Получить от трояна инфу при чем так, чтобы нигде в логах не засветиться

Тема в разделе "WASM.NETWORKS", создана пользователем EvilsInterrupt, 5 янв 2006.

  1. EvilsInterrupt

    EvilsInterrupt Постигающий азы дзена

    Публикаций:
    0
    Регистрация:
    28 окт 2003
    Сообщения:
    2.428
    Адрес:
    Russia
    Не давно мне стало интересно, а возможно ли получить от внедренного трояна(в дальнейшем "Т") информацию компу хакера(в дальнейшем "Х") так чтобы нигде не фигурировал ни IP ни MAC адреса Х?



    По размышляв над этим у меня возникли след. мысли:



    1.Делаем DHCP-серваку пакет на 67 порт запрос о получении IP адреса - в дальнейшем А1.

    Естественно MAC-адрес в пакете должен быть ложным.



    2.Далее формируем спец пакет(в дальнейшем ХП) и широковещательно высылаем в локалку, все это специально для Т.

    В этом пакете выкладываем полученный А1 адрес, причем формируем пакет так чтобы Т слушая все широковещательные пакеты понял что этот пакет для него.



    3. Получив пакет ХП комп Т высылает раздобытую информацию на адрес А1, но естественно такого адреса нет, но он будет посылать его несколько раз - т.к. есть время жизни пакета допустим TTL=128 или другое число.

    За это время у компа Х достаточно время чтобы прослушать и забрать нужный пакет.



    4. Как только комп Х он забрал пакет, он формирует пакет ХПП о том что он получил пакет и можно выслать другой, есно дело в пакет ХПП ложатся левый IP левый MAC



    5. В свою комп Т увидев пакет ХПП высылает второй пакет с информацией опять на А1 и так далее



    6. Если DHCP сервак или админ(всех сетевых тонокостей еще не знаю) решать проверить а есть ли ping A1, на что мы формируем пакер присуствия с нужными хар-ми.



    Я пояснил подобную схему Сис. админам они сказали такая вещь может прокатить. Я хотел бы знать, может я еще чего не учел? (что вполне возможно)



    ЗЫ: Надеюсь изложил ясно, старался
     
  2. Ms Rem

    Ms Rem New Member

    Публикаций:
    0
    Регистрация:
    17 апр 2005
    Сообщения:
    1.057
    Адрес:
    С планеты "Земля"
    а не проще ли юзать широковещательные UDP?

    Либо отсылать данные на другой комп, на любой открытый порт (например 445) и снифать сетку?
     
  3. EvilsInterrupt

    EvilsInterrupt Постигающий азы дзена

    Публикаций:
    0
    Регистрация:
    28 окт 2003
    Сообщения:
    2.428
    Адрес:
    Russia
    Меня интересует все сетевые тонкости, следовательно я не могу следовать словам: "А не проще ли...", ты прав то что ты сказал можно, но меня интересовало. Возможно ли, то что я предложил или есть нюансы?
     
  4. Flasher

    Flasher Member

    Публикаций:
    0
    Регистрация:
    31 янв 2004
    Сообщения:
    640
    Малость не компитентен в тонкостях, но мне кажется этот метод не актуален. Ибо чичас Админы\Хозяева локалок делят сеть на малые подсети для увеличивания скорости, и не только.

    Вот, например лично у нас в районе почти у каждого 1-2 дома, своя подсеть. Это всё я к тому, что для обмена инфой между подсетями ставят "шлюз", а обычно через шлюз ARP пакеты не проходят, соответственно дальще своей подсети не сможешь отправить широковещательку.



    p.s. Есть куча других способов получения инфы от жертвы не палясь, и не прибегая к таким крайностям...