Полезный скрипт

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Безопасность рабочего места »   Полезный скрипт
RSS

Полезный скрипт

  Вперед>>Печать
 
ara_367519
Долгожитель форума

Откуда: г. Пенза
Всего сообщений: 802
Рейтинг пользователя: 14


Ссылка


Дата регистрации на форуме:
4 дек. 2012
Сегодня у меня появилось желание разобрать с вами один скрипт,

который будет работать в защите ваших хостов от DoS,MITM атак и от сканирования.



Автором утилиты является Maksym Zaitsev (Cryptolok),но с приветом из Франции.

У инструмента имеются некие ограничения.Например,автор сразу предупреждает о ситуации ,когда жёстко прописан mac-адрес.

И в таком случае MAC-spoofing работать не будет.

Также,не рекомендуется использовать для CISCO и других крупных серверов.



Других ограничений не имеется,и утилита может быть установлена на любом дистрибутиве Linux.

В число приоритетных задач входит сокрытие хоста в сети,чтобы его обнаружение было сведено к минимуму.

Особенно это касается протокола ARP,за счёт уязвимостей в котором,возможны проведения MITM-атак и утечки конфиденциальности.



Понимая,что невозможно всё предусмотреть,автор проработал над идеей отключения ответов на ARP и NDP-запросы

на рабочем сетевом интерфейсе для протоколов IPv4 и IPv6 соответственно.Кеш ARP и NDP удаляется.

И ,таким образом,если только хост сам не пожелает ответить другим в сети,они от него информацию получить не смогут.



Приводится схема о том,как это будет выглядеть:



A >>> I need MAC address of B >>> B

A <<< Here it is <<< B

A <<< I need MAC address of A <<< B

A >>> I'm not giving it >>> B

Помимо всего прочего,как вы догадались теперь,происходит автоматическая смена mac-адреса и имени хоста.

(Последнее меняется при наличии настройки интеренет-соединения от dhcp)



Автор ещё объясняет почему он это делает,но не рекомендует использовать в пентесте

метод поддельной точки подключения,советуя почитать здесь



Ваш покорный слуга ознакомился с содержанием вышеприведённой страницы,интересно там рассказывается

о некоторых методах вычисления расстояния до точки доступа ,ни больше ни меньше ,где у хоста изменён mac-адрес.

Включая триангуляцию и конвертирование силы сигнала в метры,но мы сегодня не за этим.



Хост становится защищён от ARP, DNS, DHCP, ICMP, Port Stealing,что делает его устойчивым к сканерам (в том числе,Nmap и Arp-Scan)

При подключении к каким-либо хостам,последние забудут о вашем хосте,они вас не будут видеть,а вот вы будете видеть всех.

В этом и заключена изюминка рассматриваемого скрипта.



Установка:

# git clone https://github.com/cryptolok/GhostInTheNet.git
# cd GhostInTheNet/
# chmod +x GhostInTheNet.sh
# ./GhostInTheNet.sh on eth0 (здесь указывайте свой интерфейс)
# ./GhostInTheNet.sh off eth0 (завершение работы программы)


Чего хотелось бы отметить особенно:



Не смотря на то,что в описании инструмента говорится о включении его в работу как при запущенном интерфейсе,

так и после отключения интерфейса,я рекомендую использовать второе.

Потому что,запустив инструмент не отключив интерфейс,соединение было разорвано,mac ещё изменился

И затем восстановить соединение без перезагрузки системы сложно.



Наилучший выход-отключить интерфейc вместе с демоном:

# ifconfig eth0 down
# service network-manager stop


И после этого запустить GhostInTheNet .Тогда всё произойдёт гораздо мягче и если соединение не появится,то

достаточно будет набрать команду старта демона,при этом можно проверить,что параметры действительно изменены.


Они будут действовать до перезагрузки системы,или до остановки GhostInTheNet,но имейте в виду,что также возможен обрыв соединения.

Если сделать это грубо.

Подробнее - telegra.ph/GhostInTheNet-Kak-stat-prizrakom-v-seti-03-11

---
истина где-то рядом...
  Вперед>>Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Безопасность рабочего места »   Полезный скрипт
RSS

Последние RSS
Open Source Intelligence (OSINT) Tools and Resources Handbook
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
Безопасность данных в MS Access
Слово как улика
20 Recon and Intel Gathering Tools used by InfoSec Professionals
What’s Changed?
10 альтернативных поисковиков
Ситуационный центр главы Республики Коми
Развёртывание ситуационных центров на базе технологии Avalanche
Как принимать сложные решения. Советы бывшего оперативника ЦРУ.
Открытая информация о "Новичке" из сети интернет.
Ген. директор "ОЗХО" Ахмет Узюмдж о "Новичке" и хим. атаке в Сирии
Онлайн-сервисы для Twitter
Коллекция для Twitter
Приложение Opera VPN закрывается
О работе разведки
Deep web и 11 поисковиков по нему
Об изначальной "лживости" любых документов
Обновление на блоге HRазведка

Самые активные 20 тем RSS
Стандартные источники информации в СайтСпутнике
Слово как улика
Open Source Intelligence (OSINT) Tools and Resources Handbook
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
WebSite Watcher
Безопасность данных в MS Access