@TQM
a kto to mówi że będzie atakował z 1 hosta? Przy 50 i wyższej ilości hostów ciężko o analizę ruchu sieciowego, dodatkowo jesli agresor utrzymuje tylko serwer http na poprzez który komunikuje sie z komputerami zombie ciezko o wywęszenie agresora, choć nie powiem że jest to niemożliwe. Przy głębszej i dłuższej analizie da się to osiągnąć.
ze co?!
mowa o postawieniu kontrolera botnetu a nie atakowaniu z hosta...Napisał g3t_d0wn
doprawdy? a slyszales o takim czyms jak filtry (tcpdump tez je ma...) - ruch sieciowy widac tak czy inaczej i do tego jest http, wiec bardzo latwo poddac go automatycznej analizie ktora tez nie jest specjalnie skomplikowana - wystarczy pare polecen shellowych i masz wszystko co potrzebujesz
jesli bedzie to zrealizowane tak jak pisze autor watku do calosc bedzie trwala tak dlugo jak dlugo zajmuje napisanie maila do wlasciwej jednostki organizacyjnej ktorej podlega serwer
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
dlatego istnieje spoofing, dzieki ktoremu anonimowo zaloguje sie na takowa witryne, mowie tu o zaawansowanych technikach, a nie typu logowanie z adresami localhosta, wszystko ma byc fake
Znalezionego w ripe.net dla Europy
Kontynuujac mój offtopic.
Jedyna sensowna koncepcja jaka przychodzi mi do głowy, na bezpieczne zarządzanie botnetem, to:
1. Lista adresów www gdzie należy szukać polecenia (10-100 tys)
2. Hash
ad 1. Tysiące adresów www do darmowych kont hostingowych, typu:
aaabbb1.yahoo.com
aaabbb2.yahoo.com
xyz.onet.pl
abc.onet.pl
Aby klent mógł sprawdzić kolejne polecenie, musi otworzyć i zamknąc od 1 do 100 tys połączenia HTTP
Ale przez to nie da się tego zablokować, chyba że napiszesz do każdego darmowego hostingu na świecie, żeby poblokowali prefixy nazw użytkowników..
W każdym poleceniu klient otrzymuje hash kolejnej wiadomości, zatem spoofing jest tak możliwy jak brutal force na 1024 bitowym, losowo wygenerowanym kluczu..
Jeśli znajdzie się mądry co wie jak to przejąc/zablokować, zapraszam do polemiki.
Ostatnio edytowane przez lame : 08-17-2010 - 21:44
światło mądrości oświetla drogę z nikąd do nikąd
g3t_d0wn - spoofing na tcp? rozwin prosze jak chcesz obejsc 3-way handshake
lame - conficker wlasnie tak dziala
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
analiza ruchu sieciowego wszystko powie @TQM, testowane w sieciach LAN
Ostatnio edytowane przez g3t_d0wn : 08-18-2010 - 00:32
A na pół? Na pół też się da?mozna wykonac nawet arp poisoning na cala siec
światło mądrości oświetla drogę z nikąd do nikąd
no wlasnie nie wiem ... <rotfl>
http to na amatorski botnet, a tak to najlepiej szyfrowany tunel tls do vpn chinskiego badz koreanskiego 100MBit na polaczenia z wezlem hubowym.
wlasny protokul binarny na warstwie wyzszej tunelu, metoda dowierzania autoryzacji i ignorowania niepewnych klientow bo poco przylaczac komputer ktory jest w domenie .gov .gov.pl .edu, botami powinny byc komputery laikow a nie wyksztalconych ludzi ktorzy przy odrobinie czasu szybko by doprowadzili do kasacji calego przedsiewziecia.
tls mozna w trojanie / rootkicie zaimplamentowac bezposrednio w jednym pliku wykonywalnym, wykorzystywac caly czas jeden cipher o kluczu wygenerowanym losowo hashujac np ip / domainname / time / date.
domene zawsze mozna przekierowac wpisem A u rejestratora na konkretny adres ipv4 huba wiec algorytm generujacy losowa domene ze slow kluczowych to dobre rozwiazanie na kwestie oczekiwania polecen badz aktualizacji / samodestrukcji.
najlepsza kwestia infekcji jest spreparowanie pdfa reklamowego i rozsylanie go po bazach mailowych zhaxiorowanego serwisu warezowego
trzeba duzo czasu poswiecic aby wybudowac taka infrastrukture informatyczna.
profesjonalne botnety posluguja sie swoja warstwa tcp badz robia to jeszcze na nizszych warstwach co powoduje ze sniffer nie jest w stanie zdobyc informacji na temat pakietów.http to na amatorski botnet, a tak to najlepiej szyfrowany tunel tls do vpn chinskiego badz koreanskiego 100MBit na polaczenia z wezlem hubowym.
Zasady Postowania
Copyright © 2006-2024 - HACK.pl. Wszelkie prawa zastrzeżone.
