Титла: Ethernet padding disclosure Публикувано от: ANTIADMIN в Nov 01, 2008, 04:09 Гошко и Тошко живеят в едно село, далече от Големия град. Дядото на Тошко праща на Гошко една кошница хлебчета всяка сутрин. В отговор на това Гошковия дядо праща една кошница сиьене на Тошко. Но имаме проблем: кошницата побира определено количество матриал и винаги трябва да е пълна.
Сиьенето не запълва цялата кошница и кошницата решава да сложи малко ябълки, мръсно пране и гащичките на Маьиька в кошничката, т.е. някои работи, които се правят в къщата докато дядото пълни кошницата. След като получи кошницата, Тошко, който нарочно тормози козичките, за да не дават мляко, чака с нетърпение да види къв e тоя запълващ матриал. Може би е тайна фотосесия на гошковата майка за рожденния ден на бащата или пък е непубликуван супер хит на селската певачка маьиька. Въпросът е> някой правил ли го и как се праща тая кошница. Титла: Re: Идва Нова Година :D Публикувано от: arch в Nov 01, 2008, 12:44 Гошко да праий arp poison на Тошко след което да прихване ssh сесия идваща от дедо ?
Титла: Re: Идва Нова Година :D Публикувано от: ANTIADMIN в Nov 01, 2008, 23:25 Е,глупости сега, ще пускам тема за arp poisoning :D
Ставаше въпрос за нещо, което четох в една книга - че в етернет мрежите, пакетите според рфц трябвало да имат определена дължина. Но в някои случаи, тея пакети оставали празни. По принцип се запълвало с 0-ли необходимото място, но всъщност, не е точно дефинирано на кое ниво се слагат нулите. Затова в повечето случаи се допълва със "случайно" подбрана информация от паметта, активни линкове, пароли ... е размечтах се :D Пък и не ми беше/е ясно как става номера, затова се допитах тук. Естествено, че гугъл не помогна. Титла: Re: Идва Нова Година :D Публикувано от: arch в Nov 02, 2008, 00:59 RFC791 - Internet Protocol
http://www.faqs.org/rfcs/rfc791.html ($2) Цитат Padding: variable Цитат Затова в повечето случаи се допълва със "случайно" подбрана информация от паметта, активни линкове, паролиТова каде си го чел ? Това ще да е най-грандиозната простотия ако някой го имплементира. Титла: Re: Идва Нова Година :D Публикувано от: ANTIADMIN в Nov 02, 2008, 01:59 Мда, точно. А нещото което кара това да се случва се казва autopadding/в книгата го пише pagging/. Тук съм го чел -> http://netsecurity.about.com/od/19/fr/aabrsilencewire.htm
Титла: Re: Идва Нова Година :D Публикувано от: gat3way в Nov 02, 2008, 15:22 Това не е измислица, а си е съвсем реално. Преди година-две попаднах на това и реших да проуча проблема. Очаквано leak-натата информация е най-вероятно да се открие в ARP пакети, понеже дори много малки TCP или UDP пакети имат достатъчно много layer4/layer3 хедъри така че да прескочи 60-байтовата (мисля) бариера за най-малък фрейм.
Обаче никога досега не съм виждал leak-ната информация от линукски мрежов стек (и предимно интел-ски и realtek-ски мрежови драйвери). Еднинствените пакети, в чиито padding съм виждал нещо различно от \0 бяха от cisco рутер. И представляваха повтаряща се една и съща безсмислица във всеки такъв пакет (за жалост няма enable пароли :) ) Мисля, че това като проблем до голяма степен е решено в днешно време. Най-много някой малоумно написан нов етернет или 802.11 драйвер да има такива проблеми и това скоро ще се разбере. Чел съм че навремето това е било проблем, но пак казвам че не съм го виждал. Апропо, те и приложенията ги пишат така че да нулират буферите с паролите след като си свършат работата. Не мисля, че някога това е било особено полезно нещо за злите хахори. Ако ви се занимава - с wireshark тези неща се виждат, аз тогава ползвах някаква perl-ска глупост писана за целта, която ползваше pcap. por4e2 ако не възразяваш ще коригирам заглавието, че така няма много общо с темата :) |