forum.opennet.ru

"Атака NAT slipstreaming для отправки запросов на внутренний IP"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Атака NAT slipstreaming для отправки запросов на внутренний ..."	+/–
Сообщение от Аноним (83), 10-Ноя-20, 19:57
Вот с ftp отличный пример. В том же nf_conntrack_ftp учтено, что PORT может оказаться между двух пакетов и еще много разных "состояний" пакета учтено - "будущие" (перепутанные) пакеты не сразу анализируются, соединения должны быть установлены и т.д. Внедрить PORT посреди HTTP-пакета (в какие-нибудь заголовки) вполне можно и conntrack на это вполне может среагировать, ждать "начала пакета" не нужно... А здесь... - либо определение MSS в уязвимости надо нафиг выкинуть, либо поправить реализацию CONFIG_NF_CONNTRACK_SIP в ядре... либо я чего-то не понимаю (или очень замороченный этот протокол SIP, да еще и поверх TCP).
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Атака NAT slipstreaming для отправки запросов на внутренний IP, opennews, 10-Ноя-20, 11:29 [смотреть все]

Ой, как неожиданно , Аноним, 10-Ноя-20, 11:36 (2) //
- Действительно, неожиданно, Lex, 10-Ноя-20, 12:47 (25) //
  - WebRTC всё упрощает в разы Даже перебирать не надо Но ты дальше давай сиди на , Аноним, 10-Ноя-20, 14:51 (41) //
    - Кто о чем, как говорится Ну это, давай, поосторожней там а то уже главная с, Lex, 10-Ноя-20, 17:13 (61)
- Скорее javaScript Ой как неожиданно , anonymous, 10-Ноя-20, 17:13 (60) //
  - Как неожиданно и приятно, Аноним, 12-Ноя-20, 02:30 (114)
Почему всегда костыли Причём тут SIP Почему только его Почему 5060 А если у , Аноним, 10-Ноя-20, 11:37 (3) //
- Тут ошибка не в самом НАТе или АЛГ, тут ошибка в самом браузере, который запуска, Аноним, 10-Ноя-20, 11:55 (9) //
  - Код в браузере не открывает порты Браузер лишь делает запросы - то что и должен, Аноним, 10-Ноя-20, 12:00 (11) //
    - Давайте еще и в NAT обязательные сертификаты добавим, сгорел сарай гори и хата , Аноним, 10-Ноя-20, 13:07 (28)
    - Браузер должен открывать страницы и их рендерить И нечего пихать в браузер сист, Аноним, 10-Ноя-20, 15:33 (47)
      - А как ему их рендерить если кода нет опять упихаться в 5 стандартных тегов и за, 1, 11-Ноя-20, 01:59 (95)
        
        Это не пользователи хотят видеть такими браузеры, а разработчики html оброс рако, gogo, 11-Ноя-20, 04:14 (96)
        
        И даже не разработчики, а менеджеры корпораций Веб это платформа и вот это вс, mustdie, 11-Ноя-20, 10:38 (102)
        
        пфф, вэб это среда и ей нужны свисторверделки, так же как этим вашим питонам руб, 1, 13-Ноя-20, 11:10 (117)
  - Хоть кто-то на opennet понимает как все работает и почему Вам нужно полностью з, Аноним, 11-Ноя-20, 08:19 (99) //
    - На редкость уникальный аноном 80 Да Ржу не могу , srgazh, 11-Ноя-20, 17:02 (108)
      - И 443 Если проблема вызвана тем что браузер умеет открывать порты, то ему нужно, Аноним, 12-Ноя-20, 00:13 (112)
- Ух какие сложные вопросы у вас По историческим причинам Изначально протокол i, Аноним, 14-Ноя-20, 02:26 (119) //
  - Спасибо за ликбез Прочитал с интересом , Другой Аноним, 15-Ноя-20, 16:24 (121)
  - Ещё пара таких комментов, и я смогу сдать CCIE, как минимум, Noname, 13-Апр-21, 13:42 (130)
  - Я думаю дело не просто в том, что не хотят, а в том, что это реально сложно, осо, Аноньимъ, 10-Июн-21, 18:51 (131)
бгага, лол какой у меня внутренняя сетка 1 0 0 0 24согласен - не правильно н, Cyber100, 10-Ноя-20, 11:39 (4) //
- Бугага, теперь тебе не доступны сервисы из CDN cloudflare, Аноним, 10-Ноя-20, 11:56 (10) //
  - Идея, использую-ка я у себя в локалке адреса Netflix а , Аноним, 10-Ноя-20, 12:00 (12) //
    - Это не защищает от атаки, просто атакующему нужно будет цзнать твою сетку заране, Рева RarogCmex Денис, 10-Ноя-20, 12:19 (20)
    - Адреса гугла надо пользовать, чтоб ютуб не показывал , Аноним, 10-Ноя-20, 15:38 (48)
  - да ты чЁ, правда вот это да , Cyber100, 10-Ноя-20, 12:39 (23)
В BSD есть scrub, а что делать в линуксе , Аноним, 10-Ноя-20, 11:42 (5)
ЧЁРНЫЙ список 587, smtp outgoing 601, syslog-conn 636, , Аноним, 10-Ноя-20, 11:46 (6) //
- Эй гугл, мозилла Я у себя разместил сервис SIP на 80 и 443 порту Заблокируйте , Аноним, 10-Ноя-20, 11:47 (8) //
  - мне тоже это понравилось Надеюсь, в коммит пойдёт с комментерием HACK , InuYasha, 10-Ноя-20, 14:24 (37)
  - Эй, аноним Ваш SIP-сервис на нестандартных портах не представляет никакой опасн, Аноним, 10-Ноя-20, 20:08 (86)
  - Закрытие, жесткая привязка и проброс портов - это хорошо, но не является панацее, Витя_Витя, 19-Ноя-20, 19:55 (126)
- network security ports banned, Аноним, 10-Ноя-20, 17:03 (58) //
  - Давайте сразу добавим 443й порт как самый опасный Сколько же через него вредон, Аноним, 11-Ноя-20, 10:35 (101)
Для проведения атаки достаточно, чтобы жертва запустила подготовленный атакующи, КО, 10-Ноя-20, 11:46 (7) //
- И перестал пользоваться интернетиком , DildoZilla, 10-Ноя-20, 12:17 (19) //
  - И перестал писать комментарии Он теперь не может вам ответить , Аноним, 10-Ноя-20, 12:54 (26)
- Предлагаю все новости начинать с предложения Для проведения атаки достаточно, , Аноним, 10-Ноя-20, 16:19 (55) //
  - Это вряд ли, скорее, наоборот аноним выше перестал читать,но писать не перестал , fuzzi, 10-Ноя-20, 17:29 (63)
  - учитывая, что js обычно надо при посещении 702FAA-сервисов, можно сказать что по, Аноним, 10-Ноя-20, 17:45 (69)
RFC 2616The default port is TCP 80 19 , but other ports can be used Своим фикс, Аноним, 10-Ноя-20, 12:03 (13) //
- Нет https github com whatwg fetch issues 1108Не могут Достаточно не использов, Аноним, 10-Ноя-20, 17:37 (66) //
  - Поправьте меня, но насколько я понял https fetch spec whatwg org описывает п, Аноним, 10-Ноя-20, 19:58 (84)
Не понял необходимости хвостоманипуляции с HTTP-запросом Далее говорится, что J, Аноним, 10-Ноя-20, 12:09 (15) //
- Я так понял что из браузера можно послать только HTTP запрос Браузер сам добави, Аноним, 10-Ноя-20, 12:14 (17) //
  - Но вторая часть не будет иметь в заголовке установленного флага SYN Поэтому при, Аноним, 17-Ноя-20, 11:59 (123)
Замотали изолентой и типа норм Лол , Аноним, 10-Ноя-20, 12:10 (16) //
- У них там уже 15 портов закрыты изолентой Поэтому на 16-ый раз даже думать не с, Аноним, 10-Ноя-20, 12:16 (18)
Может, просто хватит уже считать, что NAT защищает от чего-то , Аноним, 10-Ноя-20, 12:22 (21) //
- локалхост может эмулировать сеть любой сложности и глубины, а неуловимые джо за , Аноним, 10-Ноя-20, 13:24 (31)
- Может просто надо прочитать не только заголовок И то что NAT не защищает - расск, pofigist, 10-Ноя-20, 13:33 (32) //
  - Ты баклажан Cisco ASA делает не только NAT NAT сам по себе даже у Cisco ни от , Аноним, 10-Ноя-20, 14:50 (40) //
    - Вообще-то вся защита в Cisco ASA - сделана именно на NAT Есть трансляция - триф, pofigist, 11-Ноя-20, 15:37 (105)
  - Циска в Иран уже поставляла своё поделие , Аноним, 10-Ноя-20, 18:15 (71) //
    - workstation- airgap- fpg General_Purpose_Device_With_Ability_To_Plug-In_ Removab, Аноним, 10-Ноя-20, 19:04 (74)
      - https www schneier com blog archives 2014 01 jetplow_nsa_exp htmlага, нашёл, у, Аноним, 10-Ноя-20, 19:32 (81)
    - Циски и в 2008 году отваливались где нужно , Michael Shigorin, 10-Ноя-20, 19:50 (82)
      - И не только кошки но это к делу отношения не имеет , pofigist, 11-Ноя-20, 15:39 (106)
Проблема в косых NAT ALG - не нужно открывать канал только по фрагменту , none, 10-Ноя-20, 12:22 (22) //
- Пакетный фильтр разбирает пакеты по отдельности Для него просто не существует ч, К. О., 10-Ноя-20, 12:43 (24) //
  - Ну значит придётся учить , Crazy Alex, 10-Ноя-20, 13:51 (35) //
    - Ну значит дыры надо пробивать не через отслеживание соединений, а через upnp явн, Аноним, 10-Ноя-20, 17:14 (62)
    - Пакетный фильтр ты этому не научишь То есть, если научишь, он уже перестанет бы, К. О., 10-Ноя-20, 17:38 (67)
  - Нет, см conntrack, Аноним, 10-Ноя-20, 13:59 (36) //
    - Да Conntrack, грубо говоря, поворачивает ручку, ориентируясь на содержимое един, К. О., 10-Ноя-20, 17:36 (64)
  - fwcmd sbin ipfw fwcmd add reass all from any to any in fwcmd add deny al, BorichL, 10-Ноя-20, 14:31 (38)
А в чем проблема, крутая фича же Можно решить часть типичных нат-проблем без пе, Аноним, 10-Ноя-20, 13:05 (27) //
- Cisco ASA знаешь NAT однако Как у большинства сетевых фаерволов, pofigist, 10-Ноя-20, 13:35 (33)
- это не проход ната, инициируемый снаружи, для подключения, это очередной WebRTC , JL2001, 10-Ноя-20, 15:47 (50)
Очень теоретический вопрос А если внутренняя сеть только по IPv6 шарашится , ryoken, 10-Ноя-20, 13:07 (29) //
- предполагаю, что дырявый нат так же откроет портсложнее будет только получить вн, JL2001, 10-Ноя-20, 15:48 (52)
Эм, что-то я не понял При чём тут SIP И при чём тут данные Я думал, что NAT п, vitalif, 10-Ноя-20, 13:17 (30) //
- А я вот не до конца понял Linux подвержен Там не просто содержимое пакета , Аноним, 10-Ноя-20, 14:32 (39) //
  - Сам по себе нет, это работает только если на роутере стоит ALG - софт, который а, vitalif, 10-Ноя-20, 17:58 (70) //
    - Вот с ftp отличный пример В том же nf_conntrack_ftp учтено, что PORT может оказ , Аноним, 10-Ноя-20, 19:57 (83)
      - Приехали, statefull файерволы обманывают Возвращаемся на stateless - NO TRACK , Павел Отредиез, 11-Ноя-20, 15:55 (107)
Ну что где там то махровое профрепригодное ламерьё что не любит IPv6 потому что , Аноним, 10-Ноя-20, 13:45 (34) //
- А он тут каким боком вообще , Аноним, 10-Ноя-20, 14:54 (42) //
  - так главный аргумент у них против ipv6 - нат нас защищает нат вороги не пройд, JL2001, 10-Ноя-20, 15:52 (53) //
    - Вполне себе защищает, что не так то Ломают через троян в виде браузера , Аноним, 10-Ноя-20, 15:57 (54)
      - Интересно посмотреть где этого трояна нету Смешнее другое - сейчас костылей по, Аноним, 10-Ноя-20, 18:28 (72)
        
        Нет браузера - нет трояна Найти другой способ выполнить свой код на стороне кли, Аноним, 10-Ноя-20, 19:01 (73)
- Справжн 1108 tm махровое профнепригодное ламерьё даже статью не осилило и век, Michael Shigorin, 10-Ноя-20, 15:48 (51) //
  - А сейчас Шигорин удалит комментарий Шигорина как офтопик Хотя нет, не удалит, к, Урри, 10-Ноя-20, 20:30 (89) //
    - Не, пока есть шанс, что человек уязвится, но намёк поймёт, что не те три буквы п, Michael Shigorin, 10-Ноя-20, 21:06 (90)
  - Я смотрю, шигорин на парашу убежал, но даже там его антиукраинская анусная боль , OpenVMS, 14-Ноя-20, 22:37 (120)
- Как-будто для IPv6 нету NAT а , Аноним, 17-Ноя-20, 11:51 (122)
UPnP выключайте в роутере и будет вам счастьеТоже дыра дыройА еще у меня NAT про, Аноним, 10-Ноя-20, 14:58 (43)
Насколько я понимаю, тот факт, что PF по умолчанию работает в stateful-режиме уж, Аноним, 10-Ноя-20, 15:00 (44) //
- Там вообще alg нет Поэтому и защищает 128513 , Аноним, 10-Ноя-20, 15:41 (49)
ну так дропать соединения по портам 5060 1 в наружу от пользаков, не , An, 10-Ноя-20, 15:01 (45) //
- На всякий случай лучше все порты заблочить , Аноним, 10-Ноя-20, 20:04 (85)
- Достаточно только 5060 5061 TCP закрыть, UDP можно для SIP оставить , aaaa, 18-Ноя-20, 10:53 (124)
А что, NATящий шлюз не смотрит, что у корректного SIP-пакета в заголовке Seque, YetAnotherOnanym, 10-Ноя-20, 15:03 (46) //
- Не, не смотрит Если я не путаю ничего, TCP IP точнее IP от этих номеров ждёт , Ordu, 10-Ноя-20, 19:17 (77) //
  - Путаешь Таки TCP , Аноним, 11-Ноя-20, 17:58 (109) //
    - А, ну да, точно Путаю , Ordu, 11-Ноя-20, 17:59 (110)
  - Firewall без DPI зачастую вообще не знает что там за трафик, обычно по портам ор, aaaa, 18-Ноя-20, 10:55 (125)
- Видимо, кривые реализации ALG этого не учитывают , Аноним, 10-Ноя-20, 19:25 (78)
Многие сервисы, банки эту какаху юзают, что тут НОВОГО , Аноним, 10-Ноя-20, 16:31 (56)
ой да ладно вам - замажут заплаткой, Аноним, 10-Ноя-20, 17:02 (57)
Ну, правильное решение это настроенный как для сервера файрвол локалхоста Либо , Аноним, 10-Ноя-20, 17:13 (59) //
- Угу, и так для всей локалки и всем пользователям Не проще, запретить весь исхо, OpenEcho, 10-Ноя-20, 17:37 (65) //
  - Лучше поставить терминальный сервер приложений и запускать браузер на нем А на , Аноним, 10-Ноя-20, 19:11 (75) //
    - В самом деле Чтобы если проломили терминальный сервер - проломили всех сразу , Аноним, 10-Ноя-20, 19:27 (79)
    - Терминальный сервер В домаших и малых бизнесах сетках А вы знаете толк как эк, OpenEcho, 10-Ноя-20, 20:11 (87)
      - Атака NAT slipstreaming для отправки запросов на внутренний ..., OpenEcho, 10-Ноя-20, 20:12 (88)
  - И чем это решение проще для рядовых пользователей Более того, на гейте же тоже , Аноним, 11-Ноя-20, 06:05 (97) //
    - Тем, что проксик на бесплатном pfsense, который взлетит на любом старом компе к, OpenEcho, 12-Ноя-20, 00:46 (113)
А ничего, что SIP висит на UDP-порту 5060 Каким образом хвост HTTP-запроса, отп, Аноним, 10-Ноя-20, 17:44 (68) //
- SIP может работать как через TCP, так и через UDP порт 5060 При отправке по UDP, Аноним, 10-Ноя-20, 19:13 (76)
В общем случае данная атака упрётся в файрвол на машине пользователя Да, роуте, Аноним, 10-Ноя-20, 19:29 (80)
Ребята, подскажите, надо ли мне бояться, есть у меня безайпишное pppoe соединени, Аноним, 10-Ноя-20, 21:57 (91)
При использовании ufw на https 2ip ru privacy всё хорошо При использовании n, Аноним, 10-Ноя-20, 22:52 (92)
0 Этот ALG вообще мало где включен 1 Зачем держать у себя запущенными сервисы , Ivan_83, 11-Ноя-20, 00:23 (93) //
- Очевидно что разработчики браузеров и сетевых сервисов слишком глупы чтобы догад, Аноним, 12-Ноя-20, 22:18 (116) //
  - Да, потому что мало кто вообще умеет пользоваться сетевым API в операнционках, о, Ivan_83, 13-Ноя-20, 20:14 (118)
Некоторое время назад думалось по поводу NAT Traversal между двумя компьютерами , Аноним, 11-Ноя-20, 01:13 (94)
Система отслеживания соединений в сетевом стеке посчитает Разве ошибка не тут , Аноним, 11-Ноя-20, 07:18 (98) //
- Может быть, а может и нет Сложно сказать NAT -- это костыль, который, забивая , Ordu, 11-Ноя-20, 10:18 (100) //
  - Модель OSI в принципе плохо применима к стеку протоколов интернета, т к он был , Аноним, 11-Ноя-20, 12:33 (103) //
    - Какая разница NAT не вписывается также и в модель с уровнями TCP IP , Ordu, 11-Ноя-20, 13:12 (104)
Может быть получиться проделать эти манипуляции без javascriptна втором этапе мо, Аноним, 11-Ноя-20, 18:50 (111) //
- да легко, пишешь на странице Ваш браузер устарел , и кнопка обновить до Хром , Аноним, 12-Ноя-20, 07:40 (115)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру