论坛: 编程破解 标题: 基于IP欺骗的扫描技术---第三方扫描技术 复制本贴地址    
作者: mercybirth [mercybirth]    论坛用户   登录


原理揭示:

  如果A向B发送syn,以C的地址发送,那么C会收到B的syn/ack.也会回给B一个rst.如果我们保证C只与A和B通讯,那么我只要通过判断是否C有发出rst即可进行端口扫描。判断的方法,呵呵,大家应该知道吧:)

  这个扫描技术,本来在Unix系统下,有少数人应用过,但是手工的。这个扫描器我已经开发出来,在win2k下的,全自动,呵呵。

  如果组织需要,呵呵,可以奉献啊。
  与我联系: sunmy1@sina.com
  

地主 发表时间: 08/03 22:28

回复: mgcyc2001 [mgcyc2001]   论坛用户   登录
源程发给我研究研究吧,
mgcyc2001@21cn,com

B1层 发表时间: 08/03 22:39

回复: mercybirth [mercybirth]   论坛用户   登录
除非组织需要,否则源码不会公开的

B2层 发表时间: 08/03 22:44

回复: wolf [cxgwolf]   论坛用户   登录
我也想要
cxg0110@sohu.com

B3层 发表时间: 08/03 23:07

回复: mgcyc2001 [mgcyc2001]   论坛用户   登录
好兄,共享一下吧。

B4层 发表时间: 08/04 22:01

回复: mercybirth [mercybirth]   论坛用户   登录
不知道是谁帮我踢出了这里的聊天室,每天打开,都是“你被禁止进入聊天室”
,到底我犯了什么啊。

B5层 发表时间: 08/04 22:59

回复: mercybirth [mercybirth]   论坛用户   登录
说过了,除非组织需要,私下不会公开了。如果再有问题,请用e-mail和我联系。

B6层 发表时间: 08/04 23:02

回复: flashsky [flashsky]   论坛用户   登录
作为第三方扫描,肯定是基于IP地址更秘密的方法,那么作为你讲的原理我感到比较迷惑:
A向B发送syn,以C的地址发送,
B向C回送syn/ack
C收到B的syn/ack.也回给B一个rst

你说的保证C只与A,B通讯我不大懂得是什么作用,但是有一点是关键:那么如何让扫描主机A获得这个信息呢?除非两种
1。C是已经被捕获的一台肉鸡,再把消息回送给A,
2。另一种是A与C或A与B在同一个平面网段上通过嗅叹来获得。
那么对于1也没什么秘密可言,与你在这台肉鸡上做扫描不一样的效果,还更简单一些。
对于2,虽然秘密了一点,但毕竟追查到同一网段上,同时注意的是,条件的限制使得你无法更好的实现扫描

B7层 发表时间: 08/05 09:16

回复: mercybirth [mercybirth]   论坛用户   登录
差也,你提出的两点都差也。
这里,我们既能保证扫描的准确性,又能保证非同一物理网段。
前提是,c必须保证只与a,b通讯,这在一般情况下很好找,很多公司的机子夜间通讯量基本为0。
具体的实现,老兄可以自己想一想,如果有困难,可以参考一下 www.sys-security.com的ICMP usage for scanning 这篇文档。
实在还是想不出来,再问小弟也不迟。直说出来就不好玩了。

B8层 发表时间: 08/05 16:50

回复: flashsky [flashsky]   论坛用户   登录
大致看了你说的这个文档
这个文档是说利用ICMP进行扫描的,好象没有提到过你说的利用第三方进行扫描,另外我想你不外就是再利用:
1。指定源路由方式截获信包
2。利用ICMP重定向或其他路由协议修改C或A的路由路径获得信包
那么以上两种方式实际上都存在弊病吧,且不说其限制,对于方式1需要给B的包中都包含这个选项,必定也会在B上留下痕迹。如果是2则太麻烦,而且难于控制。
因为无论如何都要让A能截获B-》C或C-》B的信息,并且B-》C的信包中不能包含A的任何地址信息(因为其携带必然就需要A-》B的包中包含,如指定源路由等),不知道你还是采用了什么其他的技术呢?说出来让我学习学习。


[此贴被 闪空(flashsky) 在 8月5日21时46分 编辑过]

B9层 发表时间: 8/5 21:0

回复: chentq [chentq]   论坛用户   登录
小子想在这里挣钱,想在这里挣 钱,简直,简直。。。。。

B10层 发表时间: 08/05 22:38

回复: druilo [druilo]   论坛用户   登录
网络的世界是完全共享的社会~~~~~~~~你不给????????好~~~~~~~~~~
最起码你算不上是中国的人  更何况是中国黑客呢??????下去吧!!1
别在这里误道人群   不要听他的。。。。。。

B11层 发表时间: 08/08 14:40

回复: target_123 [target_123]   论坛用户   登录
源程发给我研究研究吧
target_123@21cn.com


B12层 发表时间: 08/08 17:52

回复: mercybirth [mercybirth]   论坛用户   登录
别把话说得这么难听,就算给也不能给一点不懂的人。说不定把代码卖到国外,我还不负责呢。如果是觉得其中技术上有什么难懂的,可以与我讨论,包括具体实现的技术。

B13层 发表时间: 08/09 09:10

回复: flashsky [flashsky]   论坛用户   登录
mercybirth的方法是可行的,呵呵,不错

B14层 发表时间: 08/09 12:44

回复: mercybirth [mercybirth]   论坛用户   登录
闪空:
  对了,对于那个稳定序列增量,我虽然用了个稳定的算法来确定增量,但是始终不知道不同操作系统对增量不一致的原因。
  好象只有win2k增量是256,其余都是1。

B15层 发表时间: 08/09 14:05

回复: bsdi [bsdi]   论坛用户   登录
傻逼, 你丫好好看看协议在出来跳
上次看见你丫就想骂你丫得, 可惜当时没注册不能发言


B16层 发表时间: 08/11 23:42

回复: steaven [steaven]   论坛用户   登录
你说的我觉得和用肉鸡 没什么区别呀?老兄!

B17层 发表时间: 08/12 10:00

回复: flashsky [flashsky]   论坛用户   登录
以下是IP标识字段的一些解释:
IP标识字段唯一地标识主机发送的每一份数据报。通常每发送一份报文它的值就会加1。但是RFC 791 [Postel 1981a]认为标识字段应该由让IP发送数据报的上层来选择。假设有两个连续的I P数据报,其中一个是由T C P生成的,而另一个是由U D P生成的,那么它们可能具有相同的标识字段。但是在大多数从伯克利派生出来的系统中,每发送一个I P数据报,I P层都要把一个内核变量的值加1,不管交给IP的数据来自哪一层。内核变量的初始值根据系统引导时的时间来设置。

因此,严格的根据RFC的描述的话此字段不能用于你说的方法,不过大多数基于BSD UNIX核心的操作系统都会遵守这个约定,因此方法还是可行的,但对于WIN这种系统可能更多需要测试,其未来的可变性也难说


B18层 发表时间: 08/12 10:18

回复: xiean [xiean]   论坛用户   登录
胡扯。。。。。要是你的 A 和 C 无任何关系,你怎么能收到 B 回发给 C 的报文?TCP/IP不等于IPX,要真是这样,网络传输还有什么安全性可言?TCP/IP还有什么值得用的?你说的情况的必须条件是 C 和 B 的物理网路中有缺陷,以至于被你利用监听,而如果你真到了这种情况,也不需要这种伪装扫描了。。。。


[此贴被 邪・安(xiean) 在 8月12日10时22分 编辑过]

B19层 发表时间: 8/12 10:32

回复: flashsky [flashsky]   论坛用户   登录
他说的技术是可行的
A-》B以C的地址发送探测
同时A<->C保持一个连接
如果B端口打开,B-》C有一个应答,C会返回rst包,这样导致A<->c连接的交换的包的ip ID字段不保持递增关系,由此判断C返回给了B一个应答,因此此端口打开
如果B端口不打开,B-》C有一个ICMP错误报文,C不会做任何处理,因此A《-》C的连接交换的包的ip ID字段保持递增关系,由此判断端口不存在

这种方式存在的问题是:C必须只与A通讯,另外检测速度比较慢,一次只能对一个端口(无法同时对多个端口,否则就难以判断给谁应答了),对于不存在的端口,设置的超时时间难以确定

另外不要随便就说人家胡扯什么的,我先也不理解,后来还是觉得这个方法技术上还是可行的。

B20层 发表时间: 08/12 11:26

回复: mercybirth [mercybirth]   论坛用户   登录
还是老兄理解我,经过测试发现效果很好。速度不慢,有的情况甚至超过superscan等扫描器的速度。而且对一些过滤IP的机器扫描效果就更好,可以用其信任的机子来扫描。我的扫描器中可以设定扫描速度以适应不同网络需要。

B21层 发表时间: 08/12 17:09

回复: flashsky [flashsky]   论坛用户   登录
速度肯定会受影响,不能使用多线程方式,只能一个一个端口的来,除非对多个机器同时采用多个C机,才能使用多线程
另外判断的时间也难控制,直接扫描可以通过ICMP报文就可以终止了,但是第三方需要每次都等待一个合理的比较长的时间来判断是否超时。否则就容易漏和误报。因此也会影响速度。

另外大家也都是就技术和思想进行交流,以后有什么想法和新的技术还是多说出来大家讨论,理解总是有个过程的嘛,何况你上面的话也语焉不详,也很容易让大家难以理解。争论肯定是会有的,不要介意。


[此贴被 闪空(flashsky) 在 8月12日17时31分 编辑过]

B22层 发表时间: 8/12 17:52

回复: mercybirth [mercybirth]   论坛用户   登录
速度不好说,但在有些情况下速度是比一些多线程快,准。
因为它是IP欺骗的,这样可以冒充信任机对目标机扫描,从而绕过过滤。
这个我们测试过,还有,就是时间还是可以确定的。一般最多为1000ms/个,有的时候甚至2ms/个(同一个物理网络),一般在10ms/个足够了。

B23层 发表时间: 08/12 20:32

回复: xiean [xiean]   论坛用户   登录
我上文说的意思并非指这种方法不可行,还是没弄明白你们的说法,我想无非是两种方式,第一就是通过IP欺骗,用C的ISN来判断是否有新的成功连接,而这在所有条件的理想环境下的确可能,但在我记忆中 ISN 值不光和成功连接次数有关,还和时间有关,除非你在一个连接速率非常稳定的情况下进行攻击,否则想要通过无辜的C主机ISN猜测是否有过tcp连接变得非常不现实,此外,在linux中,改isn时间增值和连接增值并非不可能,另这种方式充满意外。在以上所说中,还是在C主机完全无任何其它连接的情况下(所有端口),如果觉得这可能,也的确,但。。。。。。。。哎。。。。。祝好运。。。。

IP成功欺骗所需要的外界因素太多。。。。要玩玩还是自己在lan内试试吧,要用于wan实用。。。。。。>_<

另外就是你们所说的通过IP包头ID来判定是否有过成功连接,但这种情况比起ISN方式来更充满变数,因为C主机任何对外企图连接都会使这个ID出现变化,的确,在夜间有很多主机处于静止状态,但除 A,B 外对C的任何请求都会让IP包ID变化(对外发出包肯定有增长,而因为接受到包时很多情况也会返回一个包),这让你无法正确判断 B 的端口是否开启,如果你说多试几次,取其平均值,那么如果在这期间IP包ID有增长,可是是一些无规律的增长,比如 2,4,7,5,3 之类的,这完全有可能,又怎么能精确的判定呢?而如果得出来的结果不可信,那还有什么必要用这扫呢?

[此贴被 邪・安(xiean) 在 8月14日14时29分 编辑过]

B24层 发表时间: 8/14 14:41

回复: mercybirth [mercybirth]   论坛用户   登录
请理解,是用IP header,ID field判断的,不要误解。
还有,经过WAN实验,效果很好。速度也很理想。:)

B25层 发表时间: 08/14 21:42

回复: mercybirth [mercybirth]   论坛用户   登录
我们扫了台湾的机器,很成功。
还有千万要分清啊,是用IP header,id field,不是Tcp header!!!!!!

B26层 发表时间: 08/14 21:48

回复: mercybirth [mercybirth]   论坛用户   登录
还没说完,你说IP header ID field,连续增量的机器不好找???呵呵,几乎很容易找到,即使在白天,你可以自己做实验。我们是实践得出的,可以说非常容易找。而且,效率以及准确性都非常好。我们有数据抓屏证明,并且相关论文也已发表。国外的朋友也有过相关的实验论证。请不要想当然,以事实说话。谢谢。

B27层 发表时间: 08/14 21:54

回复: xiean [xiean]   论坛用户   登录
好的,我自己试试

B28层 发表时间: 08/15 05:22

回复: caicaicong [caicaicong]   论坛用户   登录
佩服,一个端口扫描器,能研究到如此境地,有些东西书本上找不到就实践来测试,确实佩服。另外,不用线程,用select也可以吧?

B29层 发表时间: 10/04 23:29

回复: syshunter [syshunter]   版主   登录
GOOD!,楼上的不把帖子顶上来我还没看到。希望早点把代码公开,让俺们开开眼。如不方便可以先放到内部论坛,哦哈哈,我在想,既然多线程不大可能,那是否可以让理论中的C主机变成Cn呢?
引用:

佩服,一个端口扫描器,能研究到如此境地,有些东西书本上找不到就实践来测试,确实佩服。另外,不用线程,用select也可以吧? 


select??


[此贴被 §溶(syshunter) 在 10月5日13时51分 编辑过]

B30层 发表时间: 10/5 13:57

回复: xiaoxingchi [xiaoxingchi]   论坛用户   登录
很想看看源代码!
尽早公开源代码吧!!!期待!!

B31层 发表时间: 10/12 03:02

回复: ricky [ricky]   版主   登录
可不可以交流一下,软件开发正需要你这样的家伙,哈哈

B32层 发表时间: 10/13 12:41

回复: ricky [ricky]   版主   登录
对了,软件开发还缺一个斑竹,有兴趣没有?

B33层 发表时间: 10/13 12:43

回复: h2dog [lousky]   论坛用户   登录
最后一个,谢了,lousky@msn.com

B34层 发表时间: 10/22 10:48

论坛: 编程破解

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号