉÒÏ×ÁÎÉÑ 3)
ÂÕÄÅÔ ÚÁÐÒÏÛÅÎ × ÍÏÍÅÎÔ ÐÏÌÕÞÅÎÉÑ ÄÁÔÁÇÒÁÍÍÙ ÎÁ ÏÔËÒÙÔÙÊ ÐÏÒÔ. üÔÏ ÍÏÖÅÔ ÂÙÔØ
ÌÉÂÏ ÄÅÆÏÌÔÎÙÊ ÎÅÊÍÓÅÒ×ÅÒ ÄÌÑ ÓËÁÎÉÒÕÅÍÏÊ ÍÁÛÉÎÙ, ÌÉÂÏ DNS, ËÏÔÏÒÙÊ ÄÅÒÖÉÔ
ÒÅ×ÅÒÓÎÕÀ ÚÏÎÕ ÄÌÑ ip ÁÄÒÅÓÁ, ËÏÔÏÒÙÊ ÁÔÁËÕÀÝÉÊ ÉÓÐÏÌØÚÏ×ÁÌ × ËÁÞÅÓÔ×Å saddr.
ðÏÍÅÈÏÊ ÍÏÇÕÔ Ñ×ÌÑÔØÓÑ 'ÐÁÒÁÚÉÔÎÙÅ ÂÜËÒÅÚÏÌ×ÅÒÙ' - ÌÀÂÙÅ ÐÒÏÇÒÁÍÍÙ, ËÏÔÏÒÙÅ
ÐÙÔÁÀÔÓÑ ×ÙÐÏÌÎÑÔØ ÂÜËÒÅÚÏÌ× ÄÌÑ ÁÄÒÅÓÏ× × ÕÓÌÙÛÁÎÎÙÈ ÉÍÉ ÐÁËÅÔÁÈ (ÓÎÉÆÆÅÒÙ,
NIDS, ÌÏÇÇÅÒÙ). þÔÏÂÙ ÐÒÏ×ÅÒÉÔØ, ÅÓÔØ ÌÉ ÔÁËÏ×ÙÅ × ÓËÁÎÉÒÕÅÍÏÊ ÓÅÔÉ ÓÔÏÉÔ
ÏÔÐÒÁ×ÉÔØ ÐÁËÅÔ ÎÁ ÚÁ×ÅÄÏÍÏ (ÎÁÉÂÏÌÅÅ ×ÅÒÏÑÔÎÏ) ÚÁËÒÙÔÙÊ ÐÏÒÔ. ïÔÓÕÔÓÔ×ÉÅ DNS
ÚÁÐÒÏÓÁ × ÜÔÏÍ ÓÌÕÞÁÅ ÇÏ×ÏÒÉÔ Ï ÂÌÁÇÏÐÒÉÑÔÎÙÈ ÕÓÌÏ×ÉÑÈ ÄÌÑ ÓËÁÎÉÒÏ×ÁÎÉÑ.
ôÁË ÖÅ ÓÌÅÄÕÅÔ ÕÞÅÓÔØ ÔÏ, ÞÔÏ DNS ÚÁÐÉÓÉ ÍÏÇÕÔ ËÜÛÉÒÏ×ÁÔØÓÑ, É ×ÔÏÒÏÊ ÐÁËÅÔ Ó
ÔÏÇÏ ÖÅ ÁÄÒÅÓÁ ÎÁ ÏÔËÒÙÔÙÊ É ÒÅÚÏÌ×ÑÝÉÊ ÓÅÒ×ÉÓ ÍÏÖÅÔ ÎÅ ×ÙÚ×ÁÔØ DNS ÚÁÐÒÏÓÁ ÎÁ
ËÏÎÔÒÏÌÉÒÕÅÍÙÊ ÓÅÒ×ÅÒ. ðÏÜÔÏÍÕ ÒÅËÏÍÅÎÄÕÅÔÓÑ ÉÓÐÏÌØÚÏ×ÁÔØ ÌÉÂÏ ÒÁÚÎÙÅ saddr ×
ÒÁÚÎÙÈ ÐÁËÅÔÁÈ, ÌÉÂÏ ÓËÁÎÉÒÏ×ÁÔØ ÞÅÒÅÚ ÄÏÓÔÁÔÏÞÎÏ ÂÏÌØÛÉÅ ÐÒÏÍÅÖÕÔËÉ ×ÒÅÍÅÎÉ,
ÞÔÏÂÙ ÚÁÐÉÓØ ÐÒÏÜËÓÐÁÒÉÌÁÓØ (×ÙÂÒÁÔØ ÈÏÒÏÕÛÕÀ ÒÅ×ÅÒÓÎÕÀ ÚÏÎÕ Ó ÎÅÂÏÌØÛÉÍ TTL).
"2 × ÓÔÅÐÅÎÉ" (2^) ÓËÁÎÉÒÏ×ÁÎÉÅ É ×ÒÅÍÅÎÎÙÅ ÏÓÏÂÅÎÎÏÓÔÉ ÓËÁÎÉÒÏ×ÁÎÉÑ.
éÓÐÏÌØÚÕÀ ËÌÁÓÓÉÞÅÓËÏÅ IP ID ÓËÁÎÉÒÏ×ÁÎÉÅ ÁÔÁËÕÀÝÉÊ ÐÏÓÌÅ ÏÔÓÙÌËÉ ÐÁËÅÔÁ ÎÁ
ÔÅÓÔÉÒÕÅÍÙÊ ÐÏÒÔ ÖÅÒÔ×Ù ÖÄÅÔ ÌÉÂÏ ÓËÁÞËÁ IP ID ÞÔÏÂÙ ÓÄÅÌÁÔØ ×Ù×ÏÄ Ï ÔÏÍ, ÞÔÏ
ÐÏÒÔ ÏÔËÒÙÔ, ÌÉÂÏ ÉÓÔÅÞÅÎÉÑ ÄÏÓÔÁÔÏÞÎÏÇÏ ×ÒÅÍÅÎÉ (ÎÁÚÏ×ÅÍ ÅÇÏ Max RTT) ÞÔÏÂÙ
ÓÄÅÌÁÔØ ×Ù×ÏÄ ÞÔÏ ÏÔ×ÅÔÁ ÎÅÔ É ÐÏÒÔ ÚÁËÒÙÔ. äÌÑ ÔÅÓÔÉÒÏ×ÁÎÉÑ ÓÌÅÄÕÀÝÅÇÏ ÐÏÒÔÁ
ÁÔÁËÕÀÝÉÊ ÏÂÑÚÁÔÅÌØÎÏ ÄÏÌÖÅÎ ÂÙÔØ Õ×ÅÒÅÎ, ÞÔÏ ÎÅÔ ÔÒÁÆÉËÁ ÏÓÔÁ×ÛÅÇÏÓÑ ÏÔ
ÐÒÅÄÙÄÕÝÅÇÏ ÔÅÓÔÉÒÏ×ÁÎÉÑ, ÔÁË ËÁË ÜÔÏ ÍÏÖÅÔ ÉÓËÁÚÉÔØ ÒÅÚÕÌØÔÁÔ: ÐÒÅÄÓÔÁ×ÉÍ
ÓÉÔÕÁÃÉÀ, ÞÔÏ ÌÉÂÏ ÐÁËÅÔ ÏÔ ÁÔÁËÕÀÝÅÇÏ ÎÁ ÏÔËÒÙÔÙÊ ÐÏÒÔ ÖÅÒÔ×Ù, ÌÉÂÏ SYN|ACK
ÐÁËÅÔ Ó ÖÅÒÔ×Ù ÚÁÄÅÒÖÁÌÉÓØ ÐÒÉ ÐÅÒÅÄÁÞÅ É ÁÔÁËÕÀÝÉÊ ÐÅÒÅÛÅÌ Ë ÔÅÓÔÉÒÏ×ÁÎÉÀ
ÓÌÅÄÕÀÝÅÇÏ ÐÏÒÔÁ (ÏÛÉÂÏÞÎÏ ÐÏÓÞÉÔÁ× ÜÔÏÔ ÔÅÓÔÉÒÕÅÍÙÊ ÐÏÒÔ ÚÁËÒÙÔÙÍ). ïÔÏÓÌÁ×
ÐÁËÅÔ ÎÁ ÓÌÅÄÕÀÝÉÊ ÐÏÒÔ ÖÅÒÔ×Ù, ÏÎ ×ÉÄÉÔ ÓËÁÞÏË IP ID ÎÁ dumb, ×ÙÚ×ÁÎÎÙÊ
ÚÁÄÅÒÖÁ×ÛÉÍÓÑ ÐÁËÅÔÏÍ ÏÔ ÐÒÅÄÙÄÕÝÅÇÏ ÔÅÓÔÉÒÏ×ÁÎÉÑ É ÄÅÌÁÅÔ ÐÏÔÅÎÃÉÁÌØÎÏ
ÏÛÉÂÏÞÎÙÊ ×Ù×ÏÄ Ï ÔÏÍ, ÞÔÏ ÔÅËÕÝÉÊ ÔÅÓÔÉÒÕÅÍÙÊ ÐÏÒÔ ÏÔËÒÙÔ. ëÒÏÍÅ ÔÏÇÏ,
×ÏÚÍÏÖÎÏ ÉÍÅÅÔÓÑ ÅÝÅ É SYN|ACK ÐÁËÅÔ ÏÔ ÜÔÏÇÏ ÐÏÒÔÁ, ËÏÔÏÒÙÊ ×ÎÅÓÅÔ Ó×ÏÉ ÐÏÍÅÈÉ
× ÔÅÓÔÉÒÏ×ÁÎÉÉ ÓÌÅÄÕÀÝÅÇÏ, É ÔÁË ÄÁÌÅÅ. ïÔÓÀÄÁ ÐÒÁ×ÉÌÏ - ÓÐÅÛÉÔØ × IP ID
ÓËÁÎÉÒÏ×ÁÎÉÉ ÎÅ ÓÔÏÉÔ.
óÅÔØ ÍÏÖÅÔ ÄÏÓÔÁ×ÌÑÔØ ÍÅÇÁÂÁÊÔÙ × ÓÅËÕÎÄÕ, É ÉÍÅÔØ ÏÞÅÎØ ÎÅÂÏÌØÛÕÀ ×ÅÌÉÞÉÎÕ
RTT, ÎÏ ÅÓÌÉ ÎÁ ÎÅÊ ÉÚÒÅÄËÁ ×ÓÔÒÅÞÁÀÔÓÑ ÄÏÓÔÁÔÏÞÎÏ ÂÏÌØÛÉÅ ÚÁÄÅÒÖËÉ, ÜÔÏ
×ÙÎÕÖÄÁÅÔ ÉÓÐÏÌØÚÏ×ÁÔØ ÂÏÌØÛÉÅ ÚÎÁÞÅÎÉÑ ÄÌÑ MaxRTT. á ÐÏÓËÏÌØËÕ ÐÒÉ ÈÏÒÏÛÅÍ
ÔÅÓÔÉÒÏ×ÁÎÉÉ ÐÒÏ×ÅÒÑÅÔÓÑ ÍÎÏÇÏ ÐÏÒÔÏ×, ÉÚ ËÏÔÏÒÙÈ ÐÏÄÁ×ÌÑÀÝÅÅ ÂÏÌØÛÉÎÓÔ×Ï -
ÚÁËÒÙÔÙ, ×ÒÅÍÑ ÓËÁÎÉÒÏ×ÁÎÉÑ ÍÏÖÅÔ ÂÙÔØ ÒÁ×ÎÏ ÐÏÞÔÉ MaxRTT * numports. ðÒÉ ÔÁËÏÍ
ÄÏÓÔÁÔÏÞÎÏ ÄÌÉÔÅÌØÎÏÍ ×ÒÅÍÅÎÉ ÅÔÓÔÉÒÏ×ÁÎÉÑ ×ÙÓÏËÁ ×ÅÒÏÑÔÎÏÓÔØ ÐÏÑ×ÌÅÎÉÑ
ÐÏÓÔÏÒÏÎÎÅÇÏ ÔÒÁÆÉËÁ, ËÏÔÏÒÙÊ ÍÏÖÅÔ ÓÂÉÔØ ÒÅÚÕÌØÔÁÔÙ ÔÅÓÔÉÒÏ×ÁÎÉÑ. ïÔÓÀÄÁ
ÐÒÁ×ÉÌÏ - ÓËÁÎÉÒÏ×ÁÔØ ÎÕÖÎÏ ÂÙÓÔÒÏ.
èÏÒÏÛÉÍ ÒÅÛÅÎÉÅÍ ÂÙÌÏ ÂÙ ÏÄÎÏ×ÒÅÍÅÎÎÏÅ ÓËÁÎÉÒÏ×ÁÎÉÅ ÎÅÓËÏÌØËÉÈ ÐÏÒÔÏ×. HÏ
ÁÔÁËÕÀÝÉÊ ÎÅ ÚÎÁÅÔ ÏÔ×ÅÔÎÙÅ ÐÁËÅÔÙ Ó ËÁËÉÈ ÐÏÒÔÏ× ×ÙÚ×ÁÌÉ ÐÒÉÒÁÝÅÎÉÅ IP ID, ÎÏ
ÚÎÁÅÔ ×ÅÌÉÞÉÎÕ ÜÔÏÇÏ ÐÒÉÒÁÝÅÎÉÑ. åÓÌÉ ÐÒÉ ÏÄÎÏ×ÒÅÍÅÎÎÏÍ ÓËÁÎÉÒÏ×ÁÎÉÉ ÎÅÓËÏÌØËÉÈ
ÐÏÒÔÏ× ÎÁ ËÁÖÄÙÊ ÏÔÓÙÌÁÔØ ÒÁÚÎÏÅ ËÏÌÉÞÅÓÔ×Ï ÐÁËÅÔÏ× (ÐÏ ÓÔÅÐÅÎÑÍ Ä×ÏÊËÉ), ÔÏ ÐÏ
ÉÔÏÇÏ×ÏÍÕ ÐÒÉÒÁÝÅÎÉÀ IP ID ÍÏÖÎÏ ÌÅÇËÏ ÐÒÅÄÓÔ×ÁÉÔØ ËÁËÉÅ ÐÏÒÔÙ ÏÔËÒÙÔÙ. äÌÑ
ÐÒÉÍÅÒÁ ÒÁÓÓÍÏÔÒÉÍ ÓÉÔÕÁÃÉÀ ËÏÇÄÁ ÏÄÎÏ×ÒÅÍÅÎÎÏ ÓËÁÎÉÒÕÀÔÓÑ ÐÏÒÔÙ 21,22,25 É 80.
ïÔÐÒÁ×ÌÑÅÔÓÑ 1 ÐÁËÅÔ ÎÁ 21 ÐÏÒÔ, 2 ÎÁ 22, 4 ÎÁ 25 É 8 ÎÁ 80. ÷ÓÅÇÏ 15 ÐÁËÅÔÏ×.
äÏÐÕÓÔÉÍ, ÉÔÏÇÏ×ÏÅ ÐÒÉÒÁÝÅÎÉÅ ÓÏÓÔÁ×ÉÌÏ 7. 7=1+2+4. äÅÌÁÅÍ ×Ù×ÏÄ ÞÔÏ ÏÔËÒÙÔÙ
ÐÏÒÔÙ 21,22,25, Á 80-ÙÊ - ÚÁËÒÙÔ.
÷ ÐÒÉÎÃÉÐÅ, 2^ ÍÏÖÎÏ ÓÞÉÔÁÔØ ÂÏÌÅÅ ÏÂÝÅÊ ÔÅÈÎÏÌÏÇÉÅÊ, ÔÁË ËÁË ÐÒÉ ÏÄÎÏ×ÒÅÍÅÎÎÏÍ
ÓËÁÎÉÒÏ×ÁÎÉÉ ÏÄÎÏÇÏ ÐÏÒÔÁ ÏÎÁ ×ÙÒÏÖÄÁÅÔÓÑ × ËÁÎÏÎÉÞÅÓËÉÊ ×ÁÒÉÁÎÔ IP ID
ÓËÁÎÉÒÏ×ÁÎÉÑ.
HÁÄÅÖÎÏÓÔØ ÍÅÔÏÄÁ: ÌÉÛÎÉÊ ÉÌÉ ÐÏÔÅÒÑÎÙÊ ÐÁËÅÔ ×ÎÏÓÑÔ ÏÛÉÂËÕ ËÁË ÐÒÉ ÏÂÙÞÎÏÍ
ÓËÁÎÉÒÏ×ÁÎÉÉ, ÔÁË É ÐÒÉ "2 × ÓÔÅÐÅÎÉ" ÅÇÏ ÍÏÄÉÆÉËÁÃÉÉ. HÏ × ÐÏÓÌÅÄÎÅÍ ÓÌÕÞÁÅ
ÏÛÉÂËÁ ÎÅÓÅÔ ÂÏÌØÛÉÊ ÄÅÆÅËÔ (ÅÓÌÉ ÂÙ ×ÍÅÓÔÏ ÐÒÁ×ÉÌØÎÙÈ 7 × ÐÒÉÒÁÝÅÎÉÅ ÏËÁÚÁÌÏÓØ
ÒÁ×ÎÙÍ 8, ÒÅÚÕÌØÔÁÔÙ ÂÙÌÉ ÂÙ ÁÂÓÏÌÀÔÎÏ ÐÒÏÔÉ×ÏÐÏÌÏÖÎÙÍÉ). äÌÑ ÎÁÄÅÖÎÏÓÔÉ
ÒÅËÏÍÅÎÄÕÅÔÓÑ ÐÏ×ÔÏÒÉÔØ ÓËÁÎÉÒÏ×ÁÎÉÅ, ÖÅÌÁÔÅÌØÎÏ ÉÓÐÏÌØÚÏ×Á× ÄÒÕÇÉÅ ËÏÌÉÞÅÓÔ×Á
ÐÁËÅÔÏ× ÄÌÑ ÐÏÒÔÏ×, ÞÅÍ ÐÅÒ×ÏÎÁÞÁÌØÎÏ. ïÄÎÏ×ÒÅÍÅÎÎÏ ÍÏÖÎÏ ÔÅÓÔÉÒÏ×ÁÔØ É ÂÏÌØÛÅ
ÐÏÒÔÏ×, ÎÏ ÓÌÅÄÕÅÔ ÚÎÁÔØ ÍÅÒÕ - ÏÄÎÏ×ÒÅËÍÅÎÎÏÅ ÔÅÓÔÉÒÏ×ÁÎÉÅ 10 ÐÏÒÔÏ× ÐÏÔÒÅÂÕÅÔ
ÐÏÓÌÁÔØ 1023 (ÏÞÅÎØ ÎÅÂÏÌØÛÉÈ) ÐÁËÅÔÁ. äÌÑ ÓÔÁ ÐÏÒÔÏ× ÜÔÏ ÞÉÓÌÏ ÓÔÁÎÏ×ÉÔØÓÑ ÕÖÅ
ÓÏ×ÅÒÛÅÎÎÏ ÎÅÐÒÉÅÍÌÉÍÙÍ.
HÅÐÒÉÑÔÎÏÓÔÉ ÏÔ ÍÅÌËÉÈ ÐÏÔÅÒØ ÉÌÉ 'ÎÁÈÏÄÏË' ÐÁËÅÔÏ× ÁÔÁËÕÀÝÉÊ ÍÏÖÅÔ ÏÂÏÊÔÉ ÅÓÌÉ
ÏÄÉÎÁËÏ×Ï × ÎÅÓËÏÌØËÏ ÒÁÚ ÒÁÚ Õ×ÅÌÉÞÉÔ ËÏÌÉÞÅÓÔ×Ï ÓËÁÎÉÒÕÀÝÉÈ ÐÁËÅÔÏ× ÎÁ ËÁÖÄÙÊ
ÐÏÒÔ (e.g. 1,2,4,8 -> 5,10,20,40).
óËÒÙÔÎÏÅ ÓÌÅÖÅÎÉÅ ÚÁ ÉÚÍÅÎÅÎÉÅÍ IP ID
ôÒÁÆÉË, ËÏÔÏÒÙÊ ÐÒÏÉÓÈÏÄÉÔ ÍÅÖÄÕ dumb É ÁÔÁËÕÀÝÉÍ ×Ï ×ÒÅÍÑ ÓËÁÎÉÒÏ×ÁÎÉÑ ÐÏ
ËÌÁÓÓÉÞÅÓËÏÊ IP ID ÓÈÅÍÅ ÉÍÅÅÔ Ä×Å ÎÅÐÒÉÑÔÎÙÈ ÄÌÑ ×ÚÌÏÍÝÉËÁ ÏÓÏÂÅÎÎÏÓÔÅÊ:
ïÎ ÎÅ ÓÐÅÃÉÆÉÞÅÎ ÎÉ ÄÌÑ ËÁËÏÊ 'ÌÅÇÁÌØÎÏÊ' ÄÅÑÔÅÌØÎÏÓÔÉ, É ×ÙÚÙ×ÁÅÔ ÓÉÌØÎÙÅ
ÐÏÄÏÚÒÅÎÉÑ.
ïÎ ÓÏÄÅÒÖÉÔ ÒÅÁÌØÎÙÊ ÁÄÒÅÓ ÁÔÁËÕÀÝÅÇÏ, É ÄÏÓÔÁÔÏÞÎÏ Ë×ÁÌÉÆÉÃÉÒÏ×ÁÎÎÙÊ
ÓÐÅÃÉÁÌÉÓÔ ÐÏ ÚÁÝÉÔÅ ÉÎÆÏÒÍÁÃÉÉ, ÓÐÏÓÏÂÅÎ ÓËÏÎ×ÅÒÔÉÒÏ×ÁÔØ ÜÔÉ Ó×ÏÉ ÐÏÄÏÚÒÅÎÉÑ
×Ï ×ÐÏÌÎÅ ËÏÎËÒÅÔÎÙÊ ÁÄÒÅÓ ×ÚÌÏÍÝÉËÁ.
óÕÝÅÓÔ×ÕÅÔ ×ÏÚÍÏÖÎÏÓÔØ ÄÌÑ ×ÚÌÏÍÝÉËÁ ×ÙÐÏÌÎÑÔØ ÓÌÅÖÅÎÉÅ ÚÁ IP ID ÂÅÚ ÇÅÎÅÒÁÃÉÉ
ÔÁËÏÇÏ ÐÏÄÏÚÒÉÔÅÌØÎÏÇÏ ÔÒÁÆÉËÁ. ÷ÓÅ ÞÔÏ ÎÕÖÎÏ ×ÚÌÏÍÝÉËÕ - ÜÔÏ ËÁË ÒÁÚ ÔÏ, ÞÔÏ
dumb ÓÁÍ ÏÔÓÙÌÁÅÔ × ËÁÖÄÏÍ IP ÐÁËÅÔÅ! ðÏ ÜÔÏÍÕ ÓÌÅÄÑÝÉÊ ÔÒÁÆÉË ÍÏÖÎÏ
ÚÁÍÁÓËÉÒÏ×ÁÔØ ÐÏÄ ÌÀÂÏÊ ÄÒÕÇÏÊ, ÎÁÐÒÉÍÅÒ, ÐÏÄ ÐÅÒÅËÁÞËÕ ÆÁÊÌÏ× ÐÏ ftp.
ôÅÈÎÏÌÏÇÉÑ ÓËÁÎÉÒÏ×ÁÎÉÑ ÐÒÉ ÓËÒÙÔÎÏÍ ÓÌÅÖÅÎÉÉ ÚÁ IP ID:
HÁ ÁÔÁËÕÀÝÅÍ ×ÅÄÅÔÓÑ ÚÁÐÉÓØ (ÖÅÌÁÔÅÌØÎÏ ÓÏ ×ÒÅÍÅÎÅÍ) ×ÓÅÈ ÐÒÉÈÏÄÑÝÉÈ Ó dumb ip
ÐÁËÅÔÏ×. (ÎÁÐÒÉÍÅÒ, Ó ÐÏÍÏÝØÀ ethereal ÉÌÉ tcpdump). éÎÔÅÒÅÓÕÅÔ ÔÏÌØËÏ ID ÐÏÌÅ.
úÁÐÏÍÉÎÁÅÔÓÑ IP ID × ÐÅÒ×ÏÍ ÐÁËÅÔÅ (IPID_First).
áÔÁËÕÀÝÉÊ ÉÎÉÃÉÉÒÕÅÔ ËÁËÏÊ-ÌÉÂÏ ÔÒÁÆÉË Ó dump, ÎÁÐÒÉÍÅÒ, ÎÁÞÉÎÁÅÔ ×ÙËÁÞÉ×ÁÎÉÅ
ÆÁÊÌÁ ÞÅÒÅÚ ftp.
÷ÙÐÏÌÎÑÅÔÓÑ ÐÒÏ×ÅÒËÁ ÐÏÒÔÏ× victim, (ÒÁÓÓÍÏÔÒÉÍ ×ÁÒÉÁÎÔ Ó ÉÓÐÏÌØÚÏ×ÁÎÉÅÍ "2^"
ÍÅÔÏÄÁ.)
þÅÒÅÚ ÎÅËÏÔÏÒÏÅ ×ÒÅÍÑ (MaxRTT) ÆÉËÓÉÒÕÅÔÓÑ ÔÅËÕÝÅÅ ÚÎÁÞÅÎÉÅ IP ID (IPID_Last) É
ÏÂÝÅÅ ËÏÌÉÞÅÓÔ×Ï ÐÏÌÕÞÅÎÙÈ ÐÁËÅÔÏ× (ÏÔ First ÄÏ Last ×ËÌÀÞÉÔÅÌØÎÏ) -
NumPackets.
ðÏ ÐÒÏÓÔÏÊ ÆÏÒÍÕÌÅ NumReplies = IPID_Last - IPID_First - NumPackets +1 ÐÏÌÕÞÁÅÍ
ÉÎËÒÅÍÅÎÔ IP ID, ËÏÔÏÒÙÊ ÂÙÌ ×ÙÚ×ÁÎ ÓËÁÎÉÒÏ×ÁÎÉÅÍ. ðÏ ÎÅÍÕ, ËÁË ÏÐÉÓÙ×ÁÌÏÓØ
×ÙÛÅ, ÍÏÖÎÏ ÐÏÌÕÞÉÔØ ÉÎÆÏÒÍÁÃÉÀ ÐÏ ÓÏÓÔÏÑÎÉÀ ÐÏÒÔÏ×.
ðÏÓÌÅ ÐÒÏ×ÅÒËÉ ÐÅÒ×ÏÊ ÇÒÕÐÐÙ ÐÏÒÔÏ× ÍÏÖÎÏ ÐÅÒÅÊÔÉ Ë ÓÌÅÄÕÀÝÅÊ ÓÂÒÏÓÉ×
NumPackets É ÚÁÎÏ×Ï ÐÅÒÅÉÎÉÃÉÁÌÉÚÉÒÏ×Á× IPID_First. ðÒÉ ÜÔÏÍ ÓÌÅÄÑÝÉÊ ÔÒÁÆÉË
ÍÏÖÎÏ ÎÅ ÐÒÅÒÙ×ÁÔØ.
÷ ÒÅÚÕÌØÔÁÔÅ ÎÁ dumb ÈÏÔØ É ÐÒÉÓÕÔÓÔ×ÕÅÔ ÔÒÁÆÉË Ó ÒÅÁÌØÎÙÍ ÁÄÒÅÓÏÍ ÁÔÁËÕÀÝÅÇÏ,
ÏÎ ÓÏ×ÅÒÛÅÎÎÏ ÌÅÇÁÌÅÎ É ÓÁÍ ÐÏ ÓÅÂÅ ÎÅ ×ÙÚÙ×ÁÅÔ ÐÏÄÏÚÒÅÎÉÊ ÎÉ Õ ÓÉÓÔÅÍ
ÏÂÎÁÒÕÖÅÎÉÑ ×ÔÏÒÖÅÎÉÊ ÎÉ Õ ÜËÓÐÅÒÔÏ×. é ÈÏÔØ ×ÓÅ ÒÁ×ÎÏ ÏÂÎÁÒÕÖÉÔØ ËÏÒÒÅÌÑÃÉÀ
ÍÅÖÄÕ ÓËÁÞÉ×ÁÎÉÅÍ ÆÁÊÌÁ É ÓËÁÎÉÒÏ×ÁÎÉÅÍ ÕÄÁÌÅÎÎÏÊ ÓÉÓÔÅÍÙ × ÐÒÉÎÃÉÐÅ ×ÏÚÍÏÖÎÏ,
"HÉËÔÏ ÎÅ ÍÏÖÅÔ ÂÙÔØ ÏÓÕÖÄÅÎ ÚÁ ÓËÁÞÉ×ÁÎÉÅ ÐÕÂÌÉÞÎÏÇÏ ÆÁÊÌÁ".
õÑÚ×ÉÍÙÅ ÓÉÓÔÅÍÙ É ÓÐÏÓÏÂÙ ÐÒÏ×ÅÒËÉ
äÌÑ ÐÒÏÓÔÏÊ ÐÒÏ×ÅÒËÉ ÍÏÖÎÏ ÉÓÐÏÌØÚÏ×ÁÔØ :
hping2 -r
ïÔ×ÅÔÙ Ó ÐÏÓÔÏÑÎÎÙÍ ÐÒÉÒÁÝÅÎÉÅÍ id ÎÁ 1:
len=46 ip= flags=RA seq=0 ttl=128 id=23994 win=0 rtt=1.4 ms
len=46 ip= flags=RA seq=1 ttl=128 id=+1 win=0 rtt=0.3 ms
len=46 ip= flags=RA seq=2 ttl=128 id=+1 win=0 rtt=0.3 ms
len=46 ip= flags=RA seq=3 ttl=128 id=+1 win=0 rtt=0.3 ms
ÇÏ×ÏÒÑÔ Ï ÕÑÚ×ÉÍÏÓÔÉ ÓÉÓÔÅÍÙ (ÓÍ. ÎÉÖÅ.).
äÌÑ ÐÒÏÈÏÄÁ ÚÁ ÆÁÊÒ×ÏÌ ÎÏÇÄÁ ÍÏÖÅÔ ÉÍÅÔØ ÓÍÙÓÌ ÕËÁÚÁÎÉÅ ÔÏÞÎÙÈ ÚÎÁÞÅÎÉÊ ÐÏÒÔÁ É
ÆÌÁÇÏ×. (ÐÏ ÕÍÏÌÞÁÎÉÀ hping2 ÐÏÓÙÌÁÅÔ ÎÁ 0-ÏÊ ÐÏÒÔ). e.g. åÓÌÉ ÓÉÓÔÅÍÁ ÉÍÅÅÔ
ÏÔËÒÙÔÙÊ www ÓÅÒ×ÅÒ, ÉÍÅÅÔ ÓÍÙÓÌ ÕËÁÚÁÔØ ÏÐÃÉÉ -S É -p 80, ÔÏÇÄÁ ÜÔÏ ÂÕÄÅÔ
ÁÂÓÏÌÀÔÎÏ ÎÏÒÍÁÌØÎÙÍ ÏÂÒÁÝÅÎÉÅÍ Ë www ÓÅÒ×ÅÒÕ Ó ÔÏÞËÉ ÚÒÅÎÉÑ ÐÒÁ×ÉÌ ÆÁÊÒ×ÏÌÁ.
ðÏcËÏÌØËÕ RFC ÐÏÚ×ÏÌÑÅÔ ÓÉÓÔÅÍÁÍ ÉÓÐÏÌØÚÏ×ÁÔØ ÒÁÚÎÙÅ ÚÎÁÞÅÎÉÑ ip id ÄÌÑ ÒÁÚÎÙÈ
ÓÏÅÄÉÎÅÎÉÊ, ÄÌÑ ÂÏÌØÛÅÊ ÔÏÞÎÏÓÔÉ ÓÔÏÉÔ ÐÒÏ×ÅÒÉÔØ, ÞÔÏ ÔÒÁÆÉË ÐÏ ÄÒÕÇÏÍÕ
ÓÏÅÄÉÎÅÎÉÀ ×ÌÉÑÅÔ ÎÅ IP ID ÐÅÒ×ÏÇÏ ÓÏÅÄÉÎÅÎÉÑ. íÏÖÎÏ ÄÌÑ ÐÒÏ×ÅÒËÉ
ÐÒÏÔÅÓÔÉÒÏ×ÁÔØ ÎÅÓËÏÌØËÏ ÐÏÒÔÏ×, ÓÔÁÔÕÓ ËÏÔÏÒÙÈ ÚÁÒÁÎÅÅ ÉÚ×ÅÓÔÅÎ.
÷ÏÔ ÓÐÉÓÏË ÉÚ ÎÅÓËÏÌØËÉÈ ÐÒÏ×ÅÒÅÎÎÙÈ ÓÉÓÔÅÍ, × ÍÏÅÍ ÓÌÕÞÁÅ ÒÅÚÕÌØÔÁÔÙ ÂÙÌÉ
ÔÁËÉÍÉ:
Linux kernel 2.4.2, 2.4.18 - NOT vulnerable.
Linux kernel 2.2.17 - vulnerable
FreeBSD 4.6-RC - NOT vulnerable
Windows 2000 Server - vulnerable
Windows XP - vulnerable
Cisco PIX Firewall 525 ver. 6.1(2)- vulnerable
Cisco Content Service Switch (CSS 11150) - vulnerable
Cisco router 2600, 3600 - vulnerable
÷ÓÅ ÔÅÓÔÙ ÐÒÏ×ÏÄÉÌÉÓØ ÎÁ ÏÔËÒÙÔÙÈ ÐÏÒÔÁÈ.
óÅÔÅ×ÙÅ ÈÁÒÁËÔÅÒÉÓÔÉËÉ ÁÔÁËÉ
ôÒÁÆÉË ÎÁ victim
ôÒÁÆÉË ÎÁ victim ÐÒÉ ÓËÁÎÉÒÏ×ÁÎÉÉ Ó ÉÓÐÏÌØÚÏ×ÁÎÉÅÍ ÈÏÓÔÁ dumb, ÐÏÒÔÁ 80.
óËÁÎÉÒÏ×ÁÌÓÑ ÏÔËÒÙÔÙÊ ÐÏÒÔ 22 (ssh).
0.489813 dumb -> victim TCP www > ssh [SYN] Seq=3375705111 Ack=0 Win=2048 Len=0
0.489880 victim -> dumb TCP ssh > www [SYN, ACK] Seq=2194740763 Ack=3375705112
Win=5840 Len=0
0.490013 dumb -> victim TCP www > ssh [RST] Seq=3375705112 Ack=3375705112 Win=0
0.490013 dumb -> Len=0
÷ ÓÌÅÄÕÀÝÅÍ ÐÒÉÍÅÒÅ ÓËÁÎÉÒÏ×ÁÌÓÑ ÚÁËÒÙÔÙÊ ÐÏÒÔ 23 telnet.
23.097869 dumb -> victim TCP www > telnet [SYN] Seq=619834409 Ack=0 Win=3072
23.097869 dumb -> Len=0
23.097911 victim -> dumb TCP telnet > www [RST, ACK] Seq=0 Ack=619834410 Win=0
Len=0
ëÁË ×ÉÄÉÍ, ÎÉÇÄÅ ÎÅ ×ÓÔÒÅÞÁÅÔÓÑ ÁÄÒÅÓ ÁÔÁËÕÀÝÅÇÏ, Á ËÁÒÔÉÎÁ ÁÎÁÌÏÇÉÞÎÁ ÏÂÙÞÎÏÍÕ
SYN ÓËÁÎÉÒÏ×ÁÎÉÀ. IDS ÎÁ victim ÒÁÂÏÔÁÅÔ ÔÁË ÖÅ, ËÁË É × ÓÌÕÞÁÅ Ó SYN
ÓËÁÎÉÒÏ×ÁÎÉÅÍ. HÅ×ÏÚÍÏÖÎÏ ÐÏ ÜÔÏÍÕ ÔÒÁÆÉËÕ ÏÐÒÅÄÅÌÉÔØ Ñ×ÌÑÅÔÓÑ ÌÉ ÜÔÏ dumb
ÓËÁÎÏÍ ÉÌÉ ÎÅÔ.
ôÒÁÆÉË ÎÁ dumb
÷Ï-ÐÅÒ×ÙÈ ×Ï ×ÒÅÍÑ ÁÔÁËÉ ÎÁ ÓÉÓÔÅÍÅ dumb ÎÁÂÌÀÄÁÅÔÓÑ ÐÅÒÉÏÄÉÞÅÓËÉÊ ÔÒÁÆÉË Ó
ÁÔÁËÕÀÝÉÍ, ÎÅÏÂÈÏÄÉÍÙÊ ÅÍÕ ÄÌÑ ÓÌÅÖÅÎÉÑ ÚÁ ÉÚÍÅÎÅÎÉÑÍÉ IP ID, ×Ï ×ÔÏÒÙÈ ÉÎÏÇÄÁ
ÐÒÉÈÏÄÑÔ ÓÏÏÂÝÅÎÉÑ ÏÔ victim (RST ÌÉÂÏ SYN|ACK × ÓÌÕÞÁÅ TCP ÓËÁÎÉÒÏ×ÁÎÉÑ).
ëÁË IDS × ÓÅÔÉ dumb ÍÏÖÅÔ ÏÂÎÁÒÕÖÉÔØ ÉÓÐÏÌØÚÏ×ÁÎÉÅ ÚÁÝÉÝÁÅÍÏÊ ÍÁÛÉÎÙ × ËÁÞÅÓÔ×Å
ÒÅÌÅÑ? äÕÍÁÅÔÓÑ, ÒÁÚÕÍÎÏ ÂÕÄÅÔ ÓÞÉÔÁÔØ ÐÒÉÚÎÁËÏÍ ÁÔÁËÉ ÎÁÌÉÞÉÅ ÏÄÎÏ×ÒÅÍÅÎÎÏ
ÓÌÅÄÕÀÝÉÈ ÆÁËÔÏÒÏ×:
ÔÒÁÆÉËÁ ×ÉÄÁ [victim: SYN|ACK, dumb: RST] É [victim: RST] ÐÒÉ ÏÔÓÕÔÓÔ×ÉÅ ÉÎÏÇÏ
ÔÒÁÆÉËÁ ÍÅÖÄÕ ÜÔÉÍÉ ÓÉÓÔÅÍÁÍÉ. üÔÏ ÇÏ×ÏÒÉÔ Ï ÔÏÍ, ÞÔÏ ÍÁÛÉÎÁ victim ÐÏÌÕÞÁÅÔ
TCP SYN|ACK ÐÁËÅÔÙ Ó ÐÏÄÄÅÌØÎÙÍ source addr = dumb.
ìÀÂÏÇÏ IP ÔÒÁÆÉËÁ Ó ËÁËÏÊ-ÌÉÂÏ ÏÄÎÏÊ ÍÁÛÉÎÏÊ (ÓÞÉÔÁÅÍÏÊ ÚÁ ÁÔÁËÕÀÝÅÇÏ). (ÔË ÜÔÏ
ÍÏÖÅÔ ÂÙÔØ ÓÌÅÖÅÎÉÅÍ ÚÁ IP ID ÎÁ dumb)
ÐÁÓÓÉ×ÎÏÅ ÎÁÂÌÀÄÅÎÉÅ ÚÁ dumb (×Ï ×ÒÅÍÑ ÓËÁÎÉÒÏ×ÁÎÉÑ) ÐÏËÁÚÙ×ÁÅÔ, ÞÔÏ ÜÔÁ ÍÁÛÉÎÁ
ÕÑÚ×ÉÍÁ ÄÌÑ ÁÔÁËÉ É ×Ï ×ÒÅÍÑ ÓËÁÎÉÉÒÏ×ÁÎÉÑ ×ÅÄÅÔ ÓÅÂÑ ÓÏÏÔ×ÅÔÓÔ×ÅÎÎÏ -
ÍÏÎÏÔÏÎÎÏ Õ×ÅÌÉÞÉ×ÁÑ IP ID Ó ËÁÖÄÙÍ ÏÔÐÒÁ×ÌÅÎÎÙÍ ÐÁËÅÔÏÍ.
ëÒÏÍÅ ÔÏÇÏ, ÄÌÑ 2^ ÍÏÄÉÆÉËÁÃÉÉ, ÐÅÒ×ÙÊ ÆÁËÔÏÒ ÂÕÄÅÔ ÄÏÐÏÌÎÉÔÅÌØÎÏ
ÈÁÒÁËÔÅÒÉÚÉÒÏ×ÁÔØÓÑ ÔÅÍ, ÞÔÏ ËÏÌÉÞÅÓÔ×Ï ÐÁËÅÔÏ× Ó ËÁÖÄÏÇÏ ÐÏÒÔÁ dumb ÂÕÄÅÔ
Ñ×ÌÑÔÓÑ ÓÔÅÐÅÎØÀ Ä×ÏÊËÉ.
ñÚÙË ÏÐÉÓÁÎÉÑ ÓÉÇÎÁÔÕÒ ÁÔÁË ÐÒÏÓÔÙÈ IDS ÔÉÐÁ snort ÎÅ ÐÏÚ×ÏÌÑÅÔ ÏÂÎÁÒÕÖÉ×ÁÔØ
ÔÁËÏÇÏ ÒÏÄÁ ÓÉÇÎÁÔÕÒÕ, ÔÁË ÞÔÏ ÄÌÑ ÜÔÏÇÏ ÎÕÖÎÏ ÉÓÐÏÌØÚÏ×ÁÔØ ÉÓÐÏÌØÚÏ×ÁÔØ
ÐÒÅÐÒÏÃÅÓÓÏÒÙ ÎÁ C. éÓÐÏÌØÚÕÅÍÙÊ × NFR IDS ÑÚÙË NCode, ÎÁÓËÏÌØËÏ Ñ ÚÎÁÀ,
ÄÏÓÔÁÔÏÞÎÏ ÇÉÂÏË ÄÌÑ ÜÔÏÇÏ.
úÁÍÅÞÕ ÔÁË ÖÅ, ÞÔÏ ÜÔÏ Hå ÉÄÅÁÌØÎÁÑ ÈÁÒÁËÔÅÒÉÓÔÉËÁ ÁÔÁËÉ, É ÉÍÅÅÔ Ó×ÏÉ ÓÐÏÓÏÂÙ
ÏÂÈÏÄÁ É Ó×ÏÉ false positives.
óÐÏÓÏÂÙ ÐÒÏÔÉ×ÏÄÅÊÓÔ×ÉÑ ÁÔÁËÅ
äÌÑ ÓÉÓÔÅÍÙ ÂÅÚÏÐÁÓÎÏÓÔÉ ÓÅÔÉ, × ËÏÔÏÒÏÊ ÎÁÈÏÄÉÔÓÑ dumb - ×ÏÚÍÏÖÎÙ ÎÅÓËÏÌØËÏ
×ÉÄÏ× ÒÅÁËÃÉÉ:
ÚÁËÒÙÔÉÅ ÎÁ ÆÁÊÒ×ÏÌÅ ÔÒÁÆÉËÁ Ó ÐÏÄÏÚÒÅ×ÁÅÍÙÍ × ÁÔÁËÅ. ë ÓÏÖÁÌÅÎÉÀ, ÜÔÏ ÏÞÅÎØ
ÏÐÁÓÎÁÑ ÍÅÒÁ, ÔÁË ËÁË ×ÏÚÍÏÖÎÏ ÓÙÍÉÔÉÒÏ×ÁÔØ ÓÉÔÕÁÃÉÀ, ÎÁ ËÏÔÏÒÕÀ ÓÒÁÂÏÔÁÅÔ
ÔÒÉÇÇÅÒ IDS É ÎÅ×ÉÎÏ×ÎÙÊ ÈÏÓÔ ÏËÁÖÅÔÓÑ ÚÁÂÌÏËÉÒÏ×ÁÎÙÍ.
ÕÓÔÁÎÏ×ËÁ ÈÏÒÏÛÅÇÏ stateful ÆÁÊÒ×ÏÌÁ, ËÏÔÏÒÙÅ ÎÅ ÐÒÏÐÕÓÔÉÔ ÎÅ ÏÖÉÄÁÅÍÙÊ ÔÒÁÆÉË
Ó victim ÎÁ dumb, ÔÁË ÞÔÏ ÉÚÍÅÎÅÎÉÅ IP ID ÐÏÓÌÅÄÎÅÇÏ ÎÅ ÂÕÄÅÔ ÐÒÅÄÓÔÁ×ÌÑÔØ
ÉÎÔÅÒÅÓÁ ÄÌÑ ×ÚÌÏÍÝÉËÁ.
äÏÂÁ×ÌÅÎÉÅ × ÆÁÊÒ×ÏÌ ÆÕÎËÃÉÉ ÉÚÍÅÎÅÎÉÑ IP ID ÉÓÈÏÄÑÝÉÈ ÐÁËÅÔÏ×. ÷ ÐÒÏÓÔÏÍ
ÓÌÕÞÁÅ ÍÏÖÎÏ ÔÒÉ×ÉÁÌØÎÏ ÚÁÔÉÒÁÔØ ÉÈ ËÏÎÓÔÁÎÔÏÊ (ÖÅÌÁÔÅÌØÎÏ Ó ÕÓÔÁÎÏ×ÌÅÎÉÅÍ
ÆÌÁÇÁ DF), ÎÏ ÔÏÇÄÁ ÍÙ ÔÅÒÑÅÍ ×ÏÚÍÏÖÎÏÓÔØ ÆÒÁÇÍÅÎÔÁÃÉÉ. ÷ ÂÏÌÅÅ ÓÅÒØÅÚÎÏÍ
ÓÌÕÞÁÅ - ÆÁÊÒ×ÏÌ ÄÏÌÖÅÎ ÓÁÍ ÉÍÅÔØ Ó×ÏÊ ÎÁÄÅÖÎÙÊ ÁÌÇÏÒÉÔÍ ÇÅÎÅÒÁÃÉÉ IP ID É
ÐÒÉÓ×ÁÉ×ÁÔØ ÐÁËÅÔÁÍ ÚÎÁÞÅÎÉÑ ÉÚ ÜÔÏÇÏ ÇÅÎÅÒÁÔÏÒÁ.
äÌÑ ÁÔÁËÕÅÍÏÊ ÓÅÔÉ:
ïÂÙÞÎÙÅ ÄÅÊÓÔ×ÉÑ ÓÐÅÃÉÆÉÞÎÙÅ ÄÌÑ SYN- ÓËÁÎÉÒÏ×ÁÎÉÑ. õ×Ù, ÚÁËÒÙÔØ ÉÓÔÏÞÎÉË ÁÔÁËÉ
(dumb) ÏÐÑÔØ ÖÅ ÎÅÌØÚÑ, ÔÁË ËÁË ÁÔÁËÕ ÌÅÇËÏ ÓÙÍÉÔÉÒÏ×ÁÔØ. ïÄÉÎ ÉÚ ×ÁÒÉÁÎÔÏ×
ÚÁÝÉÔÙ ÏÔ SYN- ÓËÁÎÉÒÏ×ÁÎÉÑ - ÎÁ ÷óå SYN ÐÁËÅÔÙ ÏÔ×ÅÞÁÔØ SYN-ACK'ÏÍ, É ÐÒÉ
ÐÒÉÈÏÄÅ ÓÌÅÄÕÀÝÅÇÏ ACK ÏÔ ÕÄÁÌÅÎÎÏÊ ÓÔÏÒÏÎÙ ÕÓÔÁÎÁ×ÌÉ×ÁÔØ ÓÏÅÄÉÎÅÎÉÅ (ÅÓÌÉ ÐÏÒÔ
ÎÁ ÓÁÍÏÍ ÄÅÌÅ ÏÔËÒÙÔ) ÉÌÉ ×ÙÓÙÌÁÔØ (ÎÅ ÏÂÑÚÁÔÅÌØÎÏ) RST ÐÁËÅÔ ÅÓÌÉ ÏÎ ÚÁËÒÙÔ.
(HÁÓËÏÌØËÏ Ñ ÚÎÁÀ ÜÔÁ ÔÅÈÎÏÌÏÇÉÑ ÉÓÐÏÌØÚÕÅÔÓÑ) ÷ ÔÁËÏÍ ÓÌÕÞÁÅ ÐÅÒÅÂÏÒ ÐÏÒÔÏ×,
ËÏÔÏÒÙÊ ÍÏÖÅÔ ÂÙÔØ ÐÏÒÔÓËÁÎÏÍ ÍÏÖÎÏ ÏÓÕÝÅÓÔ×ÉÔØ ÔÏÌØËÏ Ó ÎÁÓÔÏÑÝÅÇÏ ÁÄÒÅÓÁ, É
ÂÌÏËÉÒÏ×ÁÎÉÅ ÅÇÏ ÎÁ ÆÁÊÒ×ÏÌÅ ÍÅÎÅÅ ÏÐÁÓÎÏ.
íÏÖÎÏ ×ÍÅÓÔÅ Ó ËÁÖÄÙÍ RST, ÏÐÒÁ×ÌÑÅÍÙÍ ÐÒÉ ÐÏÐÙÔËÅ ÕÓÔÁÎÏ×ÌÅÎÉÑ ÓÏÅÄÉÎÅÎÉÑ ÎÁ
ÚÁËÒÙÔÏÍ ÐÏÒÔÕ, ÏÔÐÒÁ×ÌÑÔØ icmp echo request ÉÌÉ ÄÒÕÇÏÊ ÐÁËÅÔ, ËÏÔÏÒÙÊ ÂÙ
×ÙÚ×ÁÌ ÉÓÈÏÄÑÝÉÊ ÐÁËÅÔ Ó dumb. ÷ ÜÔÏÍ ÓÌÕÞÁÅ IP ID ÎÁ dumb ÂÕÄÅÔ Õ×ÅÌÉÞÉ×ÁÔØÓÑ
×ÎÅ ÚÁ×ÉÓÉÍÏÓÔÉ ÏÔ ÔÏÇÏ ÏÔËÒÙÔ ÐÏÒÔ ÎÁ victim ÉÌÉ ÎÅÔ.
äÒÕÇÉÅ ÍÅÔÏÄÙ ÁÎÏÎÉÍÎÏÇÏ ÓËÁÎÉÒÏ×ÁÎÉÑ
éÚ ÄÒÕÇÉÈ ÍÅÔÏÄÏ×, ÓÔÏÉÔ ÕÐÏÍÑÎÕÔØ ÓËÁÎÉÒÏ×ÁÎÉÅ ÞÅÒÅÚ http É https ÐÒÏËÓÉ (GET
É CONNECT ÍÅÔÏÄÙ) É ftp bounce scan. FTP bouce scan (ÔÁË ÖÅ ËÁË É ËÁËÏÎÉÞÅÓËÁÑ
×ÅÒÓÉÑ IP ID ÓËÁÎÉÒÏ×ÁÎÉÑ) ÏÐÉÓÁÎÙ × "áÔÁËÅ ÎÁ ÉÎÔÅÒÎÅÔ".
éÎÓÔÒÕÍÅÎÔÙ ÄÌÑ ÁÔÁËÉ
hping2 ÏÔ ÓÁÍÏÇÏ antirez : ÐÒÅËÒÁÓÎÙÊ ÉÎÓÔÒÕÍÅÎÔ ÄÌÑ ÒÕÞÎÏÊ ÓÂÏÒËÉ ÐÁËÅÔÏ×.
nmap - ×ÓÅÍ ÉÚ×ÅÓÔÎÙÊ ÐÏÒÔÓËÁÎÎÅÒ ÐÏÄÄÅÒÖÉ×ÁÅÔ ÜÔÏÔ ÍÅÔÏÄ ÓËÁÎÉÒÏ×ÁÎÉÑ ÞÅÒÅÚ
ÏÐÃÉÀ -sI . ÷ nmap ÜÔÏ ÎÁÚÙ×ÁÅÔÓÑ idlescan.
Ethereal - áÎÁÌÉÚÁÔÏÒ ÔÒÁÆÉËÁ. ðÏÍÏÖÅÔ ÐÏÎÑÔØ ÞÔÏ ÖÅ ÐÒÏÉÓÈÏÄÉÔ × ÓÅÔÉ × ÏÓÏÂÏ
ÓÌÏÖÎÙÈ ÓÌÕÞÁÑÈ.
ž žžž€ ¨ HÕ Ñ ×ÒÏÄÅ ×ÓÅ ÓËÁÚÁÌ... Bye _*All*_ !
« €€€€€€€€€€€€€€€€€žžžžž ž ž ž
... HÁ ÂÅÚÂÁÂØÉ É pÙÂÕ pÁËÏÍ!!!
_*‹‹‹‹‹*_ « €€€€€€€€€€€€€€€€€žžžžž ž ž ž
Copyright c http://www.crime-research.org
÷ ÜÔÏÊ ÓÔÁÔØÅ ÏÐÉÓÁÎ ËÁÎÁÎÏÞÅÓËÉÊ ×ÁÒÉÁÎÔ IP ID ÓËÁÎÉÒÏ×ÁÎÉÑ É ÅÇÏ ÍÏÄÉÆÉËÁÃÉÉ,
ËÁË ÕÖÅ ÉÚ×ÅÓÔÎÙÅ, ÔÁË É ÎÏ×ÙÅ (2^ ÓËÁÎÉÒÏ×ÁÎÉÅ, ÓËÒÙÔÎÏÅ ÎÁÂÌÀÄÅÎÉÅ ÚÁ IP ID).
IP ID (dumb host) ÓËÁÎÉÒÏ×ÁÎÉÅ - ÏÔÎÏÓÉÔÅÌØÎÏ ÎÏ×ÁÑ É ÏÞÅÎØ ÍÏÝÎÁÑ ÔÅÈÎÏÌÏÇÉÑ,
ËÏÔÏÒÁÑ ÐÏÚ×ÏÌÑÅÔ:
ðÒÏ×ÅÓÔÉ ÍÁËÓÉÍÁÌØÎÏ ÓËÒÙÔÎÏÅ ÓËÁÎÉÒÏ×ÁÎÉÅ:HÁ ÁÔÁËÕÅÍÏÍ ÈÏÓÔÅ ÎÅÔ ÄÁÖÅ
ÐÒÉÎÃÉÐÉÁÌØÎÏÊ ×ÏÚÍÏÖÎÏÓÔÉ ÕÚÎÁÔØ ÁÄÒÅÓ ×ÚÌÏÍÝÉËÁ, Á ÔÒÁÆÉË ×ÚÌÏÍÝÉËÁ Ó ÒÅÌÅÅÍ
(dumb ÈÏÓÔÏÍ) ÍÏÖÅÔ ÂÙÔØ ÚÁÍÁÓËÉÒÏ×ÁÎ ÐÏÄ ÏÂÙÞÎÙÊ ÔÒÁÆÉË.
óËÁÎÉÒÏ×ÁÔØ ÓÉÓÔÅÍÙ, ÄÏÓÔÕÐ Ë ËÏÔÏÒÙÍ ÚÁËÒÙÔ ÄÌÑ ÁÔÁËÕÀÝÅÇÏ ÆÁÊÒ×ÏÌÏÍ.
þÁÓÔÉÞÎÏ ÉÓÓÌÅÄÏ×ÁÔØ ÐÒÁ×ÉÌÁ ÆÁÊÒ×ÏÌÏ×.
éÓÔÏÒÉÞÅÓËÉÅ ÐÒÅÄÐÏÓÙÌËÉ
ðÒÅÄÐÏÓÙÌËÁ 1
äÌÑ ÔÏÇÏ, ÞÔÏÂÙ ÐÒÉ ÐÅÒÅÄÁÞÅ ÂÏÌØÛÏÇÏ IP ÐÁËÅÔÁ ÍÅÖÄÕ ÓÅÔÑÍÉ Ó ÒÁÚÎÙÍÉ MTU ÅÇÏ
ÍÏÖÎÏ ÂÙÌÏ ÆÒÁÇÅÎÔÉÒÏ×ÁÔØ, RFC 791 ÔÒÅÂÕÅÔ ÏÔ ÈÏÓÔÁ, ÏÔÐÒÁ×ÌÑÀÝÅÇÏ IP ÐÁËÅÔ,
ÞÔÏÂÙ ÓÏ×ÏËÕÐÎÏÓÔØ ÐÏÌÅÊ Identification (16 ÂÉÔ), Source address, Destination
address É Protocol ÂÙÌÁ ÕÎÉËÁÌØÎÏÊ × ÔÅÞÅÎÉÉ ×ÒÅÍÅÎÉ, ÐÏËÁ ÐÁËÅÔ ÍÏÖÅÔ ÂÙÔØ
'ÖÉ×ÙÍ' × óÅÔÉ. ôÁË ÖÅ ÄÏÐÕÓËÁÅÔÓÑ, ÞÔÏ ÎÅËÏÔÏÒÙÅ ÈÏÓÔÙ ÍÏÇÕÔ ÐÒÏÓÔÏ
ÉÓÐÏÌØÚÏ×ÁÔØ ÕÎÉËÁÌØÎÙÅ ÚÎÁÞÅÎÉÑ ÄÌÑ ID ÐÏÌÑ ËÁÖÄÏÇÏ ÉÓÈÏÄÑÝÅÇÏ ÐÁËÅÔÁ ×ÎÅ
ÚÁ×ÉÓÉÍÏÓÔÉ ÏÔ source/destination ÁÄÒÅÓÏ×.
÷ ÂÏÌØÛÉÎÓÔ×Å ÓÌÕÞÁÅ× ÒÁÚÒÁÂÏÔÞÉËÉ ÏÐÅÒÁÃÉÏÎÎÙÈ ÓÉÓÔÅÍ ÐÏÛÌÉ ÐÏ ÎÁÉÂÏÌÅÅ
ÐÒÏÓÔÏÍÕ ÐÕÔÉ ÐÒÉÓ×ÁÉ×ÁÑ ËÁÖÄÏÊ ÐÏÓÌÅÄÕÀÝÅÊ ÉÓÈÏÄÑÝÅÊ ÄÁÔÁÇÒÁÍÍÅ ÚÎÁÞÅÎÉÅ ÐÏÌÑ
ID ÎÁ ÅÄÉÎÉÃÕ ÂÏÌØÛÅÅ ÞÅÍ × ÐÒÅÄÙÄÕÝÅÊ.
ðÒÅÄÐÏÓÙÌËÁ 2
TCP ÐÒÏÔÏËÏÌ (RFC 793) ÔÒÅÂÕÅÔ ÞÔÏÂÙ ÈÏÓÔ ÏÔÓÙÌÁÌ RST ÐÁËÅÔ × ÓÌÕÞÁÅ ÅÓÌÉ ÏÎ
ÐÏÌÕÞÉÌ ÌÀÂÏÊ ÐÁËÅÔ ËÒÏÍÅ RST ÎÅ ÏÔÎÏÓÑÝÉÊÓÑ Ë ÓÕÝÅÓÔ×ÕÀÝÉÍ ÓÏÅÄÉÎÅÎÉÑÍ.
ëÒÏÍÅ ÔÏÇÏ, ÐÒÏÃÅÄÕÒÁ three-way handshake'Á, ÔÒÅÂÕÅÔ ÞÔÏÂÙ ÐÏ ÐÒÉÈÏÄÕ SYN'Á ÎÁ
ÏÔËÒÙÔÙÊ ÐÏÒÔ ÈÏÓÔ ÏÔ×ÅÔÉÌ ACK É SYN'ÏÍ (ÏÂÙÞÎÏ ÜÔÏ ÐÒÏÉÓÈÏÄÉÔ × ÏÄÎÏÍ ÐÁËÅÔÅ,
ÈÏÔÑ, ÎÁÓËÏÌØËÏ Ñ ÐÏÎÉÍÁÀ, ÄÏÌÖÎÁ ÂÙÔØ ×ÏÚÍÏÖÎÏÓÔØ ×ÙÐÏÌÎÉÔØ ÜÔÏÔ ÜÔÁÐ
ÈÜÎÄÛÅÊËÁ É Ä×ÕÍÑ ÐÁËÅÔÁÍÉ c SYN É ACK ÆÌÁÇÁÍÉ ÐÏ ÏÄÎÏÍÕ × ÐÁËÅÔÅ).
ïÐÉÓÁÎÉÅ ÂÁÚÏ×ÏÇÏ ÍÅÔÏÄÁ IP ID ÓËÁÎÉÒÏ×ÁÎÉÑ
18 ÄÅËÁÂÒÑ 1998 ÇÏÄÁ Salvatore Sanfilippo aka antirez ÏÐÉÓÁÌ × Ó×ÏÅÍ ÐÏÓÔÉÎÇÅ ×
bugtraq ÎÏ×ÙÊ ÍÅÔÏÄ ÓËÁÎÉÒÏ×ÁÎÉÑ Ó ÉÓÐÏÌØÚÏ×ÁÎÉÅÍ dumb ÈÏÓÔÏ×. ôÅÈÎÉËÁ
ÓËÁÎÉÒÏ×ÁÎÉÑ ÈÏÒÏÛÏ ÏÐÉÓÁÎÁ × ÐÉÓØÍÅ, ÔÁË ÞÔÏ Ñ ÌÉÛØ × ÏÂÝÉÈ ÞÅÒÔÁÈ ÚÄÅÓØ
ÒÁÓÓËÁÖÕ Ï ÎÅÊ.
÷ ÏÒÉÇÉÎÁÌÅ ÁÔÁËÁ ÐÏÚ×ÏÌÑÅÔ ÐÒÏÓËÁÎÉÒÏ×ÁÔØ TCP ÐÏÒÔÙ ÍÁÛÉÎÙ victim Ó
ÉÓÐÏÌØÚÏ×ÁÎÉÅÍ 'ÎÅÍÏÊ' (dumb) ÓÉÓÔÅÍÙ. ÷ ËÁÞÅÓÔ×Å dumb ÍÏÖÅÔ ×ÙÓÔÕÐÁÔØ ÌÀÂÁÑ
ÍÁÛÉÎÁ, ËÏÔÏÒÁÑ ÂÙ Õ×ÅÌÉÞÉ×ÁÌÁ IP ID ÎÁ ÅÄÉÎÉÃÕ Ó ËÁÖÄÙÍ ÏÔÏÓÌÁÎÎÙÍ ÐÁËÅÔÏÍ
(ÞÔÏ ÄÅÌÁÀÔ ÏÞÅÎØ ÍÎÏÇÉÅ ïó) É ÎÅ ÉÍÅÌÁ ÔÒÁÆÉËÁ ×Ï ×ÒÅÍÑ ÓËÁÎÉÒÏ×ÁÎÉÑ, ÞÔÏÂÙ
ÉÚÍÅÎÅÎÉÑ IP ID ËÏÎÔÒÏÌÉÒÏ×ÁÌÉÓØ ÔÏÌØËÏ ÁÔÁËÕÀÝÉÍ. ôÁË ÖÅ dumb ÄÏÌÖÎÁ ÉÍÅÔØ
×ÏÚÍÏÖÎÏÓÔØ ×ÙÐÏÌÎÉÔØ ÐÏÒÔÓËÁÎ victim. (ïÂÒÁÔÉÔÅ ×ÎÉÍÁÎÉÅ - dumb, ÎÅ ÁÔÁËÕÀÝÉÊ!
- ÅÇÏ ÍÁÛÉÎÁ ËÁË ÒÁÚ ÍÏÖÅÔ É ÎÅ ÉÍÅÔØ ÔÁËÏÊ ×ÏÚÍÏÖÎÏÓÔÉ, ÎÁÐÒÉÍÅÒ, ÔÒÁÆÉË Ó ÎÅÅ
ÍÏÖÅÔ ÂÙÔØ ÓÐÅÃÉÁÌØÎÏ ÂÌÏËÉÒÏ×ÁÎ ÆÁÊÒ×ÏÌÏÍ, ÎÏ ÜÔÏ ÎÅ Ñ×ÌÑÅÔÓÑ ÐÒÅÐÑÔÓÔ×ÉÅÍ).
áÔÁËÕÀÝÉÊ, ÚÎÁÑ ÁÄÒÅÓ ÌÀÂÏÊ dumb ÓÉÓÔÅÍÙ ÐÏÓÙÌÁÅÔ SYN ÐÁËÅÔÙ ÎÁ ÓËÁÎÉÒÕÅÍÙÅ
ÐÏÒÔÙ ÉÓÓÌÅÄÕÅÍÏÊ ÍÁÛÉÎÙ (victim) ÚÁÍÅÎÑÑ × ÏÔÐÒÁ×ÌÑÅÍÙÈ ÐÁËÅÔÁÈ Ó×ÏÊ ÁÄÒÅÓ ÎÁ
ÁÄÒÅÓ dumb. ðÒÉ ÜÔÏÍ ÏÎ ÓÏÚÄÁÅÔ ÐÏÔÏË TCP ÐÁËÅÔÏ× ÎÁ ÁÄÒÅÓ dumb ÄÌÑ
ÏÔÓÌÅÖÉ×ÁÎÉÑ ÉÚÍÅÎÅÎÉÑ ÐÏÌÑ ID × ÐÒÉÈÏÄÑÝÉÈ Ë ÎÅÍÕ Ó dumb ÐÁËÅÔÁÈ. ðÒÉ 'ÓÅÔÅ×ÏÍ
ÛÔÉÌÅ' ÎÁ dumb, ËÁÖÄÙÊ ÏÔ×ÅÔÎÙÊ ÐÁËÅÔ Ó ÎÅÇÏ ÂÕÄÅÔ ÉÄÔÉ Ó ÐÏÌÅÍ ID ÎÁ ÅÄÉÎÉÃÕ
ÂÏÌØÛÉÍ ÞÅÍ ÒÁÎÅÅ.
óËÁÎÉÒÕÅÍÙÊ ÈÏÓÔ (victim) × ÚÁ×ÉÓÏÍÏÓÔÉ ÏÔ ÔÏÇÏ, ÏÔËÒÙÔ ÕËÁÚÁÎÎÙÊ × ÐÁËÅÔÅ ÐÏÒÔ
ÎÁÚÎÁÞÅÎÉÑ ÉÌÉ ÎÅÔ, ÏÔ×ÅÞÁÅÔ ÎÁ ÁÄÒÅÓ 'ÏÔÐÒÁ×ÉÔÅÌÑ' (ÔÏ ÅÓÔØ ÎÁ ÁÄÒÅÓ dumb)
ÌÉÂÏ RST ÐÁËÅÔÏÍ (ÅÓÌÉ ÐÏÒÔ ÏÔËÒÙÔ) ÌÉÂÏ SYN|ACK ÐÁËÅÔÏÍ (ÅÓÌÉ ÐÏÒÔ ÏÔËÒÙÔ).
ðÏÌÕÞÉ× ÏÔ×ÅÔ ÏÔ victim, dumb ÌÉÂÏ ÉÇÎÏÒÉÒÕÅÔ ÅÇÏ (ÅÓÌÉ ÜÔÏ RST ÐÁËÅÔ), ÌÉÂÏ
(ÅÓÌÉ ÜÔÏ SYN|ACK) ÏÔ×ÅÞÁÅÔ ÓÁÍ RST ÐÁËÅÔÏÍ, ÔÁË ËÁË ÐÒÉÛÅÄÉÛÉÊ ÐÁËÅÔ ÎÅ
ÏÔÎÏÓÉÔÓÑ ÎÉ Ë ÏÄÎÏÍÕ ÉÚ ÓÏÅÄÉÎÅÎÉÊ. ÷ ÐÅÒ×ÏÍ ÓÌÕÞÁÅ ÚÎÁÞÅÎÉÅ ÐÏÌÑ IP ID ×
ÉÓÈÏÄÑÝÉÈ Ó dumb ÐÁËÅÔÁÈ ÐÏ ÐÒÅÖÎÅÍÕ ÍÏÎÏÔÏÎÎÏ Õ×ÅÌÉÞÉ×ÁÅÔÓÑ ÎÁ 1 É ÁÔÁËÕÀÝÉÊ,
ÎÅ ÏÂÎÁÒÕÖÉ× ÎÉËÁËÏÇÏ ÉÚÍÅÎÅÎÉÑ, ÄÅÌÁÅÔ ×Ù×ÏÄ ÞÔÏ ÐÏÒn ÚÁËÒÙÔ. ÷Ï ×ÔÏÒÏÍ
ÓÌÕÞÁÅ, ÏÔÐÒÁ×É× RST ÐÁËÅÔ, dumb Õ×ÅÌÉÞÉÌ ÎÁ ÅÄÉÎÉÃÕ Ó×ÏÊ ÓÞÅÔÞÉË É ÁÔÁËÕÀÝÉÊ,
ÚÁÍÅÔÉ× ÜÔÏÔ ÓËÁÞÏË, ÄÅÌÁÅÔ ×Ù×ÏÄ, ÞÔÏ ÐÏÒÔ ÏÔËÒÙÔ.
÷ ÞÅÍ ÚÁËÌÀÞÁÀÔÓÑ ÏÔÌÉÞÉÔÅÌØÎÙÅ ÏÓÏÂÅÎÎÏÓÔÉ ÜÔÏÇÏ ÔÉÐÁ ÕÑÚ×ÉÍÏÓÔÉ
óËÁÎÉÒÕÅÍÙÊ ÈÏÓÔ ÎÅ ÚÎÁÅÔ, ËÔÏ ÎÁ ÓÁÍÏÍ ÄÅÌÅ ÁÔÁËÕÀÝÉÊ. äÁÖÅ ÐÏÌÎÁÑ ÚÁÐÉÓØ
×ÓÅÇÏ ÔÒÁÆÉËÁ ÎÁ victim É ÐÏÓÌÅÄÕÀÝÉÊ ÁÎÁÌÉÚ ÎÅ ÐÏÚ×ÏÌÑÔ ÎÁÊÔÉ ÚÌÏÕÍÙÛÌÅÎÎÉËÁ.
áÄÍÉÎÉÓÔÒÁÔÏÒ ÁÔÁËÏ×ÁÎÏÊ ÍÁÛÉÎÙ ÍÏÖÅÔ ÐÏ-ÏÛÉÂËÅ ÓÄÅÌÁÔØ ×Ù×ÏÄ ÞÔÏ dumb É ÅÓÔØ
ÁÔÁËÕÀÝÉÊ (ËÁÒÔÉÎÁ × ÓÅÔÉ ÂÕÄÅÔ ÔÁËÁÑ, ÂÕÄÔÏ dumb ×ÙÐÏÌÎÑÅÔ SYN ÓËÁÎÉÒÏ×ÁÎÉÅ).
óËÁÎÉÒÏ×ÁÎÉÅ ÐÏÒÔÏ× ÄÁÎÎÙÍ ÍÅÔÏÄÏÍ ÉÓÐÏÌØÚÕÅÔ ÕÑÚ×ÉÍÏÓÔØ ÎÅ victim, Á ÔÒÅÔØÅÊ
ÍÁÛÉÎÙ. ÷ÎÅ ÚÁ×ÉÓÉÍÏÓÔÉ ÏÔ ÔÏÇÏ ÐÏÄ×ÅÒÖÅÎÁ ÌÉ victim ÜÔÏÊ ÕÑÚ×ÉÍÏÓÔÉ ÉÌÉ ÎÅÔ,
×ÚÌÏÍÝÉË ÍÏÖÅÔ ×ÓÅ ÒÁ×ÎÏ ÏÓÕÝÅÓÔ×ÉÔØ ÔÁËÕÀ ÁÔÁËÕ.
ôÒÅÂÕÅÔÓÑ ×ÓÅÇÏ 1 dumb host ÄÌÑ ÐÒÏ×ÅÄÅÎÉÑ ÁÔÁËÉ. á ÚÎÁÞÉÔ ÔÅÈÎÏÌÏÇÉÑ ÂÕÄÅÔ
ÒÅÁÌÉÚÕÅÍÁ ÐÏËÁ ÷óå ÍÁÛÉÎÙ × ÉÎÔÅÒÎÅÔÅ ÎÅ ÓÍÅÎÑÔ ÓÐÏÓÏÂ ÇÅÎÅÒÁÃÉÉ IP ID. (ÅÓÌÉ
ÔÁËÉÈ ÍÁÛÉÎ ÓÔÁÎÅÔ ÕÖÅ ËÒÉÔÉÞÅÓËÉ ÍÁÌÏ, ÔÅÏÒÅÔÉÞÅÓËÁÑ ×ÏÚÍÏÖÎÏÓÔØ ÁÔÁËÉ
ÏÓÔÁÎÅÔÓÑ, ÎÁ ÐÒÁËÔÉËÅ ÏÓÕÝÅÓÔ×ÉÔØ ÅÅ ÂÕÄÅÔ ÔÑÖÅÌÏ, ÔÁË ËÁË ÏÄÎÏ×ÒÅÍÅÎÎÁÑ
ÐÏÐÙÔËÁ Ä×ÕÈ ×ÚÌÏÍÝÉËÏ× ÐÒÏ×ÅÓÔÉ ÔÁËÕÀ ÁÔÁËÕ ÞÅÒÅÚ ÏÄÉÎ dumb ÐÒÉ×ÅÄÅÔ Ë ÔÏÍÕ,
ÞÔÏ ÏÎÉ ÂÕÄÕÔ ÍÅÛÁÔØ ÄÒÕÇ ÄÒÕÇÕ.)
HÉ ÁÄÍÉÎÉÓÔÒÁÔÏÒ ÕÑÚ×ÉÍÏÊ ÍÁÛÉÎÙ, ÎÉ ÒÁÚÒÁÂÏÔÞÉË ïó ÄÌÑ ÎÅÅ ÎÅ ÓÉÌØÎÏ ÓÔÒÁÄÁÀÔ
ÏÔ ÔÁËÏÊ ÕÑÚ×ÉÍÏÓÔÉ (ÓÌÅÄÏ×ÁÔÅÌØÎÏ, É ÎÅ ÉÓÐÙÔÙ×ÁÀÔ ÏÓÔÒÏÊ ÎÅÏÂÈÏÄÉÍÏÓÔÉ
ÉÓÐÒÁ×ÌÑÔØ ÕÑÚ×ÉÍÏÓÔØ ), ÐÏÓËÏÌØËÕ dumb Ñ×ÌÑÅÔÓÑ ÒÅÌÅÅÍ, ÎÏ ÎÅ ÖÅÒÔ×ÏÊ ÁÔÁËÉ.
÷ÏÚÍÏÖÎÏÓÔÉ, ËÏÔÏÒÙÅ ÄÁÅÔ IP ID ÓËÁÎ É ÅÇÏ ÍÏÄÉÆÉËÁÃÉÉ
éÓÓÌÅÄÏ×ÁÎÉÅ ÐÒÁ×ÉÌ ÆÁÊÒ×ÏÌÁ É ÏÂÈÏÄ ÆÁÊÒ×ÏÌÁ ÐÒÉ ÓËÁÎÉÒÏ×ÁÎÉÉ.
íÅÔÏÄ ÏËÁÚÙ×ÁÅÔ ÎÅËÏÔÏÒÕÀ ÐÏÍÏÝØ × ÉÓÓÌÅÄÏ×ÁÎÉÉ ÎÁÓÔÒÏÅË ÆÁÊÒ×ÏÌÏ×. æÁËÔÉÞÅÓËÉ,
ÐÒÏ×ÅÒËÁ ËÁÖÄÏÇÏ ÐÏÒÔÁ ÎÁ ÓÔÏÒÏÎÅ victim ×ÙÇÌÑÄÉÔ ËÁË ÐÏÐÙÔËÁ ÕÓÔÁÎÏ×ÌÅÎÉÑ
ÓÏÅÄÉÎÅÎÉÑ ÏÔ ÈÏÓÔÁ dumb, É ÒÅÚÕÌØÔÁÔÙ ÓËÁÎÉÒÏ×ÁÎÉÑ ÐÏËÁÚÙ×ÁÀÔ ËÁÒÔÉÎÕ victim Ó
ÔÏÞËÉ ÚÒÅÎÉÑ dumb. åÓÌÉ dumb ÉÓÐÏÌØÚÕÅÔ ÔÒÅÂÕÅÍÕÀ ÚÄÅÓØ ÇÅÎÅÒÁÃÉÀ IP ID, ÅÓÔØ
×ÏÚÍÏÖÎÏÓÔØ ÐÒÏ×ÅÒÉÔØ, ÄÏÓÔÕÐÅÎ ÌÉ ËÁËÏÊ-ÌÉÂÏ ÐÏÒÔ ÎÁ victim ÄÌÑ dumb.
äÌÑ ÓËÁÎÉÒÏ×ÁÎÉÑ ÍÁÛÉÎ ÚÁ ÆÁÊÒ×ÏÌÏÍ ÔÒÅÂÕÅÔÓÑ ÔÏÌØËÏ ÞÔÏÂÙ Õ ÁÔÁËÕÀÝÅÇÏ ÂÙÌÁ
×ÏÚÍÏÖÎÏÓÔØ ÐÏÓÌÁÔØ ÐÁËÅÔ ÎÁ victim c saddr=dumb. þÁÓÔÏ ÜÔÏ ÎÅ ÐÒÏÂÌÅÍÁ, ÔÁË
ËÁË ÔÑÖÅÌÏ ÏÐÒÅÄÅÌÉÔØ ËÔÏ ÎÁ ÓÁÍÏÍ ÄÅÌÅ ÏÔÐÒÁ×ÉÌ ÐÁËÅÔ, ÎÏ ÅÓÌÉ ÁÔÁËÕÀÝÉÊ É
dumb ÎÁÈÏÄÑÔÓÑ ÎÁ ÒÁÚÎÙÈ ÉÎÔÅÒÆÅÊÓÁÈ ÒÏÕÔÅÒÁ/ÆÁÊÒ×ÏÌÁ ÖÅÒÔ×Ù, ÔÏ ÐÒÁ×ÉÌØÎÁÑ
ÎÁÓÔÒÏÊËÁ ÆÁÊÒ×ÏÌÁ ÍÏÖÅÔ ÂÙÔØ ÓÅÒØÅÚÎÙÍ ÐÒÅÐÑÔÓÔ×ÉÅÍ ÄÌÑ ÔÁËÏÇÏ ÓËÁÎÉÒÏ×ÁÎÉÑ.
óËÁÎÉÒÏ×ÁÎÉÅ ÍÁÛÉÎ Ó ÐÒÉ×ÁÔÎÙÍÉ ÁÄÒÅÓÁÍÉ
Elie Bursztein aka lupin ÏÐÕÂÌÉËÏ×ÁÌ advisory, ÇÄÅ ÕËÁÚÁÌ ÎÁ ÐÒÉÍÅÎÉÍÏÓÔØ ÜÔÏÇÏ
ÓËÁÎÉÒÏ×ÁÎÉÑ ÄÌÑ ÓÌÕÞÁÑ ËÏÇÄÁ dumb - ÇÅÊÔ×ÅÊ × ÐÒÉ×ÁÔÎÕÀ ÓÅÔØ, Á victim -
ÍÁÛÉÎÁ, ÎÁÈÏÄÑÝÁÑÓÑ ×Ï ×ÎÕÔÒÅÎÎÅÊ ÓÅÔÉ ÚÁ dumb.
óËÁÎÉÒÏ×ÁÎÉÅ ×ÙÐÏÌÎÑÅÔÓÑ ÔÅÍ ÖÅ ÐÕÔÅÍ. HÏ ÓÌÅÄÕÅÔ ÕÞÅÓÔØ, ÞÔÏ ×ÏÚÍÏÖÎÏ ÜÔÏ
ÔÏÌØËÏ × ÓÌÕÞÁÅ (ÓÍ. ×ÙÛÅ) ËÏÇÄÁ ÁÔÁËÕÀÝÉÊ ÍÏÖÅÔ ÐÏÓÌÁÔØ ÓÐÕÆÌÅÎÙÊ ÐÁËÅÔ ÎÁ
victim. á ÜÔÏ ×ÏÚÍÏÖÎÏ ÔÏÌØËÏ ËÏÇÄÁ ÷óå ÒÏÕÔÅÒÙ ÎÁ ÐÕÔÉ ÏÔ ÁÔÁËÕÀÝÅÇÏ ÄÏ ÖÅÒÔ×Ù
ÐÒÏÐÕÓÔÑÔ ÔÁËÏÊ ÐÁËÅÔ, É ÂÏÌÅÅ ÔÏÇÏ, ÂÕÄÕÔ ÍÁÒÛÒÕÔÉÚÉÒÏ×ÁÔØ ÅÇÏ × ÎÁÐÒÁ×ÌÅÎÉÉ,
ÕËÁÚÁÎÎÏÍ ÁÔÁËÕÀÝÉÍ. HÁ ÐÒÁËÔÉËÅ ÜÔÏ ×ÏÚÍÏÖÎÏ ÔÏÌØËÏ × ÓÌÕÞÁÅ ËÏÇÄÁ dumb ÎÅ
ÉÍÅÅÔ ÜÌÅÍÅÎÔÁÒÎÏÊ ÚÁÝÉÔÙ ÏÔ spoof'ÉÎÇÁ, Á ×ÚÌÏÍÝÉË ÁÔÁËÕÅÔ Ó ÍÁÛÉÎÙ
ÎÅÐÏÓÒÅÄÓÔ×ÅÎÎÏ ÏÂÝÁÀÝÅÊÓÑ Ó dumb (e.g. Ó ÒÏÕÔÅÒÁ ÐÒÏ×ÁÊÄÅÒÁ). HÏ × ÜÔÏÍ
ÓÌÕÞÁÅ, ËÁË ÐÒÁ×ÉÌÏ, Õ ÁÔÁËÕÀÝÅÇÏ ÅÓÔØ É ÏÂÙÞÎÁÑ ×ÏÚÍÏÖÎÏÓÔØ ×ÙÐÏÌÎÉÔØ
ÓËÁÎÉÒÏ×ÁÎÉÅ victim, ÅÄÉÎÓÔ×ÅÎÎÏÅ ÏÇÒÁÎÉÞÅÎÉÅ, ËÏÔÏÒÏÅ × ÜÔÏÍ ÓÌÕÞÁÅ ÓÎÉÍÁÅÔÓÑ
- ÎÅÔ ÎÅÏÂÈÏÄÉÍÏÓÔÉ × ÐÏÌÕÞÅÎÉÉ ÁÔÁËÕÀÝÉÍ ÔÒÁÆÉËÁ Ó victim. ôÁË ÖÅ ÓÌÅÄÕÅÔ
ÐÏÍÎÉÔØ, ÞÔÏ ÐÏÓËÏÌØËÕ × ËÁÞÅÓÔ×Å dumb ×ÙÓÔÕÐÁÅÔ ÍÁÛÉÎÁ ÉÚ ÔÏÊ ÖÅ ÓÅÔÉ ÞÔÏ É
victim, ÄÌÑ ÒÁÓÓÌÅÄÏ×ÁÎÉÑ ÉÎÃÉÄÅÎÔÁ ÍÏÇÕÔ ÂÙÔØ ÉÓÐÏÌØÚÏ×ÁÎÙ ÌÏÇÉ ÔÒÁÆÆÉËÁ ÎÁ
ÎÅÊ - × ÎÉÈ ÂÕÄÅÔ ÐÒÉÓÕÔÓÔ×Ï×ÁÔØ ip ÁÔÁËÕÀÝÅÇÏ.
éÓÐÏÌØÚÏ×ÁÎÉÅ IP ID ÐÒÉ ÓËÁÎÉÒÏ×ÁÎÉÅ UDP ÓÅÒ×ÉÓÏ× ÚÁ ÆÁÊÒ×ÏÌÏÍ.
ó ÎÅËÏÔÏÒÙÍÉ ÍÏÄÉÆÉËÁÃÉÑÍÉ, IP ID ÓËÁÎÉÒÏ×ÁÎÉÅ ÍÏÖÎÏ ÐÒÏ×ÏÄÉÔØ É ÄÌÑ
ÓËÁÎÉÒÏ×ÁÎÉÑ UDP ÐÏÒÔÏ×.
'ïÂÙÞÎÏÅ' UDP ÓËÁÎÉÒÏ×ÁÎÉÅ ÏÔÌÉÞÁÅÔÓÑ ÏÔ TCP ÉÚ-ÚÁ ÔÏÇÏ, ÞÔÏ ÎÅÔ ÓÈÅÍÙ
ÈÅÎÄÛÅÊËÁ ÎÁ ÕÒÏ×ÎÅ ÐÒÏÔÏËÏÌÁ, É ÎÅÔ ×ÏÚÍÏÖÎÏÓÔÉ ÐÏÓÌÁ× ÏÄÉÎ UDP ÐÁËÅÔ ÎÁ ËÁËÏÊ
ÌÉÂÏ ÐÏÒÔ, ÐÏÌÕÞÉÔØ × ÏÔ×ÅÔ ËÁËÏÅ-ÌÉÂÏ ÓÔÁÎÄÁÒÔÎÏÅ ÐÏÄÔ×ÅÒÖÄÅÎÉÅ ÉÌÉ
ÏÐÒÏ×ÅÒÖÅÎÉÅ ÇÉÐÏÔÅÚÙ Ï ÎÁÌÉÞÉÉ ÏÔËÒÙÔÏÇÏ ÐÏÒÔÁ ÏÔ UDP ÐÒÏÔÏËÏÌÁ. HÏ ïó ×
ÓÌÕÞÁÅ ÏÂÒÁÝÅÎÉÑ Ë ÎÅÓÕÝÅÓÔ×ÕÀÝÅÍÕ UDP ÐÏÒÔÕ ÐÏÓÙÌÁÀÔ ICMP ÓÏÏÂÝÅÎÉÅ ÏÂ ÜÔÏÍ.
äÌÑ ÓËÁÎÉÒÏ×ÁÎÉÑ ÉÓÐÏÌØÚÕÅÔÓÑ ÍÅÔÏÄ ÐÏÓÙÌËÉ UDP ÐÁËÅÔÁ ÎÁ ÁÎÁÌÉÚÉÒÕÅÍÙÊ ÐÏÒÔ, É
ÏÖÉÄÁÎÉÅ ICMP ÓÏÏÂÝÅÎÉÑ Ó Type=3 (Destination Unreachable), Code=3 (Port
Unreachable). åÓÌÉ ÓÏÏÂÝÅÎÉÅ ÎÅ ÐÒÉÈÏÄÉÔ, ÐÏÒÔ ÓÞÉÔÁÅÔÓÑ ÏÔËÒÙÔÙÍ (Ó ÎÅËÏÔÏÒÏÊ
×ÅÒÏÑÔÎÏÓÔØÀ), ÅÓÌÉ ÐÒÉÈÏÄÉÔ, ÐÏÒÔ ÓÞÉÔÁÅÔÓÑ ÚÁËÒÙÔÙÍ.
ìÀÂÏÊ ÐÒÁ×ÉÌØÎÏ ÓËÏÎÆÉÇÕÒÉÒÏ×ÁÎÎÙÊ ÆÁÊÒ×ÏÌ ÎÅ ÐÒÏÐÕÓÔÉÔ ÔÁËÉÅ ÓÏÏÂÝÅÎÉÑ ÎÁÒÕÖÕ,
É ÄÌÑ ÁÔÁËÕÀÝÅÇÏ, ÉÓÐÏÌØÚÕÀÝÅÇÏ ICMP ÄÌÑ ÏÐÒÅÄÅÌÅÎÉÑ ÓÔÁÔÕÓÁ ÐÏÒÔÁ, ÎÅÔ
×ÏÚÍÏÖÎÏÓÔÉ ÕÚÎÁÔØ ÏÔËÒÙÔ ÐÏÒÔ ÉÌÉ ÎÅÔ.
úÄÅÓØ ÏÐÑÔØ ×ÏÚÍÏÖÎÏ ÉÓÐÏÌØÚÏ×ÁÎÉÅ IP ID ÄÌÑ ÓËÁÎÉÒÏ×ÁÎÉÑ, ÔÏÌØËÏ × ËÁÞÅÓÔ×Å
dumb ×ÙÓÔÕÐÁÅÔ ÓÁÍÁ victim (ÅÓÌÉ ÏÎÁ ÐÏÄÈÏÄÉÔ ÐÏÄ ÜÔÏ ÏÐÒÅÄÅÌÅÎÉÅ). áÔÁËÕÀÝÉÊ
ÓÌÅÄÉÔ ÚÁ ÉÚÍÅÎÅÎÉÑÍÉ IP ID, ÐÒÉ ÜÔÏÍ ÓËÁÎÉÒÕÑ UDP ÐÏÒÔÙ. ëÁË ÔÏÌØËÏ ÎÁ victim
(ÏÎÁ ÖÅ dumb) ÐÒÉÈÏÄÉÔ ÐÁËÅÔ Ó ÁÄÒÅÓÏÍ ÚÁËÒÙÔÏÇÏ UDP ÐÏÒÔÁ, victim ÏÔÓÙÌÁÅÔ
ICMP ÓÏÏÂÝÅÎÉÅ Ï ÜÔÏÍ, Õ×ÅÌÉÞÉ×ÁÑ ÔÅÍ ÓÁÍÙÍ ÓÞÅÔÞÉË IP ID. ïÔ×ÅÔ ÎÁ ÓÌÅÄÕÀÝÉÊ
TCP ÐÁËÅÔ ÁÔÁËÕÀÝÅÇÏ ÕÖÅ ÂÕÄÅÔ ÎÅÓÔÉ × ÓÅÂÅ ÉÎÆÏÒÍÁÃÉÀ ÏÂ ÜÔÏÍ. saddr ÍÏÖÅÔ
spoof'ÉÔØÓÑ ÌÀÂÙÍ ÚÎÁÞÅÎÉÅÍ, × ÚÁ×ÉÓÉÍÏÓÔÉ ÏÔ ËÏÎËÒÅÔÎÏÊ ÓÉÔÕÁÃÉÉ.
áÔÁËÕÀÝÉÊ ÄÏÌÖÅÎ '×ÉÄÅÔØ' ÏÔ×ÅÔÙ ÎÁ Ó×ÏÉ TCP ÚÁÐÒÏÓÙ ÞÔÏÂÙ ÏÔÓÌÅÖÉ×ÁÔØ ÓËÁÞËÉ
IP ID, ÓÌÅÄÏ×ÁÔÅÌØÎÏ ÍÅÔÏÄ ÎÅ ÐÏÚ×ÏÌÑÅÔ ÓÏÈÒÁÎÉÔØ ÐÏÌÎÕÀ ÁÎÏÎÉÍÎÏÓÔØ, ÎÏ UDP
ÐÁËÅÔÙ ÍÏÇÕÔ ÉÄÔÉ Ó ÐÒÏÉÚ×ÏÌØÎÏÇÏ ÁÄÒÅÓÁ, ÔÁË ÞÔÏ ÍÎÏÇÉÅ IDS ÍÏÇÕÔ
ÚÁÒÅÇÉÓÔÒÉÒÏ×ÁÔØ ÓËÁÎÉÒÏ×ÁÎÉÅ Ó ÐÏÄÓÔÁ×ÎÏÇÏ ÁÄÒÅÓÁ.
óÌÏÖÎÅÅ, ÎÏ ÔÏÖÅ ×ÏÚÍÏÖÎÏ ÉÓÐÏÌØÚÏ×ÁÔØ ÓÌÅÖÅÎÉÅ ÚÁ IP ID ÄÌÑ ÐÒÏ×ÅÄÅÎÉÑ
ÁÎÏÎÉÍÎÏÇÏ UDP ÓËÁÎÉÒÏ×ÁÎÉÑ _ÎÁ ÉÚ×ÅÓÔÎÙÅ ÓÅÒ×ÉÓÙ_. ôÅÈÎÏÌÏÇÉÑ ÚÁËÌÀÞÁÅÔÓÑ ×
ÔÏÍ, ÞÔÏÂÙ ÓÐÒÏ×ÏÃÉÒÏ×ÁÔØ victim ÐÏÓÌÁÔØ UDP ÓÏÏÂÝÅÎÉÅ (×ÏÚÍÏÖÎÏ ÎÅËÏÒÒÅËÔÎÏÅ),
ËÏÔÏÒÏÅ ÂÙ ×ÙÚ×ÁÌÏ ÏÔ×ÅÔÎÕÀ ÄÁÔÁÇÒÁÍÍÕ ÎÁ dumb. åÓÌÉ ÁÔÁËÕÀÝÉÊ ÍÏÖÅÔ ÜÔÏ
ÓÄÅÌÁÔØ - ÔÏÇÄÁ dumb ÍÏÖÅÔ ÏÔ×ÅÔÉÔØ ÎÁ ÜÔÏ icmp port unreachable, ÞÔÏ ×ÙÚÏ×ÅÔ
ÓËÁÞÏË IP ID × ÉÓÈÏÄÑÝÉÈ Ó ÎÅÇÏ ÐÁËÅÔÁÈ.
íÅÔÏÄ ÐÏÚ×ÏÌÑÅÔ ÁÎÏÎÉÍÎÏ ÏÐÒÅÄÅÌÉÔØ ÎÅËÏÔÏÒÙÅ ÓÅÒ×ÉÓÙ ÎÁ victim, ËÏÔÏÒÙÅ ÍÏÖÎÏ
ÓÐÒÏ×ÏÃÉÒÏ×ÁÔØ ÎÁ ÉÓÈÏÄÑÝÅÅ UDP ÓÏÏÂÝÅÎÉÅ ÏÔÐÒÁ×ÉÔÅÌÀ. HÁÐÒÉÍÅÒ:
hping2 -i u100 -a -D -p 53 -S -r --sign 123456789012 -d 12 -s 123 --udp
÷ÙÚÙ×ÁÅÔ ÛÔÏÒÍ (100 ÐÁËÅÔÏ× × ÓÅËÕÎÄÕ) ÎÅËÏÒÒÅËÔÎÙÈ DNS ÚÁÐÒÏÓÏ× ÎÁ 53 ÐÏÒÔ
victimÀ ÞÔÏ ×ÅÄÅÔ Ë ÔÁËÏÍÕ ÖÅ ÛÔÏÒÍÕ UDP ÓÏÏÂÝÅÎÉÊ Ï ÏÛÉÂËÅ Ó victim ÎÁ dump c
ÆÌÁÇÁÍÉ 0xb3b4 (Unknown operation response, Not implemented) ÎÁ ÐÏÒÔ 123.
ëÁÖÄÏÅ ÔÁËÏÅ ÓÏÏÂÝÅÎÉÅ × Ó×ÏÀ ÏÞÅÒÅÄØ ÐÒÉ×ÅÄÅÔ Ë ÉÓÈÏÄÑÝÅÍÕ Ó dump ÎÁ victim
icmp ÓÏÏÂÝÅÎÉÀ, É ÇÌÁ×ÎÏÅ - Ë ÉÚÍÅÎÅÎÉÀ IP ID, ÞÔÏ É ÔÒÅÂÕÅÔÓÑ ÄÌÑ
ÐÏÄÔ×ÅÒÖÄÅÎÉÑ ÔÏÇÏ, ÞÔÏ ÎÁ victim ÒÁÂÏÔÁÅÔ DNS ÓÅÒ×ÅÒ. ëÁÒÔÉÎÁ ÐÒÉ 'hping2 -r'
×Ï ×ÒÅÍÑ ×ÙÛÅÏÐÉÓÁÎÎÏÇÏ ÛÔÏÒÍÁ DNS:
len=46 ip= flags=RA seq=1 ttl=128 id=+98 win=0 rtt=0.2 ms
len=46 ip= flags=RA seq=2 ttl=128 id=+101 win=0 rtt=0.4 ms
len=46 ip= flags=RA seq=3 ttl=128 id=+101 win=0 rtt=0.2 ms
len=46 ip= flags=RA seq=4 ttl=128 id=+103 win=0 rtt=0.3 ms
íÅÔÏÄ ÐÏÄÈÏÄÉÔ ÎÅ ÄÌÑ ×ÓÅÈ ÓÅÒ×ÉÓÏ×. Syslog, ÎÁÓËÏÌØËÏ Ñ ÚÎÁÀ, ×ÏÏÂÝÅ
ÎÅ×ÏÚÍÏÖÎÏ ÏÂÎÁÒÕÖÉÔØ ÔÁËÉÍ ÓÐÏÓÏÂÏÍ, Ô.Ë. ÏÎ ÍÏÌÞÁ ÐÒÏÇÌÁÔÙ×ÁÅÔ ×ÓÅ ×ÈÏÄÑÝÅÅ
ÐÏ udp/514 Ë ÓÅÂÅ × ÌÏÇ. äÌÑ ÎÅÉÚ×ÅÓÔÎÙÈ UDP ÓÅÒ×ÉÓÏ× ÍÏÖÎÏ ÐÒÏÂÏ×ÁÔØ ÎÅÓËÏÌØËÏ
ÒÁÚÎÙÈ ÐÁËÅÔÏ× (ÎÁ ÂÕÄÕÝÅÅ - ÍÏÖÎÏ ÒÁÚÒÁÂÏÔÁÔØ _ÍÉÎÉÍÁÌØÎÙÊ_ ÎÁÂÏÒ ÔÁËÉÈ
'ÏÛÉÂÏÞÎÙÈ' UDP ÄÁÔÁÇÒÁÍÍ, ÞÔÏÂÙ ÌÀÂÏÊ ÄÏÓÔÁÔÏÞÎÏ ÐÏÐÕÌÑÒÎÙÊ udp ÓÅÒ×ÉÓ ÏÔ×ÅÔÉÌ
ÈÏÔÑ ÂÙ ÎÁ ÏÄÎÕ ÉÚ ÎÉÈ. ÐÏÓËÏÌØËÕ ÄÏÓÔÁÔÏÞÎÏ ÐÒÏÓÔÏ ÓÄÅÌÁÔØ ÐÁËÅÔ ËÏÔÏÒÙÊ ÂÙÌ
ÂÙ 'ÐÌÏÈÉÍ' ÄÌÑ ÎÅÓËÏÌØËÉÈ ÓÅÒ×ÉÓÏ×, ÜÔÏÔ ÐÕÔØ ÍÎÅ ËÁÖÅÔÓÑ ÂÏÌÅÅ ÐÅÒÓÐÅËÔÉ×ÎÙÍ
ÞÅÍ ÒÁÚÒÁÂÏÔËÁ ÍÉÎÉÍÁÌØÎÏÇÏ ÎÁÂÏÒÁ ËÏÒÒÅËÔÎÙÈ ÄÁÔÁÇÒÁÍÍ), ÂÌÁÇÏ, ÞÔÏ ÌÀÂÏÊ
ÏÔ×ÅÔ victim (É ÈÏÔØ ÏÄÉÎ ÎÁ ÓËÏÌØËÏ ÕÇÏÄÎÏ ×ÈÏÄÑÝÉÈ ÐÁËÅÔÏ×) ÂÕÄÅÔ ÕÓÔÒÁÉ×ÁÔØ
ÁÔÁËÕÀÝÅÇÏ, ÔÁË ËÁË ÇÏ×ÏÒÉÔ Ï ÔÏÍ, ÞÔÏ ÐÏÒÔ ÏÔËÒÙÔØ.
äÌÑ ÏÐÒÅÄÅÌÅÎÉÑ 'ÎÅÍÙÈ' ÓÅÒ×ÉÓÏ× ÔÉÐÁ syslog ×ÏÚÍÏÖÎÏ ÉÓÐÏÌØÚÏ×ÁÎÉÅ ËÏÓ×ÅÎÎÙÈ
ÐÒÉÚÎÁËÏ×. HÁÐÒÉÍÅÒ, syslog ÎÅ ÐÏÓÙÌÁÅÔ ÏÔ×ÅÔÏ× ÎÁ ÐÒÉÈÏÄÑÝÉÅ ÄÁÔÁÇÒÁÍÍÙ, ÎÏ
ÒÅÚÏÌ×ÉÔ ip ÁÄÒÅÓÁ, Ó ËÏÔÏÒÙÈ ÐÒÉÛÌÉ ÜÔÉ ÓÏÏÂÝÅÎÉÑ. åÓÌÉ ÓÌÅÄÉÔØ ÚÁ IP ID ÎÁ
DNS ÓÅÒ×ÅÒÅ ËÏÔÏÒÙÊ ÂÕÄÅÔ ÓÐÒÏÛÅÎ × ÒÅÚÕÌØÔÁÔÅ ÒÅÓÏÌ×ÉÎÇÁ ÏÔÐÒÁ×ÌÅÎÎÏÊ syslog'Õ
ÄÁÔÁÇÒÁÍÍÙ, ÍÏÖÎÏ ÚÁÍÅÔÉÔØ ÓËÁÞÏË IP ID ÎÁ ÎÅÍ, ÞÔÏ ÂÕÄÅÔ Ó×ÉÄÅÔÅÌØÓÔ×ÏÍ ÔÏÇÏ,
ÞÔÏ ÐÏÒÔ ÏÔËÒÙÔ.
÷ ËÁÞÅÓÔ×Å DNS ÓÅÒ×ÅÒÁ ÄÌÑ ÜÔÏÊ ÁÔÁËÉ ÐÏÄÏÊÄÅÔ ÔÏÔ, ËÏÔÏÒÙÊ 1) ÏÂÌÁÄÁÅÔ
ÕÑ×ÚÉÍÏÊ ÓÈÅÍÏÊ ÇÅÎÅÒÁÃÉÉ IP ID 2) ÎÅ ÉÍÅÅÔ ÔÒÁÆÉËÁ × ÍÏÍÅÎÔ ÓËÁÎÉÒÏ×ÁÎÉÑ 3)
ÂÕÄÅÔ ÚÁÐÒÏÛÅÎ × ÍÏÍÅÎÔ ÐÏÌÕÞÅÎÉÑ ÄÁÔÁÇÒÁÍÍÙ ÎÁ ÏÔËÒÙÔÙÊ ÐÏÒÔ. üÔÏ ÍÏÖÅÔ ÂÙÔØ
ÌÉÂÏ ÄÅÆÏÌÔÎÙÊ ÎÅÊÍÓÅÒ×ÅÒ ÄÌÑ ÓËÁÎÉÒÕÅÍÏÊ ÍÁÛÉÎÙ, ÌÉÂÏ DNS, ËÏÔÏÒÙÊ ÄÅÒÖÉÔ
ÒÅ×ÅÒÓÎÕÀ ÚÏÎÕ ÄÌÑ ip ÁÄÒÅÓÁ, ËÏÔÏÒÙÊ ÁÔÁËÕÀÝÉÊ ÉÓÐÏÌØÚÏ×ÁÌ × ËÁÞÅÓÔ×Å saddr.
ðÏÍÅÈÏÊ ÍÏÇÕÔ Ñ×ÌÑÔØÓÑ 'ÐÁÒÁÚÉÔÎÙÅ ÂÜËÒÅÚÏÌ×ÅÒÙ' - ÌÀÂÙÅ ÐÒÏÇÒÁÍÍÙ, ËÏÔÏÒÙÅ
ÐÙÔÁÀÔÓÑ ×ÙÐÏÌÎÑÔØ ÂÜËÒÅÚÏÌ× ÄÌÑ ÁÄÒÅÓÏ× × ÕÓÌÙÛÁÎÎÙÈ ÉÍÉ ÐÁËÅÔÁÈ (ÓÎÉÆÆÅÒÙ,
NIDS, ÌÏÇÇÅÒÙ). þÔÏÂÙ ÐÒÏ×ÅÒÉÔØ, ÅÓÔØ ÌÉ ÔÁËÏ×ÙÅ × ÓËÁÎÉÒÕÅÍÏÊ ÓÅÔÉ ÓÔÏÉÔ
ÏÔÐÒÁ×ÉÔØ ÐÁËÅÔ ÎÁ ÚÁ×ÅÄÏÍÏ (ÎÁÉÂÏÌÅÅ ×ÅÒÏÑÔÎÏ) ÚÁËÒÙÔÙÊ ÐÏÒÔ. ïÔÓÕÔÓÔ×ÉÅ DNS
ÚÁÐÒÏÓÁ × ÜÔÏÍ ÓÌÕÞÁÅ ÇÏ×ÏÒÉÔ Ï ÂÌÁÇÏÐÒÉÑÔÎÙÈ ÕÓÌÏ×ÉÑÈ ÄÌÑ ÓËÁÎÉÒÏ×ÁÎÉÑ.
ôÁË ÖÅ ÓÌÅÄÕÅÔ ÕÞÅÓÔØ ÔÏ, ÞÔÏ DNS ÚÁÐÉÓÉ ÍÏÇÕÔ ËÜÛÉÒÏ×ÁÔØÓÑ, É ×ÔÏÒÏÊ ÐÁËÅÔ Ó
ÔÏÇÏ ÖÅ ÁÄÒÅÓÁ ÎÁ ÏÔËÒÙÔÙÊ É ÒÅÚÏÌ×ÑÝÉÊ ÓÅÒ×ÉÓ ÍÏÖÅÔ ÎÅ ×ÙÚ×ÁÔØ DNS ÚÁÐÒÏÓÁ ÎÁ
ËÏÎÔÒÏÌÉÒÕÅÍÙÊ ÓÅÒ×ÅÒ. ðÏÜÔÏÍÕ ÒÅËÏÍÅÎÄÕÅÔÓÑ ÉÓÐÏÌØÚÏ×ÁÔØ ÌÉÂÏ ÒÁÚÎÙÅ saddr ×
ÒÁÚÎÙÈ ÐÁËÅÔÁÈ, ÌÉÂÏ ÓËÁÎÉÒÏ×ÁÔØ ÞÅÒÅÚ ÄÏÓÔÁÔÏÞÎÏ ÂÏÌØÛÉÅ ÐÒÏÍÅÖÕÔËÉ ×ÒÅÍÅÎÉ,
ÞÔÏÂÙ ÚÁÐÉÓØ ÐÒÏÜËÓÐÁÒÉÌÁÓØ (×ÙÂÒÁÔØ ÈÏÒÏÕÛÕÀ ÒÅ×ÅÒÓÎÕÀ ÚÏÎÕ Ó ÎÅÂÏÌØÛÉÍ TTL).
"2 × ÓÔÅÐÅÎÉ" (2^) ÓËÁÎÉÒÏ×ÁÎÉÅ É ×ÒÅÍÅÎÎÙÅ ÏÓÏÂÅÎÎÏÓÔÉ ÓËÁÎÉÒÏ×ÁÎÉÑ.
éÓÐÏÌØÚÕÀ ËÌÁÓÓÉÞÅÓËÏÅ IP ID ÓËÁÎÉÒÏ×ÁÎÉÅ ÁÔÁËÕÀÝÉÊ ÐÏÓÌÅ ÏÔÓÙÌËÉ ÐÁËÅÔÁ ÎÁ
ÔÅÓÔÉÒÕÅÍÙÊ ÐÏÒÔ ÖÅÒÔ×Ù ÖÄÅÔ ÌÉÂÏ ÓËÁÞËÁ IP ID ÞÔÏÂÙ ÓÄÅÌÁÔØ ×Ù×ÏÄ Ï ÔÏÍ, ÞÔÏ
ÐÏÒÔ ÏÔËÒÙÔ, ÌÉÂÏ ÉÓÔÅÞÅÎÉÑ ÄÏÓÔÁÔÏÞÎÏÇÏ ×ÒÅÍÅÎÉ (ÎÁÚÏ×ÅÍ ÅÇÏ Max RTT) ÞÔÏÂÙ
ÓÄÅÌÁÔØ ×Ù×ÏÄ ÞÔÏ ÏÔ×ÅÔÁ ÎÅÔ É ÐÏÒÔ ÚÁËÒÙÔ. äÌÑ ÔÅÓÔÉÒÏ×ÁÎÉÑ ÓÌÅÄÕÀÝÅÇÏ ÐÏÒÔÁ
ÁÔÁËÕÀÝÉÊ ÏÂÑÚÁÔÅÌØÎÏ ÄÏÌÖÅÎ ÂÙÔØ Õ×ÅÒÅÎ, ÞÔÏ ÎÅÔ ÔÒÁÆÉËÁ ÏÓÔÁ×ÛÅÇÏÓÑ ÏÔ
ÐÒÅÄÙÄÕÝÅÇÏ ÔÅÓÔÉÒÏ×ÁÎÉÑ, ÔÁË ËÁË ÜÔÏ ÍÏÖÅÔ ÉÓËÁÚÉÔØ ÒÅÚÕÌØÔÁÔ: ÐÒÅÄÓÔÁ×ÉÍ
ÓÉÔÕÁÃÉÀ, ÞÔÏ ÌÉÂÏ ÐÁËÅÔ ÏÔ ÁÔÁËÕÀÝÅÇÏ ÎÁ ÏÔËÒÙÔÙÊ ÐÏÒÔ ÖÅÒÔ×Ù, ÌÉÂÏ SYN|ACK
ÐÁËÅÔ Ó ÖÅÒÔ×Ù ÚÁÄÅÒÖÁÌÉÓØ ÐÒÉ ÐÅÒÅÄÁÞÅ É ÁÔÁËÕÀÝÉÊ ÐÅÒÅÛÅÌ Ë ÔÅÓÔÉÒÏ×ÁÎÉÀ
ÓÌÅÄÕÀÝÅÇÏ ÐÏÒÔÁ (ÏÛÉÂÏÞÎÏ ÐÏÓÞÉÔÁ× ÜÔÏÔ ÔÅÓÔÉÒÕÅÍÙÊ ÐÏÒÔ ÚÁËÒÙÔÙÍ). ïÔÏÓÌÁ×
ÐÁËÅÔ ÎÁ ÓÌÅÄÕÀÝÉÊ ÐÏÒÔ ÖÅÒÔ×Ù, ÏÎ ×ÉÄÉÔ ÓËÁÞÏË IP ID ÎÁ dumb, ×ÙÚ×ÁÎÎÙÊ
ÚÁÄÅÒÖÁ×ÛÉÍÓÑ ÐÁËÅÔÏÍ ÏÔ ÐÒÅÄÙÄÕÝÅÇÏ ÔÅÓÔÉÒÏ×ÁÎÉÑ É ÄÅÌÁÅÔ ÐÏÔÅÎÃÉÁÌØÎÏ
ÏÛÉÂÏÞÎÙÊ ×Ù×ÏÄ Ï ÔÏÍ, ÞÔÏ ÔÅËÕÝÉÊ ÔÅÓÔÉÒÕÅÍÙÊ ÐÏÒÔ ÏÔËÒÙÔ. ëÒÏÍÅ ÔÏÇÏ,
×ÏÚÍÏÖÎÏ ÉÍÅÅÔÓÑ ÅÝÅ É SYN|ACK ÐÁËÅÔ ÏÔ ÜÔÏÇÏ ÐÏÒÔÁ, ËÏÔÏÒÙÊ ×ÎÅÓÅÔ Ó×ÏÉ ÐÏÍÅÈÉ
× ÔÅÓÔÉÒÏ×ÁÎÉÉ ÓÌÅÄÕÀÝÅÇÏ, É ÔÁË ÄÁÌÅÅ. ïÔÓÀÄÁ ÐÒÁ×ÉÌÏ - ÓÐÅÛÉÔØ × IP ID
ÓËÁÎÉÒÏ×ÁÎÉÉ ÎÅ ÓÔÏÉÔ.
óÅÔØ ÍÏÖÅÔ ÄÏÓÔÁ×ÌÑÔØ ÍÅÇÁÂÁÊÔÙ × ÓÅËÕÎÄÕ, É ÉÍÅÔØ ÏÞÅÎØ ÎÅÂÏÌØÛÕÀ ×ÅÌÉÞÉÎÕ
RTT, ÎÏ ÅÓÌÉ ÎÁ ÎÅÊ ÉÚÒÅÄËÁ ×ÓÔÒÅÞÁÀÔÓÑ ÄÏÓÔÁÔÏÞÎÏ ÂÏÌØÛÉÅ ÚÁÄÅÒÖËÉ, ÜÔÏ
×ÙÎÕÖÄÁÅÔ ÉÓÐÏÌØÚÏ×ÁÔØ ÂÏÌØÛÉÅ ÚÎÁÞÅÎÉÑ ÄÌÑ MaxRTT. á ÐÏÓËÏÌØËÕ ÐÒÉ ÈÏÒÏÛÅÍ
ÔÅÓÔÉÒÏ×ÁÎÉÉ ÐÒÏ×ÅÒÑÅÔÓÑ ÍÎÏÇÏ ÐÏÒÔÏ×, ÉÚ ËÏÔÏÒÙÈ ÐÏÄÁ×ÌÑÀÝÅÅ ÂÏÌØÛÉÎÓÔ×Ï -
ÚÁËÒÙÔÙ, ×ÒÅÍÑ ÓËÁÎÉÒÏ×ÁÎÉÑ ÍÏÖÅÔ ÂÙÔØ ÒÁ×ÎÏ ÐÏÞÔÉ MaxRTT * numports. ðÒÉ ÔÁËÏÍ
ÄÏÓÔÁÔÏÞÎÏ ÄÌÉÔÅÌØÎÏÍ ×ÒÅÍÅÎÉ ÅÔÓÔÉÒÏ×ÁÎÉÑ ×ÙÓÏËÁ ×ÅÒÏÑÔÎÏÓÔØ ÐÏÑ×ÌÅÎÉÑ
ÐÏÓÔÏÒÏÎÎÅÇÏ ÔÒÁÆÉËÁ, ËÏÔÏÒÙÊ ÍÏÖÅÔ ÓÂÉÔØ ÒÅÚÕÌØÔÁÔÙ ÔÅÓÔÉÒÏ×ÁÎÉÑ. ïÔÓÀÄÁ
ÐÒÁ×ÉÌÏ - ÓËÁÎÉÒÏ×ÁÔØ ÎÕÖÎÏ ÂÙÓÔÒÏ.
èÏÒÏÛÉÍ ÒÅÛÅÎÉÅÍ ÂÙÌÏ ÂÙ ÏÄÎÏ×ÒÅÍÅÎÎÏÅ ÓËÁÎÉÒÏ×ÁÎÉÅ ÎÅÓËÏÌØËÉÈ ÐÏÒÔÏ×. HÏ
ÁÔÁËÕÀÝÉÊ ÎÅ ÚÎÁÅÔ ÏÔ×ÅÔÎÙÅ ÐÁËÅÔÙ Ó ËÁËÉÈ ÐÏÒÔÏ× ×ÙÚ×ÁÌÉ ÐÒÉÒÁÝÅÎÉÅ IP ID, ÎÏ
ÚÎÁÅÔ ×ÅÌÉÞÉÎÕ ÜÔÏÇÏ ÐÒÉÒÁÝÅÎÉÑ. åÓÌÉ ÐÒÉ ÏÄÎÏ×ÒÅÍÅÎÎÏÍ ÓËÁÎÉÒÏ×ÁÎÉÉ ÎÅÓËÏÌØËÉÈ
ÐÏÒÔÏ× ÎÁ ËÁÖÄÙÊ ÏÔÓÙÌÁÔØ ÒÁÚÎÏÅ ËÏÌÉÞÅÓÔ×Ï ÐÁËÅÔÏ× (ÐÏ ÓÔÅÐÅÎÑÍ Ä×ÏÊËÉ), ÔÏ ÐÏ
ÉÔÏÇÏ×ÏÍÕ ÐÒÉÒÁÝÅÎÉÀ IP ID ÍÏÖÎÏ ÌÅÇËÏ ÐÒÅÄÓÔ×ÁÉÔØ ËÁËÉÅ ÐÏÒÔÙ ÏÔËÒÙÔÙ. äÌÑ
ÐÒÉÍÅÒÁ ÒÁÓÓÍÏÔÒÉÍ ÓÉÔÕÁÃÉÀ ËÏÇÄÁ ÏÄÎÏ×ÒÅÍÅÎÎÏ ÓËÁÎÉÒÕÀÔÓÑ ÐÏÒÔÙ 21,22,25 É 80.
ïÔÐÒÁ×ÌÑÅÔÓÑ 1 ÐÁËÅÔ ÎÁ 21 ÐÏÒÔ, 2 ÎÁ 22, 4 ÎÁ 25 É 8 ÎÁ 80. ÷ÓÅÇÏ 15 ÐÁËÅÔÏ×.
äÏÐÕÓÔÉÍ, ÉÔÏÇÏ×ÏÅ ÐÒÉÒÁÝÅÎÉÅ ÓÏÓÔÁ×ÉÌÏ 7. 7=1+2+4. äÅÌÁÅÍ ×Ù×ÏÄ ÞÔÏ ÏÔËÒÙÔÙ
ÐÏÒÔÙ 21,22,25, Á 80-ÙÊ - ÚÁËÒÙÔ.
÷ ÐÒÉÎÃÉÐÅ, 2^ ÍÏÖÎÏ ÓÞÉÔÁÔØ ÂÏÌÅÅ ÏÂÝÅÊ ÔÅÈÎÏÌÏÇÉÅÊ, ÔÁË ËÁË ÐÒÉ ÏÄÎÏ×ÒÅÍÅÎÎÏÍ
ÓËÁÎÉÒÏ×ÁÎÉÉ ÏÄÎÏÇÏ ÐÏÒÔÁ ÏÎÁ ×ÙÒÏÖÄÁÅÔÓÑ × ËÁÎÏÎÉÞÅÓËÉÊ ×ÁÒÉÁÎÔ IP ID
ÓËÁÎÉÒÏ×ÁÎÉÑ.
HÁÄÅÖÎÏÓÔØ ÍÅÔÏÄÁ: ÌÉÛÎÉÊ ÉÌÉ ÐÏÔÅÒÑÎÙÊ ÐÁËÅÔ ×ÎÏÓÑÔ ÏÛÉÂËÕ ËÁË ÐÒÉ ÏÂÙÞÎÏÍ
ÓËÁÎÉÒÏ×ÁÎÉÉ, ÔÁË É ÐÒÉ "2 × ÓÔÅÐÅÎÉ" ÅÇÏ ÍÏÄÉÆÉËÁÃÉÉ. HÏ × ÐÏÓÌÅÄÎÅÍ ÓÌÕÞÁÅ
ÏÛÉÂËÁ ÎÅÓÅÔ ÂÏÌØÛÉÊ ÄÅÆÅËÔ (ÅÓÌÉ ÂÙ ×ÍÅÓÔÏ ÐÒÁ×ÉÌØÎÙÈ 7 × ÐÒÉÒÁÝÅÎÉÅ ÏËÁÚÁÌÏÓØ
ÒÁ×ÎÙÍ 8, ÒÅÚÕÌØÔÁÔÙ ÂÙÌÉ ÂÙ ÁÂÓÏÌÀÔÎÏ ÐÒÏÔÉ×ÏÐÏÌÏÖÎÙÍÉ). äÌÑ ÎÁÄÅÖÎÏÓÔÉ
ÒÅËÏÍÅÎÄÕÅÔÓÑ ÐÏ×ÔÏÒÉÔØ ÓËÁÎÉÒÏ×ÁÎÉÅ, ÖÅÌÁÔÅÌØÎÏ ÉÓÐÏÌØÚÏ×Á× ÄÒÕÇÉÅ ËÏÌÉÞÅÓÔ×Á
ÐÁËÅÔÏ× ÄÌÑ ÐÏÒÔÏ×, ÞÅÍ ÐÅÒ×ÏÎÁÞÁÌØÎÏ. ïÄÎÏ×ÒÅÍÅÎÎÏ ÍÏÖÎÏ ÔÅÓÔÉÒÏ×ÁÔØ É ÂÏÌØÛÅ
ÐÏÒÔÏ×, ÎÏ ÓÌÅÄÕÅÔ ÚÎÁÔØ ÍÅÒÕ - ÏÄÎÏ×ÒÅËÍÅÎÎÏÅ ÔÅÓÔÉÒÏ×ÁÎÉÅ 10 ÐÏÒÔÏ× ÐÏÔÒÅÂÕÅÔ
ÐÏÓÌÁÔØ 1023 (ÏÞÅÎØ ÎÅÂÏÌØÛÉÈ) ÐÁËÅÔÁ. äÌÑ ÓÔÁ ÐÏÒÔÏ× ÜÔÏ ÞÉÓÌÏ ÓÔÁÎÏ×ÉÔØÓÑ ÕÖÅ
ÓÏ×ÅÒÛÅÎÎÏ ÎÅÐÒÉÅÍÌÉÍÙÍ.
HÅÐÒÉÑÔÎÏÓÔÉ ÏÔ ÍÅÌËÉÈ ÐÏÔÅÒØ ÉÌÉ 'ÎÁÈÏÄÏË' ÐÁËÅÔÏ× ÁÔÁËÕÀÝÉÊ ÍÏÖÅÔ ÏÂÏÊÔÉ ÅÓÌÉ
ÏÄÉÎÁËÏ×Ï × ÎÅÓËÏÌØËÏ ÒÁÚ ÒÁÚ Õ×ÅÌÉÞÉÔ ËÏÌÉÞÅÓÔ×Ï ÓËÁÎÉÒÕÀÝÉÈ ÐÁËÅÔÏ× ÎÁ ËÁÖÄÙÊ
ÐÏÒÔ (e.g. 1,2,4,8 -> 5,10,20,40).
óËÒÙÔÎÏÅ ÓÌÅÖÅÎÉÅ ÚÁ ÉÚÍÅÎÅÎÉÅÍ IP ID
ôÒÁÆÉË, ËÏÔÏÒÙÊ ÐÒÏÉÓÈÏÄÉÔ ÍÅÖÄÕ dumb É ÁÔÁËÕÀÝÉÍ ×Ï ×ÒÅÍÑ ÓËÁÎÉÒÏ×ÁÎÉÑ ÐÏ
ËÌÁÓÓÉÞÅÓËÏÊ IP ID ÓÈÅÍÅ ÉÍÅÅÔ Ä×Å ÎÅÐÒÉÑÔÎÙÈ ÄÌÑ ×ÚÌÏÍÝÉËÁ ÏÓÏÂÅÎÎÏÓÔÅÊ:
ïÎ ÎÅ ÓÐÅÃÉÆÉÞÅÎ ÎÉ ÄÌÑ ËÁËÏÊ 'ÌÅÇÁÌØÎÏÊ' ÄÅÑÔÅÌØÎÏÓÔÉ, É ×ÙÚÙ×ÁÅÔ ÓÉÌØÎÙÅ
ÐÏÄÏÚÒÅÎÉÑ.
ïÎ ÓÏÄÅÒÖÉÔ ÒÅÁÌØÎÙÊ ÁÄÒÅÓ ÁÔÁËÕÀÝÅÇÏ, É ÄÏÓÔÁÔÏÞÎÏ Ë×ÁÌÉÆÉÃÉÒÏ×ÁÎÎÙÊ
ÓÐÅÃÉÁÌÉÓÔ ÐÏ ÚÁÝÉÔÅ ÉÎÆÏÒÍÁÃÉÉ, ÓÐÏÓÏÂÅÎ ÓËÏÎ×ÅÒÔÉÒÏ×ÁÔØ ÜÔÉ Ó×ÏÉ ÐÏÄÏÚÒÅÎÉÑ
×Ï ×ÐÏÌÎÅ ËÏÎËÒÅÔÎÙÊ ÁÄÒÅÓ ×ÚÌÏÍÝÉËÁ.
óÕÝÅÓÔ×ÕÅÔ ×ÏÚÍÏÖÎÏÓÔØ ÄÌÑ ×ÚÌÏÍÝÉËÁ ×ÙÐÏÌÎÑÔØ ÓÌÅÖÅÎÉÅ ÚÁ IP ID ÂÅÚ ÇÅÎÅÒÁÃÉÉ
ÔÁËÏÇÏ ÐÏÄÏÚÒÉÔÅÌØÎÏÇÏ ÔÒÁÆÉËÁ. ÷ÓÅ ÞÔÏ ÎÕÖÎÏ ×ÚÌÏÍÝÉËÕ - ÜÔÏ ËÁË ÒÁÚ ÔÏ, ÞÔÏ
dumb ÓÁÍ ÏÔÓÙÌÁÅÔ × ËÁÖÄÏÍ IP ÐÁËÅÔÅ! ðÏ ÜÔÏÍÕ ÓÌÅÄÑÝÉÊ ÔÒÁÆÉË ÍÏÖÎÏ
ÚÁÍÁÓËÉÒÏ×ÁÔØ ÐÏÄ ÌÀÂÏÊ ÄÒÕÇÏÊ, ÎÁÐÒÉÍÅÒ, ÐÏÄ ÐÅÒÅËÁÞËÕ ÆÁÊÌÏ× ÐÏ ftp.
ôÅÈÎÏÌÏÇÉÑ ÓËÁÎÉÒÏ×ÁÎÉÑ ÐÒÉ ÓËÒÙÔÎÏÍ ÓÌÅÖÅÎÉÉ ÚÁ IP ID:
HÁ ÁÔÁËÕÀÝÅÍ ×ÅÄÅÔÓÑ ÚÁÐÉÓØ (ÖÅÌÁÔÅÌØÎÏ ÓÏ ×ÒÅÍÅÎÅÍ) ×ÓÅÈ ÐÒÉÈÏÄÑÝÉÈ Ó dumb ip
ÐÁËÅÔÏ×. (ÎÁÐÒÉÍÅÒ, Ó ÐÏÍÏÝØÀ ethereal ÉÌÉ tcpdump). éÎÔÅÒÅÓÕÅÔ ÔÏÌØËÏ ID ÐÏÌÅ.
úÁÐÏÍÉÎÁÅÔÓÑ IP ID × ÐÅÒ×ÏÍ ÐÁËÅÔÅ (IPID_First).
áÔÁËÕÀÝÉÊ ÉÎÉÃÉÉÒÕÅÔ ËÁËÏÊ-ÌÉÂÏ ÔÒÁÆÉË Ó dump, ÎÁÐÒÉÍÅÒ, ÎÁÞÉÎÁÅÔ ×ÙËÁÞÉ×ÁÎÉÅ
ÆÁÊÌÁ ÞÅÒÅÚ ftp.
÷ÙÐÏÌÎÑÅÔÓÑ ÐÒÏ×ÅÒËÁ ÐÏÒÔÏ× victim, (ÒÁÓÓÍÏÔÒÉÍ ×ÁÒÉÁÎÔ Ó ÉÓÐÏÌØÚÏ×ÁÎÉÅÍ "2^"
ÍÅÔÏÄÁ.)
þÅÒÅÚ ÎÅËÏÔÏÒÏÅ ×ÒÅÍÑ (MaxRTT) ÆÉËÓÉÒÕÅÔÓÑ ÔÅËÕÝÅÅ ÚÎÁÞÅÎÉÅ IP ID (IPID_Last) É
ÏÂÝÅÅ ËÏÌÉÞÅÓÔ×Ï ÐÏÌÕÞÅÎÙÈ ÐÁËÅÔÏ× (ÏÔ First ÄÏ Last ×ËÌÀÞÉÔÅÌØÎÏ) -
NumPackets.
ðÏ ÐÒÏÓÔÏÊ ÆÏÒÍÕÌÅ NumReplies = IPID_Last - IPID_First - NumPackets +1 ÐÏÌÕÞÁÅÍ
ÉÎËÒÅÍÅÎÔ IP ID, ËÏÔÏÒÙÊ ÂÙÌ ×ÙÚ×ÁÎ ÓËÁÎÉÒÏ×ÁÎÉÅÍ. ðÏ ÎÅÍÕ, ËÁË ÏÐÉÓÙ×ÁÌÏÓØ
×ÙÛÅ, ÍÏÖÎÏ ÐÏÌÕÞÉÔØ ÉÎÆÏÒÍÁÃÉÀ ÐÏ ÓÏÓÔÏÑÎÉÀ ÐÏÒÔÏ×.
ðÏÓÌÅ ÐÒÏ×ÅÒËÉ ÐÅÒ×ÏÊ ÇÒÕÐÐÙ ÐÏÒÔÏ× ÍÏÖÎÏ ÐÅÒÅÊÔÉ Ë ÓÌÅÄÕÀÝÅÊ ÓÂÒÏÓÉ×
NumPackets É ÚÁÎÏ×Ï ÐÅÒÅÉÎÉÃÉÁÌÉÚÉÒÏ×Á× IPID_First. ðÒÉ ÜÔÏÍ ÓÌÅÄÑÝÉÊ ÔÒÁÆÉË
ÍÏÖÎÏ ÎÅ ÐÒÅÒÙ×ÁÔØ.
÷ ÒÅÚÕÌØÔÁÔÅ ÎÁ dumb ÈÏÔØ É ÐÒÉÓÕÔÓÔ×ÕÅÔ ÔÒÁÆÉË Ó ÒÅÁÌØÎÙÍ ÁÄÒÅÓÏÍ ÁÔÁËÕÀÝÅÇÏ,
ÏÎ ÓÏ×ÅÒÛÅÎÎÏ ÌÅÇÁÌÅÎ É ÓÁÍ ÐÏ ÓÅÂÅ ÎÅ ×ÙÚÙ×ÁÅÔ ÐÏÄÏÚÒÅÎÉÊ ÎÉ Õ ÓÉÓÔÅÍ
ÏÂÎÁÒÕÖÅÎÉÑ ×ÔÏÒÖÅÎÉÊ ÎÉ Õ ÜËÓÐÅÒÔÏ×. é ÈÏÔØ ×ÓÅ ÒÁ×ÎÏ ÏÂÎÁÒÕÖÉÔØ ËÏÒÒÅÌÑÃÉÀ
ÍÅÖÄÕ ÓËÁÞÉ×ÁÎÉÅÍ ÆÁÊÌÁ É ÓËÁÎÉÒÏ×ÁÎÉÅÍ ÕÄÁÌÅÎÎÏÊ ÓÉÓÔÅÍÙ × ÐÒÉÎÃÉÐÅ ×ÏÚÍÏÖÎÏ,
"HÉËÔÏ ÎÅ ÍÏÖÅÔ ÂÙÔØ ÏÓÕÖÄÅÎ ÚÁ ÓËÁÞÉ×ÁÎÉÅ ÐÕÂÌÉÞÎÏÇÏ ÆÁÊÌÁ".
õÑÚ×ÉÍÙÅ ÓÉÓÔÅÍÙ É ÓÐÏÓÏÂÙ ÐÒÏ×ÅÒËÉ
äÌÑ ÐÒÏÓÔÏÊ ÐÒÏ×ÅÒËÉ ÍÏÖÎÏ ÉÓÐÏÌØÚÏ×ÁÔØ :
hping2 -r
ïÔ×ÅÔÙ Ó ÐÏÓÔÏÑÎÎÙÍ ÐÒÉÒÁÝÅÎÉÅÍ id ÎÁ 1:
len=46 ip= flags=RA seq=0 ttl=128 id=23994 win=0 rtt=1.4 ms
len=46 ip= flags=RA seq=1 ttl=128 id=+1 win=0 rtt=0.3 ms
len=46 ip= flags=RA seq=2 ttl=128 id=+1 win=0 rtt=0.3 ms
len=46 ip= flags=RA seq=3 ttl=128 id=+1 win=0 rtt=0.3 ms
ÇÏ×ÏÒÑÔ Ï ÕÑÚ×ÉÍÏÓÔÉ ÓÉÓÔÅÍÙ (ÓÍ. ÎÉÖÅ.).
äÌÑ ÐÒÏÈÏÄÁ ÚÁ ÆÁÊÒ×ÏÌ ÎÏÇÄÁ ÍÏÖÅÔ ÉÍÅÔØ ÓÍÙÓÌ ÕËÁÚÁÎÉÅ ÔÏÞÎÙÈ ÚÎÁÞÅÎÉÊ ÐÏÒÔÁ É
ÆÌÁÇÏ×. (ÐÏ ÕÍÏÌÞÁÎÉÀ hping2 ÐÏÓÙÌÁÅÔ ÎÁ 0-ÏÊ ÐÏÒÔ). e.g. åÓÌÉ ÓÉÓÔÅÍÁ ÉÍÅÅÔ
ÏÔËÒÙÔÙÊ www ÓÅÒ×ÅÒ, ÉÍÅÅÔ ÓÍÙÓÌ ÕËÁÚÁÔØ ÏÐÃÉÉ -S É -p 80, ÔÏÇÄÁ ÜÔÏ ÂÕÄÅÔ
ÁÂÓÏÌÀÔÎÏ ÎÏÒÍÁÌØÎÙÍ ÏÂÒÁÝÅÎÉÅÍ Ë www ÓÅÒ×ÅÒÕ Ó ÔÏÞËÉ ÚÒÅÎÉÑ ÐÒÁ×ÉÌ ÆÁÊÒ×ÏÌÁ.
ðÏcËÏÌØËÕ RFC ÐÏÚ×ÏÌÑÅÔ ÓÉÓÔÅÍÁÍ ÉÓÐÏÌØÚÏ×ÁÔØ ÒÁÚÎÙÅ ÚÎÁÞÅÎÉÑ ip id ÄÌÑ ÒÁÚÎÙÈ
ÓÏÅÄÉÎÅÎÉÊ, ÄÌÑ ÂÏÌØÛÅÊ ÔÏÞÎÏÓÔÉ ÓÔÏÉÔ ÐÒÏ×ÅÒÉÔØ, ÞÔÏ ÔÒÁÆÉË ÐÏ ÄÒÕÇÏÍÕ
ÓÏÅÄÉÎÅÎÉÀ ×ÌÉÑÅÔ ÎÅ IP ID ÐÅÒ×ÏÇÏ ÓÏÅÄÉÎÅÎÉÑ. íÏÖÎÏ ÄÌÑ ÐÒÏ×ÅÒËÉ
ÐÒÏÔÅÓÔÉÒÏ×ÁÔØ ÎÅÓËÏÌØËÏ ÐÏÒÔÏ×, ÓÔÁÔÕÓ ËÏÔÏÒÙÈ ÚÁÒÁÎÅÅ ÉÚ×ÅÓÔÅÎ.
÷ÏÔ ÓÐÉÓÏË ÉÚ ÎÅÓËÏÌØËÉÈ ÐÒÏ×ÅÒÅÎÎÙÈ ÓÉÓÔÅÍ, × ÍÏÅÍ ÓÌÕÞÁÅ ÒÅÚÕÌØÔÁÔÙ ÂÙÌÉ
ÔÁËÉÍÉ:
Linux kernel 2.4.2, 2.4.18 - NOT vulnerable.
Linux kernel 2.2.17 - vulnerable
FreeBSD 4.6-RC - NOT vulnerable
Windows 2000 Server - vulnerable
Windows XP - vulnerable
Cisco PIX Firewall 525 ver. 6.1(2)- vulnerable
Cisco Content Service Switch (CSS 11150) - vulnerable
Cisco router 2600, 3600 - vulnerable
÷ÓÅ ÔÅÓÔÙ ÐÒÏ×ÏÄÉÌÉÓØ ÎÁ ÏÔËÒÙÔÙÈ ÐÏÒÔÁÈ.
óÅÔÅ×ÙÅ ÈÁÒÁËÔÅÒÉÓÔÉËÉ ÁÔÁËÉ
ôÒÁÆÉË ÎÁ victim
ôÒÁÆÉË ÎÁ victim ÐÒÉ ÓËÁÎÉÒÏ×ÁÎÉÉ Ó ÉÓÐÏÌØÚÏ×ÁÎÉÅÍ ÈÏÓÔÁ dumb, ÐÏÒÔÁ 80.
óËÁÎÉÒÏ×ÁÌÓÑ ÏÔËÒÙÔÙÊ ÐÏÒÔ 22 (ssh).
0.489813 dumb -> victim TCP www > ssh [SYN] Seq=3375705111 Ack=0 Win=2048 Len=0
0.489880 victim -> dumb TCP ssh > www [SYN, ACK] Seq=2194740763 Ack=3375705112
Win=5840 Len=0
0.490013 dumb -> victim TCP www > ssh [RST] Seq=3375705112 Ack=3375705112 Win=0
0.490013 dumb -> Len=0
÷ ÓÌÅÄÕÀÝÅÍ ÐÒÉÍÅÒÅ ÓËÁÎÉÒÏ×ÁÌÓÑ ÚÁËÒÙÔÙÊ ÐÏÒÔ 23 telnet.
23.097869 dumb -> victim TCP www > telnet [SYN] Seq=619834409 Ack=0 Win=3072
23.097869 dumb -> Len=0
23.097911 victim -> dumb TCP telnet > www [RST, ACK] Seq=0 Ack=619834410 Win=0
Len=0
ëÁË ×ÉÄÉÍ, ÎÉÇÄÅ ÎÅ ×ÓÔÒÅÞÁÅÔÓÑ ÁÄÒÅÓ ÁÔÁËÕÀÝÅÇÏ, Á ËÁÒÔÉÎÁ ÁÎÁÌÏÇÉÞÎÁ ÏÂÙÞÎÏÍÕ
SYN ÓËÁÎÉÒÏ×ÁÎÉÀ. IDS ÎÁ victim ÒÁÂÏÔÁÅÔ ÔÁË ÖÅ, ËÁË É × ÓÌÕÞÁÅ Ó SYN
ÓËÁÎÉÒÏ×ÁÎÉÅÍ. HÅ×ÏÚÍÏÖÎÏ ÐÏ ÜÔÏÍÕ ÔÒÁÆÉËÕ ÏÐÒÅÄÅÌÉÔØ Ñ×ÌÑÅÔÓÑ ÌÉ ÜÔÏ dumb
ÓËÁÎÏÍ ÉÌÉ ÎÅÔ.
ôÒÁÆÉË ÎÁ dumb
÷Ï-ÐÅÒ×ÙÈ ×Ï ×ÒÅÍÑ ÁÔÁËÉ ÎÁ ÓÉÓÔÅÍÅ dumb ÎÁÂÌÀÄÁÅÔÓÑ ÐÅÒÉÏÄÉÞÅÓËÉÊ ÔÒÁÆÉË Ó
ÁÔÁËÕÀÝÉÍ, ÎÅÏÂÈÏÄÉÍÙÊ ÅÍÕ ÄÌÑ ÓÌÅÖÅÎÉÑ ÚÁ ÉÚÍÅÎÅÎÉÑÍÉ IP ID, ×Ï ×ÔÏÒÙÈ ÉÎÏÇÄÁ
ÐÒÉÈÏÄÑÔ ÓÏÏÂÝÅÎÉÑ ÏÔ victim (RST ÌÉÂÏ SYN|ACK × ÓÌÕÞÁÅ TCP ÓËÁÎÉÒÏ×ÁÎÉÑ).
ëÁË IDS × ÓÅÔÉ dumb ÍÏÖÅÔ ÏÂÎÁÒÕÖÉÔØ ÉÓÐÏÌØÚÏ×ÁÎÉÅ ÚÁÝÉÝÁÅÍÏÊ ÍÁÛÉÎÙ × ËÁÞÅÓÔ×Å
ÒÅÌÅÑ? äÕÍÁÅÔÓÑ, ÒÁÚÕÍÎÏ ÂÕÄÅÔ ÓÞÉÔÁÔØ ÐÒÉÚÎÁËÏÍ ÁÔÁËÉ ÎÁÌÉÞÉÅ ÏÄÎÏ×ÒÅÍÅÎÎÏ
ÓÌÅÄÕÀÝÉÈ ÆÁËÔÏÒÏ×:
ÔÒÁÆÉËÁ ×ÉÄÁ [victim: SYN|ACK, dumb: RST] É [victim: RST] ÐÒÉ ÏÔÓÕÔÓÔ×ÉÅ ÉÎÏÇÏ
ÔÒÁÆÉËÁ ÍÅÖÄÕ ÜÔÉÍÉ ÓÉÓÔÅÍÁÍÉ. üÔÏ ÇÏ×ÏÒÉÔ Ï ÔÏÍ, ÞÔÏ ÍÁÛÉÎÁ victim ÐÏÌÕÞÁÅÔ
TCP SYN|ACK ÐÁËÅÔÙ Ó ÐÏÄÄÅÌØÎÙÍ source addr = dumb.
ìÀÂÏÇÏ IP ÔÒÁÆÉËÁ Ó ËÁËÏÊ-ÌÉÂÏ ÏÄÎÏÊ ÍÁÛÉÎÏÊ (ÓÞÉÔÁÅÍÏÊ ÚÁ ÁÔÁËÕÀÝÅÇÏ). (ÔË ÜÔÏ
ÍÏÖÅÔ ÂÙÔØ ÓÌÅÖÅÎÉÅÍ ÚÁ IP ID ÎÁ dumb)
ÐÁÓÓÉ×ÎÏÅ ÎÁÂÌÀÄÅÎÉÅ ÚÁ dumb (×Ï ×ÒÅÍÑ ÓËÁÎÉÒÏ×ÁÎÉÑ) ÐÏËÁÚÙ×ÁÅÔ, ÞÔÏ ÜÔÁ ÍÁÛÉÎÁ
ÕÑÚ×ÉÍÁ ÄÌÑ ÁÔÁËÉ É ×Ï ×ÒÅÍÑ ÓËÁÎÉÉÒÏ×ÁÎÉÑ ×ÅÄÅÔ ÓÅÂÑ ÓÏÏÔ×ÅÔÓÔ×ÅÎÎÏ -
ÍÏÎÏÔÏÎÎÏ Õ×ÅÌÉÞÉ×ÁÑ IP ID Ó ËÁÖÄÙÍ ÏÔÐÒÁ×ÌÅÎÎÙÍ ÐÁËÅÔÏÍ.
ëÒÏÍÅ ÔÏÇÏ, ÄÌÑ 2^ ÍÏÄÉÆÉËÁÃÉÉ, ÐÅÒ×ÙÊ ÆÁËÔÏÒ ÂÕÄÅÔ ÄÏÐÏÌÎÉÔÅÌØÎÏ
ÈÁÒÁËÔÅÒÉÚÉÒÏ×ÁÔØÓÑ ÔÅÍ, ÞÔÏ ËÏÌÉÞÅÓÔ×Ï ÐÁËÅÔÏ× Ó ËÁÖÄÏÇÏ ÐÏÒÔÁ dumb ÂÕÄÅÔ
Ñ×ÌÑÔÓÑ ÓÔÅÐÅÎØÀ Ä×ÏÊËÉ.
ñÚÙË ÏÐÉÓÁÎÉÑ ÓÉÇÎÁÔÕÒ ÁÔÁË ÐÒÏÓÔÙÈ IDS ÔÉÐÁ snort ÎÅ ÐÏÚ×ÏÌÑÅÔ ÏÂÎÁÒÕÖÉ×ÁÔØ
ÔÁËÏÇÏ ÒÏÄÁ ÓÉÇÎÁÔÕÒÕ, ÔÁË ÞÔÏ ÄÌÑ ÜÔÏÇÏ ÎÕÖÎÏ ÉÓÐÏÌØÚÏ×ÁÔØ ÉÓÐÏÌØÚÏ×ÁÔØ
ÐÒÅÐÒÏÃÅÓÓÏÒÙ ÎÁ C. éÓÐÏÌØÚÕÅÍÙÊ × NFR IDS ÑÚÙË NCode, ÎÁÓËÏÌØËÏ Ñ ÚÎÁÀ,
ÄÏÓÔÁÔÏÞÎÏ ÇÉÂÏË ÄÌÑ ÜÔÏÇÏ.
úÁÍÅÞÕ ÔÁË ÖÅ, ÞÔÏ ÜÔÏ Hå ÉÄÅÁÌØÎÁÑ ÈÁÒÁËÔÅÒÉÓÔÉËÁ ÁÔÁËÉ, É ÉÍÅÅÔ Ó×ÏÉ ÓÐÏÓÏÂÙ
ÏÂÈÏÄÁ É Ó×ÏÉ false positives.
óÐÏÓÏÂÙ ÐÒÏÔÉ×ÏÄÅÊÓÔ×ÉÑ ÁÔÁËÅ
äÌÑ ÓÉÓÔÅÍÙ ÂÅÚÏÐÁÓÎÏÓÔÉ ÓÅÔÉ, × ËÏÔÏÒÏÊ ÎÁÈÏÄÉÔÓÑ dumb - ×ÏÚÍÏÖÎÙ ÎÅÓËÏÌØËÏ
×ÉÄÏ× ÒÅÁËÃÉÉ:
ÚÁËÒÙÔÉÅ ÎÁ ÆÁÊÒ×ÏÌÅ ÔÒÁÆÉËÁ Ó ÐÏÄÏÚÒÅ×ÁÅÍÙÍ × ÁÔÁËÅ. ë ÓÏÖÁÌÅÎÉÀ, ÜÔÏ ÏÞÅÎØ
ÏÐÁÓÎÁÑ ÍÅÒÁ, ÔÁË ËÁË ×ÏÚÍÏÖÎÏ ÓÙÍÉÔÉÒÏ×ÁÔØ ÓÉÔÕÁÃÉÀ, ÎÁ ËÏÔÏÒÕÀ ÓÒÁÂÏÔÁÅÔ
ÔÒÉÇÇÅÒ IDS É ÎÅ×ÉÎÏ×ÎÙÊ ÈÏÓÔ ÏËÁÖÅÔÓÑ ÚÁÂÌÏËÉÒÏ×ÁÎÙÍ.
ÕÓÔÁÎÏ×ËÁ ÈÏÒÏÛÅÇÏ stateful ÆÁÊÒ×ÏÌÁ, ËÏÔÏÒÙÅ ÎÅ ÐÒÏÐÕÓÔÉÔ ÎÅ ÏÖÉÄÁÅÍÙÊ ÔÒÁÆÉË
Ó victim ÎÁ dumb, ÔÁË ÞÔÏ ÉÚÍÅÎÅÎÉÅ IP ID ÐÏÓÌÅÄÎÅÇÏ ÎÅ ÂÕÄÅÔ ÐÒÅÄÓÔÁ×ÌÑÔØ
ÉÎÔÅÒÅÓÁ ÄÌÑ ×ÚÌÏÍÝÉËÁ.
äÏÂÁ×ÌÅÎÉÅ × ÆÁÊÒ×ÏÌ ÆÕÎËÃÉÉ ÉÚÍÅÎÅÎÉÑ IP ID ÉÓÈÏÄÑÝÉÈ ÐÁËÅÔÏ×. ÷ ÐÒÏÓÔÏÍ
ÓÌÕÞÁÅ ÍÏÖÎÏ ÔÒÉ×ÉÁÌØÎÏ ÚÁÔÉÒÁÔØ ÉÈ ËÏÎÓÔÁÎÔÏÊ (ÖÅÌÁÔÅÌØÎÏ Ó ÕÓÔÁÎÏ×ÌÅÎÉÅÍ
ÆÌÁÇÁ DF), ÎÏ ÔÏÇÄÁ ÍÙ ÔÅÒÑÅÍ ×ÏÚÍÏÖÎÏÓÔØ ÆÒÁÇÍÅÎÔÁÃÉÉ. ÷ ÂÏÌÅÅ ÓÅÒØÅÚÎÏÍ
ÓÌÕÞÁÅ - ÆÁÊÒ×ÏÌ ÄÏÌÖÅÎ ÓÁÍ ÉÍÅÔØ Ó×ÏÊ ÎÁÄÅÖÎÙÊ ÁÌÇÏÒÉÔÍ ÇÅÎÅÒÁÃÉÉ IP ID É
ÐÒÉÓ×ÁÉ×ÁÔØ ÐÁËÅÔÁÍ ÚÎÁÞÅÎÉÑ ÉÚ ÜÔÏÇÏ ÇÅÎÅÒÁÔÏÒÁ.
äÌÑ ÁÔÁËÕÅÍÏÊ ÓÅÔÉ:
ïÂÙÞÎÙÅ ÄÅÊÓÔ×ÉÑ ÓÐÅÃÉÆÉÞÎÙÅ ÄÌÑ SYN- ÓËÁÎÉÒÏ×ÁÎÉÑ. õ×Ù, ÚÁËÒÙÔØ ÉÓÔÏÞÎÉË ÁÔÁËÉ
(dumb) ÏÐÑÔØ ÖÅ ÎÅÌØÚÑ, ÔÁË ËÁË ÁÔÁËÕ ÌÅÇËÏ ÓÙÍÉÔÉÒÏ×ÁÔØ. ïÄÉÎ ÉÚ ×ÁÒÉÁÎÔÏ×
ÚÁÝÉÔÙ ÏÔ SYN- ÓËÁÎÉÒÏ×ÁÎÉÑ - ÎÁ ÷óå SYN ÐÁËÅÔÙ ÏÔ×ÅÞÁÔØ SYN-ACK'ÏÍ, É ÐÒÉ
ÐÒÉÈÏÄÅ ÓÌÅÄÕÀÝÅÇÏ ACK ÏÔ ÕÄÁÌÅÎÎÏÊ ÓÔÏÒÏÎÙ ÕÓÔÁÎÁ×ÌÉ×ÁÔØ ÓÏÅÄÉÎÅÎÉÅ (ÅÓÌÉ ÐÏÒÔ
ÎÁ ÓÁÍÏÍ ÄÅÌÅ ÏÔËÒÙÔ) ÉÌÉ ×ÙÓÙÌÁÔØ (ÎÅ ÏÂÑÚÁÔÅÌØÎÏ) RST ÐÁËÅÔ ÅÓÌÉ ÏÎ ÚÁËÒÙÔ.
(HÁÓËÏÌØËÏ Ñ ÚÎÁÀ ÜÔÁ ÔÅÈÎÏÌÏÇÉÑ ÉÓÐÏÌØÚÕÅÔÓÑ) ÷ ÔÁËÏÍ ÓÌÕÞÁÅ ÐÅÒÅÂÏÒ ÐÏÒÔÏ×,
ËÏÔÏÒÙÊ ÍÏÖÅÔ ÂÙÔØ ÐÏÒÔÓËÁÎÏÍ ÍÏÖÎÏ ÏÓÕÝÅÓÔ×ÉÔØ ÔÏÌØËÏ Ó ÎÁÓÔÏÑÝÅÇÏ ÁÄÒÅÓÁ, É
ÂÌÏËÉÒÏ×ÁÎÉÅ ÅÇÏ ÎÁ ÆÁÊÒ×ÏÌÅ ÍÅÎÅÅ ÏÐÁÓÎÏ.
íÏÖÎÏ ×ÍÅÓÔÅ Ó ËÁÖÄÙÍ RST, ÏÐÒÁ×ÌÑÅÍÙÍ ÐÒÉ ÐÏÐÙÔËÅ ÕÓÔÁÎÏ×ÌÅÎÉÑ ÓÏÅÄÉÎÅÎÉÑ ÎÁ
ÚÁËÒÙÔÏÍ ÐÏÒÔÕ, ÏÔÐÒÁ×ÌÑÔØ icmp echo request ÉÌÉ ÄÒÕÇÏÊ ÐÁËÅÔ, ËÏÔÏÒÙÊ ÂÙ
×ÙÚ×ÁÌ ÉÓÈÏÄÑÝÉÊ ÐÁËÅÔ Ó dumb. ÷ ÜÔÏÍ ÓÌÕÞÁÅ IP ID ÎÁ dumb ÂÕÄÅÔ Õ×ÅÌÉÞÉ×ÁÔØÓÑ
×ÎÅ ÚÁ×ÉÓÉÍÏÓÔÉ ÏÔ ÔÏÇÏ ÏÔËÒÙÔ ÐÏÒÔ ÎÁ victim ÉÌÉ ÎÅÔ.
äÒÕÇÉÅ ÍÅÔÏÄÙ ÁÎÏÎÉÍÎÏÇÏ ÓËÁÎÉÒÏ×ÁÎÉÑ
éÚ ÄÒÕÇÉÈ ÍÅÔÏÄÏ×, ÓÔÏÉÔ ÕÐÏÍÑÎÕÔØ ÓËÁÎÉÒÏ×ÁÎÉÅ ÞÅÒÅÚ http É https ÐÒÏËÓÉ (GET
É CONNECT ÍÅÔÏÄÙ) É ftp bounce scan. FTP bouce scan (ÔÁË ÖÅ ËÁË É ËÁËÏÎÉÞÅÓËÁÑ
×ÅÒÓÉÑ IP ID ÓËÁÎÉÒÏ×ÁÎÉÑ) ÏÐÉÓÁÎÙ × "áÔÁËÅ ÎÁ ÉÎÔÅÒÎÅÔ".
éÎÓÔÒÕÍÅÎÔÙ ÄÌÑ ÁÔÁËÉ
hping2 ÏÔ ÓÁÍÏÇÏ antirez : ÐÒÅËÒÁÓÎÙÊ ÉÎÓÔÒÕÍÅÎÔ ÄÌÑ ÒÕÞÎÏÊ ÓÂÏÒËÉ ÐÁËÅÔÏ×.
nmap - ×ÓÅÍ ÉÚ×ÅÓÔÎÙÊ ÐÏÒÔÓËÁÎÎÅÒ ÐÏÄÄÅÒÖÉ×ÁÅÔ ÜÔÏÔ ÍÅÔÏÄ ÓËÁÎÉÒÏ×ÁÎÉÑ ÞÅÒÅÚ
ÏÐÃÉÀ -sI . ÷ nmap ÜÔÏ ÎÁÚÙ×ÁÅÔÓÑ idlescan.
Ethereal - áÎÁÌÉÚÁÔÏÒ ÔÒÁÆÉËÁ. ðÏÍÏÖÅÔ ÐÏÎÑÔØ ÞÔÏ ÖÅ ÐÒÏÉÓÈÏÄÉÔ × ÓÅÔÉ × ÏÓÏÂÏ
ÓÌÏÖÎÙÈ ÓÌÕÞÁÑÈ.
ž žžž€ ¨ HÕ Ñ ×ÒÏÄÅ ×ÓÅ ÓËÁÚÁÌ... Bye _*All*_ !
« €€€€€€€€€€€€€€€€€žžžžž ž ž ž
... HÁ ÂÅÚÂÁÂØÉ É pÙÂÕ pÁËÏÍ!!!
Ivan Novikov
Nov 25, 2011, 7:24:04 AM11/25/11
to
Привет, John!
25 Nov 11, John Zaicev накропал письмо к All:
JZ> Copyright c http://www.crime-research.org
JZ> В этой статье описан кананоческий вариант IP ID сканирования и его
:) ^^^^^^^^^^^^
JZ> технология, которая позволяет:
JZ> Провести максимально скрытное сканирование:
что-то какая-то бойанная статья о сферическом сканировании в вакууме.
ну, допустим, просканировали хост, узнали открытые порты. дальше что?
вiгода какая? если надо заддосить, то ботнеты делают это легко и открыто, без
всяких хитрых сканирований.
JZ> и атакующий, не обнаружив никакого изменения,
JZ> делает вывод что порn закрыт.
атакующий делает вывод, что на этом хосте порна ему не дадут :)
С приветом, Ivan.
25 Nov 11, John Zaicev накропал письмо к All:
JZ> Copyright c http://www.crime-research.org
JZ> В этой статье описан кананоческий вариант IP ID сканирования и его
:) ^^^^^^^^^^^^
JZ> технология, которая позволяет:
JZ> Провести максимально скрытное сканирование:
что-то какая-то бойанная статья о сферическом сканировании в вакууме.
ну, допустим, просканировали хост, узнали открытые порты. дальше что?
вiгода какая? если надо заддосить, то ботнеты делают это легко и открыто, без
всяких хитрых сканирований.
JZ> и атакующий, не обнаружив никакого изменения,
JZ> делает вывод что порn закрыт.
атакующий делает вывод, что на этом хосте порна ему не дадут :)
С приветом, Ivan.
John Zaicev
Nov 26, 2011, 5:59:23 PM11/26/11
to
#/ŒŒŒŒŒ/# ž žžž€ ¨ ðÒÉ×ÅÔ _Ivan_ ! ðÉÛÅÔ ÔÅÂÅ *John* !
IN> ÞÔÏ-ÔÏ ËÁËÁÑ-ÔÏ ÂÏÊÁÎÎÁÑ ÓÔÁÔØÑ Ï ÓÆÅÒÉÞÅÓËÏÍ ÓËÁÎÉÒÏ×ÁÎÉÉ × ×ÁËÕÕÍÅ.
ëÁËÁÑ ÂÙÌÁ.
ž žžž€ ¨ HÕ Ñ ×ÒÏÄÅ ×ÓÅ ÓËÁÚÁÌ... Bye _*Ivan*_ !
« €€€€€€€€€€€€€€€€€žžžžž ž ž ž
... óÌÏ×Ï ÎÅ ×ÏÒÏÂÅÊ: ÐÏÊÍÁÀÔ - ×ÙÌÅÔÉÛØ...
_*‹‹‹‹‹*_ « €€€€€€€€€€€€€€€€€žžžžž ž ž ž
25 îÏÑ 11 16:24, _Ivan Novikov_ /John Zaicev/:
IN> ÞÔÏ-ÔÏ ËÁËÁÑ-ÔÏ ÂÏÊÁÎÎÁÑ ÓÔÁÔØÑ Ï ÓÆÅÒÉÞÅÓËÏÍ ÓËÁÎÉÒÏ×ÁÎÉÉ × ×ÁËÕÕÍÅ.
ëÁËÁÑ ÂÙÌÁ.
ž žžž€ ¨ HÕ Ñ ×ÒÏÄÅ ×ÓÅ ÓËÁÚÁÌ... Bye _*Ivan*_ !
« €€€€€€€€€€€€€€€€€žžžžž ž ž ž
... óÌÏ×Ï ÎÅ ×ÏÒÏÂÅÊ: ÐÏÊÍÁÀÔ - ×ÙÌÅÔÉÛØ...
Ivan Novikov
Nov 28, 2011, 6:30:04 AM11/28/11
to
Привет, John!
27 Nov 11, John Zaicev накропал письмо к Ivan Novikov:
IN>> что-то какая-то бойанная статья о сферическом сканировании в вакууме.
JZ>
JZ> Какая была.
и зачем её сюда в таком случае?
С приветом, Ivan.
27 Nov 11, John Zaicev накропал письмо к Ivan Novikov:
IN>> что-то какая-то бойанная статья о сферическом сканировании в вакууме.
JZ>
JZ> Какая была.
и зачем её сюда в таком случае?
С приветом, Ivan.
John Zaicev
Nov 28, 2011, 6:37:37 AM11/28/11
to
#/ŒŒŒŒŒ/# ž žžž€ ¨ ðÒÉ×ÅÔ _Ivan_ ! ðÉÛÅÔ ÔÅÂÅ *John* !
_*‹‹‹‹‹*_ « €€€€€€€€€€€€€€€€€žžžžž ž ž ž
28 îÏÑ 11 15:30, _Ivan Novikov_ /John Zaicev/:
_*‹‹‹‹‹*_ « €€€€€€€€€€€€€€€€€žžžžž ž ž ž
IN>>> ÞÔÏ-ÔÏ ËÁËÁÑ-ÔÏ ÂÏÊÁÎÎÁÑ ÓÔÁÔØÑ Ï ÓÆÅÒÉÞÅÓËÏÍ ÓËÁÎÉÒÏ×ÁÎÉÉ ×
JZ>> ëÁËÁÑ ÂÙÌÁ.
IN> É ÚÁÞÅÍ Å£ ÓÀÄÁ × ÔÁËÏÍ ÓÌÕÞÁÅ?
äÌÑ ÔÅÈ, ËÔÏ ÎÅ ÚÎÁÅÔ/ÎÅ ÕÍÅÅÔ. CÌÕÞÁÊÎÏ ÓÔÁÔØÑ ÐÏÐÁÌÁÓØ.
ž žžž€ ¨ HÕ Ñ ×ÒÏÄÅ ×ÓÅ ÓËÁÚÁÌ... Bye _*Ivan*_ !
« €€€€€€€€€€€€€€€€€žžžžž ž ž ž
Stas Degteff
Nov 29, 2011, 4:24:08 PM11/29/11
to
Hello John!
Answering a msg of <25 Nov 11>, from you to All:
Описанный в статье метод применим только для "тихой" сети. Точнее, дв случае
практического отсутствия трафика к/от victim
есть гораздо более надёжный метод спуфинг-сканирования - подделка и MAC, и IP.
Применим в достаточно большой подсети, где вычислить сканирующего действительно
сложно. Например, сети домашних провайдеров ethernet.
Stas
Jabber-ID: grum...@grumbler.org
GPG key 0x72186DB9 (keyserver: hkp://wwwkeys.eu.pgp.net)
Answering a msg of <25 Nov 11>, from you to All:
Описанный в статье метод применим только для "тихой" сети. Точнее, дв случае
практического отсутствия трафика к/от victim
есть гораздо более надёжный метод спуфинг-сканирования - подделка и MAC, и IP.
Применим в достаточно большой подсети, где вычислить сканирующего действительно
сложно. Например, сети домашних провайдеров ethernet.
Stas
Jabber-ID: grum...@grumbler.org
GPG key 0x72186DB9 (keyserver: hkp://wwwkeys.eu.pgp.net)
John Zaicev
Nov 30, 2011, 12:18:52 AM11/30/11
to
#/ŒŒŒŒŒ/# ž žžž€ ¨ ðÒÉ×ÅÔ _Stas_ ! ðÉÛÅÔ ÔÅÂÅ *John* !
SD> ïÐÉÓÁÎÎÙÊ × ÓÔÁÔØÅ ÍÅÔÏÄ ÐÒÉÍÅÎÉÍ ÔÏÌØËÏ ÄÌÑ "ÔÉÈÏÊ" ÓÅÔÉ. ôÏÞÎÅÅ, Ä×
SD> ÓÌÕÞÁÅ ÐÒÁËÔÉÞÅÓËÏÇÏ ÏÔÓÕÔÓÔ×ÉÑ ÔÒÁÆÉËÁ Ë/ÏÔ victim
ñ ÐÏÓÔÉÌ ÅÅ ÎÅ ××ÉÄÕ ËÁËÏÊ-ÌÉÂÏ ÃÅÎÎÏÓÔÉ, Á ÔÁË, ÐÏÄ ÒÕËÕ ÐÏÐÁÌÁÓØ.
ž žžž€ ¨ HÕ Ñ ×ÒÏÄÅ ×ÓÅ ÓËÁÚÁÌ... Bye _*Stas*_ !
« €€€€€€€€€€€€€€€€€žžžžž ž ž ž
... âpÏÓÁÊ ËÕpÉÔØ - ×ÓÔÁ×ÁÊ ÎÁ ÌÙÖÉ.
_*‹‹‹‹‹*_ « €€€€€€€€€€€€€€€€€žžžžž ž ž ž
30 îÏÑ 11 01:24, _Stas Degteff_ /John Zaicev/:
SD> ïÐÉÓÁÎÎÙÊ × ÓÔÁÔØÅ ÍÅÔÏÄ ÐÒÉÍÅÎÉÍ ÔÏÌØËÏ ÄÌÑ "ÔÉÈÏÊ" ÓÅÔÉ. ôÏÞÎÅÅ, Ä×
SD> ÓÌÕÞÁÅ ÐÒÁËÔÉÞÅÓËÏÇÏ ÏÔÓÕÔÓÔ×ÉÑ ÔÒÁÆÉËÁ Ë/ÏÔ victim
ñ ÐÏÓÔÉÌ ÅÅ ÎÅ ××ÉÄÕ ËÁËÏÊ-ÌÉÂÏ ÃÅÎÎÏÓÔÉ, Á ÔÁË, ÐÏÄ ÒÕËÕ ÐÏÐÁÌÁÓØ.
ž žžž€ ¨ HÕ Ñ ×ÒÏÄÅ ×ÓÅ ÓËÁÚÁÌ... Bye _*Stas*_ !
« €€€€€€€€€€€€€€€€€žžžžž ž ž ž
... âpÏÓÁÊ ËÕpÉÔØ - ×ÓÔÁ×ÁÊ ÎÁ ÌÙÖÉ.
0 new messages