Sieć

[FX12]

Witam!
Na forum jestem nowy, mam parę pytań do osób które mają trochę czasu ( z góry mówię, że nie proszę o gotowce, tylko wskazówki - to tak na przyszłość )
Od jakiegoś czasu zacząłem się interesować siecią (protokołami, jak działa, który protokół do czego służy, jak przeprowadzać ataki itp. (wcześniej interesowałem się programowaniem)). Szukałem wszędzie różnych informacje o różnych pojęciach takich jak ARP, TCP/IP, SYN, pakiet TCP z flagą SYN oraz wiele słów kluczowych, ale informacje, które znajdowałem nie bardzo mnie zadowalały, więc mam prośbę o sprecyzowanie mi działania ARP (zalety, wady) czym jest tzw. "pakiet z flagą SYN" oraz inne ważne pojęcia. Bardzo mnie to ciekawi, więc proszę (jeśli ktoś ma) jakiegoś linka do ebooka, ewentualnie o wytłumaczenie, lub podanie tytułu jakiej książki (coś dla zielonych znających tylko trochę teori, ale nie wiedzących "czym to się je")
Pozdrawiam!
FX12
PS: Czym się różnią protokoły TCP i UDP?

[Nikow]

TCP zapewnia Ci dotarcie danych, lub w przypadku gdy jest to nie możliwe, informację o tym. Ponadto wymaga połączenia itd.
UDP wysyłasz w sieć i tyle o tym słyszałeś... Dane mogą przyjść nie w tej kolejności co zostały wysłane, mogą zostać zmienione, zgubione, czasami zdarza się że dociera tylko ich część co oznacza że są zmienione. Jeśli nic ich nie oczekuje po drugiej stronie to normalnie znikną po dotarciu. W zamian trudniej jest wyśledzić skąd przyszedł taki pakiet, ponieważ można źródłowy IP ustawić na 0 i jest to poprawne. Prędkość przesyłu tym protokołem jest szybsza o średnio 4 razy.

Co do booków, poszukaj na forum.

[TQM]

Pytanie fajnie postawione i konkretnie - to lubie!

TCP/IP - Transfer Control Protocol / Internet Protocol - nazwa w drugim czlonie wywodzi sie od nazwy sieci a nie odwrotnie (nazwa sieci od protokolu). Ogolnie IP to zbior protokolow spotykanych w internecie.

TCP - Transfer Control Protocol - protokol tak jak pisal Nikow ktory zapewnia ze inormacja albo dotrze do celu albo zostaniemy poinformowani ze nie dotarla (najczesciej przez pakiet ICMP zawierajacy opis przyczyny). Ma wady i zalety - zaleta jest taka ze wymaga 3-stopniowej negocjacji polaczenia, co daje nam powiedzmy jakas pewnosc ze osoba ktora sie z nami laczy ma rzeczywiscie ten IP ktory twierdzi ze ma (sa oczywiscie wyjatki i sposoby na obejscie tego, ale to innym razem), wada to jego predkosc - ustanowienie polaczenia troche trwa... dlatego np VoIP i inne protokoly wymagajace czestego przesylania malych porcji informacji z niego nie korzystaja tylko leca po UDP.

SYN, ACK, FIN, RST - to najczesciej omawiane flagi stosowane w protokole TCP (choc nie wszystkie)... Wsponialem o 3-stopniowej negocjacji polaczenia... przyklad:

Komputer A chce polaczyc sie z B, wysyla wiec do B pakiet w ktorym ustawiona jest flaga SYN (chce z Toba wymianiac informacje, to jest pierwszy numer seryjny od ktorego bede numerowal pakiety). B odbiera pakiet i przyjmuje polaczenie po czym odsyla do A pakiet z flagami SYN+ACK (ACK - potwierdzam Twoj serial, SYN - to jest moj serial). Ostatni krok (tutaj nastepuje potwierdzenie ze nadawca jest tym za kogo sie podaje) to pakiet z A do B mowiacy ACK (potwierdzam Twoj serial) - wtedy transmisja sie zaczyna... a kazdy pakiet wyslany A->B lub B->A musi zostac potwierdzony pakietem z flaga ACK i numerem potwierdzanego pakietu, wracajacym od odbiorcy do nadawcy.

Co sie stanie jesli ktos podszyje sie pod adres innego komputera?

X (udajacy A) ---> SYN ---> B
B ---> SYN+ACK ---> A
A (prawdziwy A) ---> RST ---> B

Pakiet RST oznacza natychmiastowe zerwanie polaczenia. Tutaj na zasadzie "zerwij polaczenie, ja wcale nie chcialem z Toba rozmawiac"... i po sprawie :P
Dla odroznienia flaga FIN oznacza lagodne zakonczenie polaczenia a nie brutalne natychmiastowe zerwanie jak to ma miejsce przy RST. W TCP wyroznia sie wiec stany polaczenia - nawiazywanie, polaczony, zamykanie, itd. a firewalle potrafia powiazac pakiety z konkretnym polaczeniem sledzac adresy IP, numery portow i numery seryjne pakietow wedrujacych po kablu. Polaczenie moze miec wiec stan - new, established, related (pakiet zwiazany z innym polaczeniem - np drugi port przy FTP, itd).

UDP - User Datagram Protocol (znany tez jako Unreliable Damn Protocol ), protokol ktory nie ma stanu, nie ma 3-stopniowego zestawiania polaczenia - po prostu jest adres nadawcy i odbiorcy, numery portow i to koniec... Nie mozna wiec stwierdzic czy na pewno nadawca jest tym za kogo sie podaje. Zaleta to predkosc i prostota - CounterStrike i inne gry FPP, telefonia VoIP - generalnie calosc uzywa UDP. Pakiety sa male i zwinne. Niestety protokol ten nie ma potwierdzania pakietow, nie ma nic. Pakiety maja prawo zginac, maja prawo nie dotrzec i nikt sie o tym nie dowie - w przypadku gier czy nawet VoIP jesli zginie pare pakietow nic sie nie stanie, moze lekki szum na laczu albo cos w ten sposob - jak nastepne pakiety dojda to uzytkownik i tak nie zauwazy

ICMP - Internet Controll Message Protocol - protokol uzywany glownie do diagnostyki i zglaszania problemow. Jesli pakiet TCP zostanie gdzies porzucony bo jego TTL bedzie rowny 1 gdy pakiet wchodzi do routera to router powinien (i generalnie tak sie dzieje) odeslac do nadawcy pakiet ICMP z informacja TTL Exceeded i podac w polu danych ICMP naglowek pakietu TCP, tak aby nadawca mogl stwierdzic, ze router gdzies tam na swiecie odrzucil moj pakiet bo jego TTL sie wyczerpal. ICMP uzyto tez do implemenacji ping'a (czyli echo-request, echo-response) i traceroute'a (nieco zmodyfikowana logika ping'a).

Tyle w skrocie

[FX12]

No panowie, muszę szczerze powiedzieć, że mnie zachwyciliście, Wasze odpowiedzi są zwięzłe, nawiązują do treści w 100%, oraz upraszczają prostemu człowiekowi, takiemu jak ja, "zjedzenie baru bajtów danych" . Wiem już co i jak, teraz można przejść do jakiejś cięższej lektury, intryguje mnie jeszcze jedno pojęcie: ARP, słyszałem np. o ARP Flooding (napisałem floodera ale nie mam pojęciu o ARP) Mniej więcej wiem, jak to działa, ale nie wiem do końca jak to jest w zastosowaniu. Wyczytałem, że protokół ten służy do wykrywania adresu IP hosta i MAC (może się mylę, głowy nie dam) i podobno używany jest tylko w sieciach LAN oraz WAN (?)
Pozdrawiam!
FX12

PS: TQM: co do Twojego "skrótu" - trochę duży, ale im więcej informacji, tym lepiej . Jeszcze raz dziękuję Wam za znalezienie chwili czasu.

[Nikow]

Żywcem zerżenęte z wikipedii. Jeśli to wiesz, przeskocz do drugiego akapitu.
ARP (ang. Address Resolution Protocol) - w sieciach komputerowych jest to metoda znajdowania adresu sprzętowego hosta, gdy dany jest adres warstwy sieciowej. Jest wykorzystywany przy różnych typach sieci, zarówno w znaczeniu warstwy sieciowej, jak i niższych warstw modelu OSI. Oznacza to, iż ARP nie ogranicza się jedynie do sieci typu Ethernet przy wykorzystaniu protokołu IPv4, gdzie na podstawie adresu IP odnajduje sprzętowy adres MAC. ARP jest wykorzystywane w takich technologiach LAN jak Token Ring, FDDI, 802.11 oraz w technologiach WAN, jak IP over ATM. W przypadku sieci wykorzystujących adresację MAC oraz protokół IP w wersji 4 ARP przyporządkowuje 32-bitowe adresy IP fizycznym, 48-bitowym adresom MAC (przypisanym m.in. do kart sieciowych).
Standard ARP opisuje także zachowanie systemu operacyjnego, który zarządza tzw. tablicą ARP. Znajdują się w niej pary: adres warstwy sieciowej i przypisany do niego adres fizyczny. Zapobiega to tworzeniu zapytania ARP przy próbie wysłania każdego pakietu. Warto przy tym zauważyć, że hosty mogą się ze sobą komunikować za pośrednictwem adresu fizycznego tylko w obrębie danej sieci w znaczeniu warstwy drugiej modelu OSI. Jeśli jakieś informacje mają być przesłane do innej sieci (lub podsieci w sieci złożonej, sieci oddzielonej routerem, itp.), to protokół ARP jest wykorzystywany najwyżej do uzyskania informacji o adresie bramy sieciowej. ARP jest protokołem komunikacyjnym pracującym na styku warstw drugiej i trzeciej modelu ISO/OSI, czyli warstwie sieciowej. Komunikaty ARP są enkapsulowane w ramkach warstwy drugiej, nie służą jednak do przenoszenia danych poza adresami w hostów i urządzeń.
Protokół ARP nie jest niezbędny do działania sieci komputerowych, może zostać zastąpiony przez statyczne wpisy w tablicy ARP, przyporządkowujące adresom warstwy sieciowej adresy fizyczne na stałe. Jest to jednak ekonomicznie nieopłacalne rozwiązanie. Protokół ARP jest zdefiniowany w dyrektywie RFC 826. Jest to także Internet standard STD 37.

To już wiemy czym jest arp. Teraz co do zatruwania, komputer logując się do sieci, pyta się wszystkich poprzez adres rozgłoszeniowy o MAC kompa, by móc mu przesłać dane. Cały myk z zatruwaniem polega na szybszej odpowiedzi niż to zrobi prawdziwy komputer, sposobów jest na to wiele, najczęściej się czeka aż użytkownik zwyczajnie wyłączy się. Inną metodą jest ubicie go w jakiś sposób, np. wykorzystać jakąś lukę zawieszającą system. Chodzi tylko o przedstawienie się jako dany komputer zanim on to zrobi, nim rzeczywiście nie będąc.

[FX12]

Dziękuję bardzo, naprawdę dużo się od Was nauczyłem (sądzę, że nikt nie wytłumaczył by tego lepiej). Czyli mogę stwierdzić, że ARP poisoning działa min. w ten sposób:

A__ARP-->Sieć-->B(?) (komputer A wysyła zapytanie ARP o adres kompa B)

B (podszyty haker)___ARP---> A (Haker odpowiedział pierwszy na pakiet A jako B)

(Zaczyna się transmisja, każdy następny pakiet z komputera A mający trafić do B najpierw trafi do hakera, dopiero potem do prawdziwego B

A___Pakiet TCP--->B (haker)~~>B (haker odsyła pakiet do prawdziwego odbiorcy pakietu- komputera B)

Czyli od teraz każdy pakiet będzie trafiał do hakera i dopiero haker będzie je odsyłał do prawdziwego hosta docelowego, myślę, że coś zrozumiałem, wczoraj przestudiowałem parę razy Wasze posty i bardzo dużo się nauczyłem, chociaż trochę się motałem

Jeśli dobrze to zrozumiałem ( a troszkę się zamotałem) to dlaczego prawdziwy odbiorca pakietu (skoro nie doczekał się odebrania pakietu) nie wyśle do A pakietu z flagą RES lub FIN?

EDIT: Na forum przeczytałem o żądaniu i odpowiedzi (Echo Request/Echo Reply) i już o tym wspominaliście przy ICMP (wiem że wychodzi to z narzędzia ping) ale czym dokładnie jest Echo, pytam bo na wikipedii ani nigdzie nie znalazłem nic (może źle szukam)

Załączam serdeczne pozdrowienia!
FX12

[Nikow]

Dziękuję bardzo, naprawdę dużo się od Was nauczyłem (sądzę, że nikt nie wytłumaczył by tego lepiej). Czyli mogę stwierdzić, że ARP poisoning działa min. w ten sposób:

A__ARP-->Sieć-->B(?) (komputer A wysyła zapytanie ARP o adres kompa B)

B (podszyty haker)___ARP---> A (Haker odpowiedział pierwszy na pakiet A jako B)

(Zaczyna się transmisja, każdy następny pakiet z komputera A mający trafić do B najpierw trafi do hakera, dopiero potem do prawdziwego B

A___Pakiet TCP--->B (haker)~~>B (haker odsyła pakiet do prawdziwego odbiorcy pakietu- komputera B)

Czyli od teraz każdy pakiet będzie trafiał do hakera i dopiero haker będzie je odsyłał do prawdziwego hosta docelowego, myślę, że coś zrozumiałem, wczoraj przestudiowałem parę razy Wasze posty i bardzo dużo się nauczyłem, chociaż trochę się motałem

Jeśli dobrze to zrozumiałem ( a troszkę się zamotałem) to dlaczego prawdziwy odbiorca pakietu (skoro nie doczekał się odebrania pakietu) nie wyśle do A pakietu z flagą RES lub FIN?

EDIT: Na forum przeczytałem o żądaniu i odpowiedzi (Echo Request/Echo Reply) i już o tym wspominaliście przy ICMP (wiem że wychodzi to z narzędzia ping) ale czym dokładnie jest Echo, pytam bo na wikipedii ani nigdzie nie znalazłem nic (może źle szukam)

Załączam serdeczne pozdrowienia!
FX12

ARP działa tylko w twojej sieci lokalnej. ARP nie idzie po TCP. Prawdziwy odbiorca pakietu, nawet gdy odpowie po tobie, nie zostanie nałożona korekta. Jeśli przedstawisz się bramie jako cel, a celowi jako brama, to nikt nie będzie miał powodu by podejrzewać że coś jest nie cacy.

Echo Request służy do wywołania Echo Reply, najczęściej jest używany do badania, czy dany host jest w sieci. Niestety windows nie trzyma się standardu, blokując cały ruch ICMP, przez co pod względem sieciowym jest najnormalniej nie poprawny. Oprócz do badania obecności hosta, używa się go do sprawdzania podatności sieci na przeciążenia.

[FX12]

Witam ponownie!
Nie chcę tworzyć nowego topicu, więc zadam tutaj kolejne pytanie (trochę mi głupio znów pytać, ale prosiłbym o uwierzenie mi - wiem, co to jest Google, ale czasami nie mogę znaleźć nic co pobudziło by mój mózg trochę bardziej do sklejania informacji), nauczyłem się już trochę ("Wiem, że nic nie wiem" ale troche wiedzy posiadam) o protokołach od Was i z różnych innych stron, pytałem także "INFORMATYKÓW"* w mojej szkole o serwery ale odpowiedzi były zbliżone do **("A czym to się je?", "co to jest w ogóle?"...) Oprócz tego, także dużo czytałem, ale mi albo nigdy dość wiedzy, lub po prostu niektórych informacji nie potrafię "przetworzyć".
Konkretnie chodzi mi o ataki na serwer (najlepiej by było takowy stworzyć i próbować się na niego włamać, ale nie jestem jeszcze na tym etapie...)
Kupiłem sobie na urodziny 2 książki o PHP i próbowałem coś z nich zrozumieć, ale po 3-im skrypcie doszedłem do wniosku, że chyba zostanę przy C++ bo jeszcze nie pora na PHP (choć znam C++ ale PHP nie rozumiem)
Czytałem także o atakach SQL Injection, ale po wstawieniu do URLa np. zapytania WHERE i innych już zacząłem się gubić, chciałem więc zapytać jak mniej więcej w teorii przeprowadza się ataki typu DoS, wstrzykiwania kodu SQL (SQL Injection), no i jaki jest tego skutek...
Chciałem kupić książkę o języku SQL, ale jak ją przewertowałem... (wstyd) przestraszyłem się :P
Oraz czy np: gdybym wysyłał z 5 komputerów o przepustowości łącza 512 każdy (serwer załóżmy ma 2MB KBs), pakiet ICMP Echo Request o wielkości 4096 bajtów w jakiejś "małej pętli" to wystarczyło by to do odmowy niektórych usług serwera?

*W cudzysłowie dlatego, że nie kojarzy mi się słowo informatyk z człowiekiem który potrafi tylko wykonać dokument w Word'dzie czy w Excelu...
**Oczywiście odrobina ironii z ziarnkiem prawdy

Pozdrowienia!
FX12

[Squealer]

http://uw-team.org/index.php?id=videoarty widzales? :P
http://squealer.yoyo.pl/SQLInjection.pdf i troszke o tym.. :P

[FX12]

@Squealer: Nie, nie widziałem tego artu w pdf, natomiast na video-arty trafiłem, ale dużo nie zrozumiałem, dziekuję za linka i pozdrawiam
FX12