Análise passiva (parte 2)
Nesta segunda parte do artigo sobre análise passiva, iremos conhecer técnicas para passar por filtros de pacotes e entender alguns conceitos de pacotes como payload e padrões para transmissão.
[ Hits: 42.117 ]
Por: Anderson L Tamborim em 22/06/2004 | Blog: http://y2h4ck.wordpress.com
Introdução: pequena explicação sobre payload
Referência
Pequena explicação sobre payload
Bom, em que pode nos ser útil analisar passivamente o tráfego do nosso servidor?
Como sabemos, os esquemas de backdooring vão evoluindo muito com o tempo, temos backdoors que são extremamente furtivas e que não precisam nem bindar portas em servidores, são os casos de wwwtunnels, e túneis de ICMP que são ativados por pacotes de determinados tamanhos.
Quando analisamos um pacote que enviamos na internet, ele teria essa cara:
+---------------+--------------------------+ | Header | Payload | +---------------+--------------------------+Onde o header carrega as informações de onde o pacote vem para onde o pacote vai e o Payload carrega o conteúdo do pacote principal, como por exemplo os dados que estamos transmitindo.
Vamos olhar essa teoria analisando um pacote real, vamos usar um pacote ICMP comum de um ping por exemplo:
14:05:07.647489 localhost > localhost: icmp: echo request (DF)
(ttl 64, id 0, len 84)
4500 0054 0000 4000 4001 3ca7 7f00 0001 E..T..@.@.<.....
7f00 0001 0800 4e26 8407 0001 c3ac dd40 ......N&.......@
90e0 0900 0809 0a0b 0c0d 0e0f 1011 1213 ................
1415 1617 1819 1a1b 1c1d 1e1f 2021 2223 ............ !"#
2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%&'()*+,-./0123
3435 3637
Vamos destrinchar esse pacote ( como diria o esquartejador ):
14:05:07.647489 localhost > localhost: icmp: echo request (DF)
(ttl 64, id 0, len 84)
Essa linha contém o header do nosso pacote, como podemos ver temos a hora
que o pacote foi enviado, de onde foi enviado, > para quem foi enviado,
o tipo de pacote (icmp) echo_request, e as informações adicionais como
ttl, e uma coisa importante, o id do pacote.
4500 0054 9a7a 0000 4001 e22c 7f00 0001 E..T.z..@..,....
7f00 0001 0000 5626 8407 0001 c3ac dd40 ......V&.......@
90e0 0900 0809 0a0b 0c0d 0e0f 1011 1213 ................
1415 1617 1819 1a1b 1c1d 1e1f 2021 2223 ............ !"#
2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%&'()*+,-./0123
3435 3637
Esse é o Payload do nosso pacote contendo as informações que estamos
transmitindo, essa saída ao lado:
E..T.z..@..,.... ......V&.......@ ................ ............ !"# $%&'()*+,-./0123 4567Foi o que o asctcpdump transformou em ASCII para nos podermos ler. Você entendeu algo? Bom eu também não eheh, mas isso não importa, vamos continuar nossa análise, você verá que esse pequeno conhecimento guardado até agora será muito importante em nossa análise.
2. Verificando padrões
3. Técnicas contra filtros
4. Considerações finais
Análise Passiva: Analisando seu tráfego de maneira segura
Race condition - vulnerabilidades em suids
Análise Forense - Aspectos de perícia criminal
PaX: Solução eficiente para segurança em Linux
Libsafe: Protegendo Linux contra Smashing Overflow
Integridade dos arquivos do sistema
Detectando possíveis trojans e lkms em seu servidor
Hidden Service - Disponibilizando seu site na Deep Web através do Tor
Iptraf Sniffer - noções básicas
Assinatura e criptografia de dados com GPG
Excelente artigo! Curti bastante o hping2, esse eu não conhecia.
[]'s
Muito massa seu texto =]
Tem um texto que foi escrito por um amigo meu (Sr. dmr) que se encontra disponivel em http://www.frontthescene.com.br/artigos/http_tunnel.txt isso é, acaba sendo mais uma fonte de estudo pra quem quer se aprofundar no assunto
[]'s
Ragen
Muito bom o artigo, expos varias coisas que nao conhecia ou que lembrava com outro nome :)
Parabéns, excelente artigo, muito útil para abrir os olhos que quem pensa que é só colocar um firewall na rede e estará 100% protegido.
Obrigado Pessoal so acrescentando algo que "faltou". Eu iria utilizar o netcat para abrir algumas portas e deixar como listen ... porem decidi usar um exemplo mais real world portanto descarte o netcat para essa função.
Para quem se interessou e muito bom procurar sobre o netcat...
para colocar uma porta como listen:
$nc -l -p porta -vv
:)
Abraços a todos
y2h4ck
Novamente torno a parabenizá-lo.... suas explicações são simples e objetivas.... muito bom mesmo!!!
[]´s
Mais um artigo de qualidade, hein?!
Parabéns, Anderson... Apreciei bastante dessa vez!
;-)
[]'s
n1nj4
quando vc for lançar um livro sobre analise e segurança .. conte comigo para comprar o primeiiro exemplar... vc é o cara que conhece de proteçao ....
e tem mais..além disso tudo eh uma grande pessoa...abraço
Milagre!!!! o RE.TAR..DO do wrochal não apareceu aqui falando absurdos!!!!!!!
Oi y2h4ck, fiz o teste no meu Fedora C8 e o hping não indicou que a porta estava filtrada, mas o nmpa indica. Minha pergunta é: como o sniffer sabe que uma porta está sendo filtrada? O firewall devolve alguma informação mesmo usando um target DROP no iptables?
msmadela,
O que acontece é o seguinte, quando você filtra uma porta ... significa que você esta colocando a tag "REJECT" nela e não DROP.
Quando um pacote --tcp-syn encontra uma porta filtrada com REJECT, o firewall devolve para o host que acessa um pacote --icmp-type3
que significa "destination unreachable". Com isso ele consegue deduzir que a porta esta filtered. Caso esteja como DROP, o host não envia nada, dai é necessario efetuar alguma varredura adicional para ajudar você confirmar se esta Down ou esta DROP, um bom exemplo seria uma varredura UDP + ACK. :)
[]s
Bons estudos.
Patrocínio
Destaques
Artigos
Atualizando o Passado: Linux no Lenovo G460 em 2025
aaPanel - Um Painel de Hospedagem Gratuito e Poderoso
O macete do Warsaw no Linux Mint e cia
Dicas
Visualizar arquivos em formato markdown (ex.: README.md) pelo terminal
Dando - teoricamente - um gás no Gnome-Shell do Arch Linux
Como instalar o Google Cloud CLI no Ubuntu/Debian
Mantenha seu Sistema Leve e Rápido com a Limpeza do APT!
Procurando vídeos de YouTube pelo terminal e assistindo via mpv (2025)
Tópicos
Olha que maravilha, Arch no C2D 7400, 2GB de RAM, vídeo onboard e no G... (1)
Mikrotik não abre o webmail-segur... da Locaweb (0)
Jogos baixados na Central de Aplicativos mas que não abrem (1)
debian com wayland, configuracao de teclado. Mudou Tudo! [RESOLVIDO] (1)
Top 10 do mês
-
Xerxes
1° lugar - 80.279 pts -
Fábio Berbert de Paula
2° lugar - 61.052 pts -
Mauricio Ferrari
3° lugar - 18.011 pts -
Buckminster
4° lugar - 16.188 pts -
Daniel Lara Souza
5° lugar - 16.135 pts -
Alberto Federman Neto.
6° lugar - 15.617 pts -
edps
7° lugar - 14.887 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 13.931 pts -
Diego Mendes Rodrigues
9° lugar - 12.956 pts -
Andre (pinduvoz)
10° lugar - 11.789 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
