Не давно мне стало интересно, а возможно ли получить от внедренного трояна(в дальнейшем "Т") информацию компу хакера(в дальнейшем "Х") так чтобы нигде не фигурировал ни IP ни MAC адреса Х? По размышляв над этим у меня возникли след. мысли: 1.Делаем DHCP-серваку пакет на 67 порт запрос о получении IP адреса - в дальнейшем А1. Естественно MAC-адрес в пакете должен быть ложным. 2.Далее формируем спец пакет(в дальнейшем ХП) и широковещательно высылаем в локалку, все это специально для Т. В этом пакете выкладываем полученный А1 адрес, причем формируем пакет так чтобы Т слушая все широковещательные пакеты понял что этот пакет для него. 3. Получив пакет ХП комп Т высылает раздобытую информацию на адрес А1, но естественно такого адреса нет, но он будет посылать его несколько раз - т.к. есть время жизни пакета допустим TTL=128 или другое число. За это время у компа Х достаточно время чтобы прослушать и забрать нужный пакет. 4. Как только комп Х он забрал пакет, он формирует пакет ХПП о том что он получил пакет и можно выслать другой, есно дело в пакет ХПП ложатся левый IP левый MAC 5. В свою комп Т увидев пакет ХПП высылает второй пакет с информацией опять на А1 и так далее 6. Если DHCP сервак или админ(всех сетевых тонокостей еще не знаю) решать проверить а есть ли ping A1, на что мы формируем пакер присуствия с нужными хар-ми. Я пояснил подобную схему Сис. админам они сказали такая вещь может прокатить. Я хотел бы знать, может я еще чего не учел? (что вполне возможно) ЗЫ: Надеюсь изложил ясно, старался
а не проще ли юзать широковещательные UDP? Либо отсылать данные на другой комп, на любой открытый порт (например 445) и снифать сетку?
Меня интересует все сетевые тонкости, следовательно я не могу следовать словам: "А не проще ли...", ты прав то что ты сказал можно, но меня интересовало. Возможно ли, то что я предложил или есть нюансы?
Малость не компитентен в тонкостях, но мне кажется этот метод не актуален. Ибо чичас Админы\Хозяева локалок делят сеть на малые подсети для увеличивания скорости, и не только. Вот, например лично у нас в районе почти у каждого 1-2 дома, своя подсеть. Это всё я к тому, что для обмена инфой между подсетями ставят "шлюз", а обычно через шлюз ARP пакеты не проходят, соответственно дальще своей подсети не сможешь отправить широковещательку. p.s. Есть куча других способов получения инфы от жертвы не палясь, и не прибегая к таким крайностям...