42سپاس
LinkBack URL
About LinkBacksمتاسفانه بله مثل logme in
متاسفانه بله مثل logme in
دقیقانوشته اصلی توسط mhdganji
برای همنه که میگیم حق نصب نرم افزار را به دوستان ندهیم.
این نرم افزارهای ار نظر تکنیکی به این صورت عمل میکنند که یک ارتباط با سرور خودشان برقرار میکنند و این ارتباط بر روی پروتکل SSL و تا جایی که یادم است با پورت 443 است.
چون این ارتباط یک ارتباط established از نظر روتر و یا فایروال است به همین دلیل اجازه انتقال داده ها و پکتها را بر روی این کانکشن میدهد و خود برنامه بر روی سیستم یک کارت شبکه مجازی ایجاد میکند که باق ماجرا ها را در بر دارد.
برای خرابکاری کردن تو شبکه داخلی چه نیازی به استفاده از نفر دوم هست . اونی که تو شبکه داخلی هست که همه چی دم دستشه که . (مگر اینکه سوات نداشته باشه) .
در هر صورت من پایه هرجور خرابکاری هستم . بسم ا...
گذشته از شوخی میتونی رو فایروالت مانیتور کنی ببینی که هاماچی از کدوم پورت برای اتصال استفاده میکنه یا از چه signatures ای استفاده میکنه بعد اونو فیلتر کنی .
"در دنیا هیچ بن بستی نیست. یا راهی خواهم یافت، یا راهی خواهم ساخت"
خب قرار نیست کاربرها بتونن روی سیستمشون برنامه ای (hamachi) رو نصب کنند که، چون اگر که بتونند . . .
نمیدونم منظورت از این چیهاز چه signatures ای استفاده میکنه بعد اونو فیلتر کنی .
یه ذره بیشتر توضیح میدی ؟
دقیقا منظور از signature چیه ؟ از کجا باید بفهمم و چطوری باید بسته بشه ؟
تا اونجایی که من یادمه team viewer یا logme in احتیاجی به نصب برنامه ندارن
برای signature هم بایید از L7 فایروال استفاده کنید مثل میکروتیک البته ایزا هم میتونه
ویرایش توسط mgholami : 2010-06-24 در ساعت 11:42 AM
توی آیزا signature ، کاراکترهای تعیین شده ای هستند که در قسمت header یا body پیام قرا میگیرن .
مثلا signature نرم افزار یاهو مسنجر msg.yahoo.com هست که در قسمت request header پیام قرار میگیره که با بستن اون میتونید ارتباط یاهو مسنجر ها رو مدیریت کنید . هر نرم افزاری s مربوط به خودش رو داره که باید پیداش کنید برای این کار میتونید از ابزارهایی مثل network monitor استفاده کنید و اطلاعات انتقالی بین نرم افزارها رو مشاهده و s مورد نظر پیدا کنید .
یعنی بستن این signature مساوی هست با بستن ترافیک به سمت msg.yahoo.com ؟؟
من رو فایروال مونیتور کنم ببینم برای اتصال به hamachi پکت ها به سمت چه ساتی میرن بعد اون سایت رو ببندم حله ؟ یا نه این signature داستانهای دیگه ای داره ؟
دقیقا چه ابزاری منظورتونه ؟ مثلا با Wireshark میشه ؟
شما تو آیزا میگی که s مورد نظر اگر در بدنه یا هدر بود deny بشه . در غیر اینصورت فیلتر نمیشه .
تو آیزا روی یه رول کلیلک راست کن و گزینه configure http رو بزن . خودت همه چیز و متوجه میشی .
s ها داستان دیگه ای هستند . همون جور که عرض کردم این s ها یا در body هستند یا در header . بستن سایت خودت هم خوب میدونی که یه قصه دیگست .
باید بدنه یا هدر پیام ها بازرسی بشن تا s ها مشخص بشن .
منظورم خود network monitor ویندوز 2003 سرور هستش . که میتونید نصب کنید و از ترافیک نمونه برداری کنید تا s های مورد نظر رو بدست بیارید .
خوب مگه همه بسته ها به سمت یه سایت که hamachi مدیریتش میکنه نمیرن ؟ با این قضیه نمیشه مونیتور و مسدودش کردبستن سایت خودت هم خوب میدونی که یه قصه دیگست .
و اینکه کاربرد این signature چیه ؟ چرا مثلا مسنجر حتما باید این امضا رو توی بسته هاش بذاره ؟ مگه توی شناسایی مقصد مشکلی وجود داره ؟ یا این امضاها کار خاصی انجام میدن که حتما باید باشن ؟
Network Intrusion Detection Signatures, Part One | Symantec Connect
من ایزا ندارم فایروال سخت افزاریه باید ببینم این رو توش داره یا نه
اگه آدرسی رو که اون بسته ها میرن رو بدونی که مشکلی نیست . اون آدرس یا آدرس ها رو deny میکنی .
بحث سر اینه که ممکنه این آدرس ها هر بار عوض بشن . مثل Node که کلی آدرس داره برای دانلود کردنه فایل های آپدیتش . از هر کدوم نتونست از یکی دیگه سعی میکنه بره و ...
بالاخره این نرم افزارها برای ارتباط با سرورشون باید پکت های رو با دیتای مشخصی بفرستند دیگه . اینم یه جور پروتکله دیگه .
بیا اون لینکی رو که دادم یه مقاله کن واسه ملت بذار
همه دعات میکنند ! امواتت رو هم صلوات میفرستند
توشه آخرتت هم میشه تو دنیا هم بهت خیر میرسه
البته از جناب کلاهی هم میتونیم این خواهش رو داشته باشیم چون تخصصش NIDS هستش
کاملا موافقم
آقای کلاهی بسم ا..
شما عضو ویژه هستی و امنیت هم که تخصصته و کاملا تو دستته
یه مقاله در این مورد بذار استفاده کنیم
به اینجور ارتباط ها نمیشه گفت ابزار خراب کاری چون هم نیاز به تائید سیستم مقابل هستش هم کلاً تابلو هستن وقتی نصب می کنین . اما در هر صورت یک مانیتور کنین ببینین از چه پورتی استفاده می کنه اون پورت رو با یه نرم افزاره port locker ببندین . اگه هم همونطور که آقای علی پور گفتن می خواین signature رو در بیارین می تونین از ابزار هکینگ به نام Achill استفاده کنین که در اصل برای تغییر در session ها هستش اما می تونید باهاش کل Request ها رو با header ها رو ببینید و حتی تغییر بدید موقع اارسال . فقط کافی پورتی رو که برنامه hamachi از اون استفاده می کنه رو در Achill بدید و استارت بزنید شروع به مانیتور کردن می کنه .بله میدونم فرض کن من و شما با هم میخوایم خرابکاری کنیم
من داخل مجموعه هستم و شما بیرون
با هم یه شبکه توی hamachi راه میندازیم و بسم ا...
برو بریم
اما از نظر من کلاً پورت نرم افزار فوق رو ببندی اصولی تر هستش signature بیشتر در وب فیلترینگ محسوس هستش یک ارتباط ptp برای فیلتر کردنش بهتره که پورت مربوز را deny کنید .
مجوز های ارسال و ویرایش
