Podivná IP adresa na torrentu

stahovac

Re:Podivná IP adresa na torrentu
« Odpověď #15 kdy: 29. 10. 2013, 20:37:45 »
tadeas: to co jsi popsal, jak by to slo prakticky zneuzit? Protoze, co se stane, az se pripojis na  mujrouter:53342, tam nic nepobezi, ne? Jake ma utocnik moznosti?

Peter: UPnP nemam povolene


Lol Phirae

Re:Podivná IP adresa na torrentu
« Odpověď #16 kdy: 29. 10. 2013, 20:41:33 »
To se mi snad zda. Komunikace na LAN (kam patri ta tvoje "podivna" RFC1918 adresa) vubec neprobiha pres router. Ve firewallu na routeru si muzes nastavovat, co chces, bude to uplne jedno. Ty pakety pres nej vubec netecou.

stahovac

Re:Podivná IP adresa na torrentu
« Odpověď #17 kdy: 29. 10. 2013, 20:48:04 »
Lol Phirae : ale prosimte, kdyby sis to cele precetl, tak bys zjistil, ze ta IP opravdu neni v me siti a muze za to muj ISP

tadeas

Re:Podivná IP adresa na torrentu
« Odpověď #18 kdy: 29. 10. 2013, 20:50:45 »
tadeas: to co jsi popsal, jak by to slo prakticky zneuzit? Protoze, co se stane, az se pripojis na  mujrouter:53342, tam nic nepobezi, ne?
V našem příkladu tam poběží prohlížeč. A samozřejmě desktopový operační systém. Ani jedno není zrovna vyhlášené bezpečností. Například (trošku ujetý, ale ani ne moc) tam můžu poslat PDFko a pokud to stihnu dřív, než root.cz odpoví, tak webový prohlížeč poslušně spustí PDF prohlížeč a máme další dimenzi bezpečnostních problémů.

Nicméně ta důležitá informace, na kterou jsi se ptal, je, že i když jsem za NATem, tak mi stejně kdokoliv může posílat packety.

stahovac

Re:Podivná IP adresa na torrentu
« Odpověď #19 kdy: 29. 10. 2013, 21:05:50 »
tadeas: Jak bys neco poslal do meho browseru, pokud nebudes mit pristup na stroj, na ktery jsem ze zacatku vytvoril spojeni na port 80?

Vzdyt browser ze sebe neudela server, ktery nasloucha na portu x?


Jak se to snazim pochopit, tak bys musel mit stejnou IP jako server, ke kteremu jsem se pripojil na port 80
A nebo nekde v trase mit moznost zmenit obsah paketu co je pro me, co mi poslal ten http server




tadeas

Re:Podivná IP adresa na torrentu
« Odpověď #20 kdy: 29. 10. 2013, 21:14:31 »
tadeas: Jak bys neco poslal do meho browseru, pokud nebudes mit pristup na stroj, na ktery jsem ze zacatku vytvoril spojeni na port 80?
Sry, líp už to vysvětlit nedokážu.

Vzdyt browser ze sebe neudela server, ktery nasloucha na portu x?
Browser samozřejmě poslouchá na portu x, jinak by k němu nedošly packety, které odesílá root.cz. Nenapadá mě, kde je hezky vysvětlené jak to funguje, někde na wikipedii ale asi jo.

Jak se to snazim pochopit, tak bys musel mit stejnou IP jako server, ke kteremu jsem se pripojil na port 80
Přečti si popis a prohlídni obrázek u toho full-cone NATu. "Server 1" je root.cz, "Server 2" jsem já.

stahovac

Re:Podivná IP adresa na torrentu
« Odpověď #21 kdy: 29. 10. 2013, 21:42:36 »
tadeas:

Tak prece je to TCP spojeni, ktere se otevre, jsou tam nejaka konkretni sekvencni cisla, ktera se ocekavaji. Nemuzes prece jen tak prijit z cizi IP adresy a narusit vytvorene spojeni vlastnima datama,ne?

Jak se ten druh utoku co popisujes nazyva?

Jedine, co jsem nasel je  TCP session hijacking / Blind attack a nejake hadani sekvencnich cisel, coz si neumim predstavit jak je v praxi treba u toho prohlizece realizovatelne, kdyz to spojeni je otevrene jen kratkou chvili.

 





tadeas

Re:Podivná IP adresa na torrentu
« Odpověď #22 kdy: 29. 10. 2013, 21:56:53 »
tadeas:

Tak prece je to TCP spojeni, ktere se otevre, jsou tam nejaka konkretni sekvencni cisla, ktera se ocekavaji. Nemuzes prece jen tak prijit z cizi IP adresy a narusit vytvorene spojeni vlastnima datama,ne?
Hádání sekvenčních čísel je jeden z nejzákladnějších man in the middle útoků. Mimochodem já jsem nemluvil o TCP (vyjma nepříliš inteligentního příkladu s prohlížečem). NAT jako takové funguje pro jakýkoliv druh L4 packetů.

Jak se ten druh utoku co popisujes nazyva?
To neni útok, to je NAT traversal :) . Dá se použít jak pro "slušný" účely (skype, bittorrent, ...), tak pro neslušný.

Jedine, co jsem nasel je  TCP session hijacking / Blind attack a nejake hadani sekvencnich cisel, coz si neumim predstavit jak je v praxi treba u toho prohlizece realizovatelne, kdyz to spojeni je otevrene jen kratkou chvili.
Hlavní je, že si to umí představit útočník :) .

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Podivná IP adresa na torrentu
« Odpověď #23 kdy: 29. 10. 2013, 22:16:11 »
Lol Phirae : ale prosimte, kdyby sis to cele precetl, tak bys zjistil, ze ta IP opravdu neni v me siti a muze za to muj ISP

Toz to neni tak upln pravda. Do hloubky jsem to nestudoval, ale jestli to spravne pohopuji, tak tyhle privatni adresy se vam  bittorent klientovi objevi, kdy je druha strana za NATem nebo aspon firewallem a nema verejnou ip. Pokud vase strana verejnou ip ma, lze navazat spojeni a strana za firewallem vam posle pozadavek na zaslani souboru (push request nebo jak se to). Vy v torrent klientovi pak vidite privatni adresu, ale ta tam je asi jako identifikace klienta nebo neco. Vlastni komunikace pak ale tezko s touto adresou probiha, to by vyzadovalo celou serii blbe nakonfigurovanych routeru na Internetu, coz je dost nepravdepodobne. S cim vlastne komunikujete byste videl ve Wiresharku nebo v iptraf.

Proc neni respektovan limit uploadu, je zahada, ale tipnul bych nejakou botu v Microtorrentu, protoze nevidim, proc by to omezeni melo byt implementovano na strane prijemce, logicky by to bylo implementovano na strane odesilatele, jinak by vam nikdo nezarucil, ze to bude respektovano, az se objevi milion vylepsenych klientu, ktere na to dlabou.

gg

Re:Podivná IP adresa na torrentu
« Odpověď #24 kdy: 29. 10. 2013, 22:17:49 »
Představme si, že máš tvůj router implementuje NAT stylem full-cone (pro jednoduchost). Připojíš se ze svého počítače (za NATem) na web rootu. Router otevře spojení z nějakého portu, řekněme 53342 na root.cz:80. Router si pamatuje, že co přijde na port 53342, má přeposlat na tvůj počítač. No a mně už stačí poslat request na <ip tvého routeru>:53342 a voilá! jsem za NATem, protože tvůj router všechny packety příchozí na port 53342 přeposílá.

U ostatních typů NATu je to obdobné, jenom složitější.

Ja se taky hlasim, ze toto mi prijde jako velmi naivni scenar. Ten router prece nebude prijimat TCP pakety z JAKEKOLIV adresy, co prijde na port 53342 a preposilat to klientovi. Prece pouze cilovy server (root.cz - jeho IP) bude vpusten dovnitr. Ten NAT router si otevre vlastni spojeni na root.cz a nikdo jiny mu tam ladovat zadny data nemuze :) Pokud samozrejme neni po ceste nekdo kdo muze odposlechnout sekvencni cisla, resp. handshake a predbehnout legitimni root.cz. Kazdop. i tak je to dost mission impossible IMHO.

Jo a jeste k tomu browseru jak to tady zaznelo, browser rozhodne neposloucha na zadnem portu, je to prece klient a ten navazuje spojeni.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Podivná IP adresa na torrentu
« Odpověď #25 kdy: 29. 10. 2013, 22:22:13 »
Jo a jeste k tomu browseru jak to tady zaznelo, browser rozhodne neposloucha na zadnem portu, je to prece klient a ten navazuje spojeni.

Tak asi posloucha na portu, na kterem si otevrel spojeni na nejaky sever, ne? A to po dobu, nez spojeni bude uzavreno. Kdyz neposloucha, tak jak se asi doslechne, ze mu prisla odpoved?

stahovac

Re:Podivná IP adresa na torrentu
« Odpověď #26 kdy: 29. 10. 2013, 22:29:39 »
JardaP: ne, opravdu to neni IP z moji site. Ukazal jsem vypis z tracert, ten hovori za vse - jde to pres branu meho ISP. Navic na te IP bezi nejake mikrotik webove rozhrani a ja zadny mikrotik doma nemam.

Vec s podivnou IP uz mam davno vyresenou, problem byl pouze v me neznalosti iptables :)



gg

Re:Podivná IP adresa na torrentu
« Odpověď #27 kdy: 29. 10. 2013, 22:31:00 »
Tak asi posloucha na portu, na kterem si otevrel spojeni na nejaky sever, ne? A to po dobu, nez spojeni bude uzavreno. Kdyz neposloucha, tak jak se asi doslechne, ze mu prisla odpoved?

Podivejte se na man netstat. Jediné stavy socketu, kterými klient (browser) bude prochazet jsou IMHO tyto:
1) SYN_SENT - klient poslal paket se SYN flagem
2) ESTABLISHED - spojeni s cilovym serverem je navazano, ted se poslou data.
3) CLOSE

Klientuv soket se nikdy nedostane do stavu LISTEN, nikdy. Poslouchaji pouze sokety serverů, ale ne klientů.
Jsem si tim temer jist, vsadim boty.

tadeas

Re:Podivná IP adresa na torrentu
« Odpověď #28 kdy: 29. 10. 2013, 22:31:34 »

Ja se taky hlasim, ze toto mi prijde jako velmi naivni scenar. Ten router prece nebude prijimat TCP pakety z JAKEKOLIV adresy, co prijde na port 53342 a preposilat to klientovi. Prece pouze cilovy server (root.cz - jeho IP) bude vpusten dovnitr.
Ty sis taky neprecet tu wiki stranku vid?

gg

Re:Podivná IP adresa na torrentu
« Odpověď #29 kdy: 29. 10. 2013, 22:37:38 »
To neni útok, to je NAT traversal :) . Dá se použít jak pro "slušný" účely (skype, bittorrent, ...), tak pro neslušný.

S tím NAT traversal taky uplně nesouhlasím. Skype používá tzv. hole punching a to je oboustraný proces.

Vezměme si příklad:
internet ---  NAT router --- muj stroj

Jediný případ, kdy by mohl někdo se dostat za NAT na můj stroj, je ten, kdy útočník je hned 1 hop za tím NAT routerem, tzn. je ve stejné síti jako ten NAT router (ale z vnějšku) a tím pádem může fejkovat i MACky. Jinak z internetu IMHO NAT nelze prostřelit. Opět vsadím boty.