Академический Документы
Профессиональный Документы
Культура Документы
АДМИН
Содержание статьи
01. Активные и пассивные абоненты
02. Что делать провайдеру
03. Ботнет
04. Заключение
WARNING
На практике этот процесс может затянуться, потому что веская причина физического отклю-
чения, по сути, только одна: это когда необходимо подключить нового абонента, но заняты
все порты на конечном оборудовании провайдера (которое обычно стоит где‑нибудь на чер-
даке среди гор керамзита и голубиных какашек). Тогда монтажники провайдера могут про-
вести ревизию и отключить того, кто не пользуется их услугами и не платит звонкой
монетой. Но если такой нужды нет, то вполне логично держать абонентов подключенными —
вдруг еще вернутся?
Активный абонент, который добросовестно платит за интернет и будет выступать в роли раз-
дающего. Например, если у халявщика и его родственника, друга, знакомого или коллеги
один и тот же провайдер — это идеальный вариант, в противном случае жертвой может
стать случайный человек. Причем абоненты физически могут находиться в разных частях
города.
Еще одна проблема для провайдера — это неуправляемые коммутаторы, играющие роль
конечного оборудования. Отсутствие возможности отключать порты автоматически, прог-
раммно и удаленно, ведет к тому, что подключиться к абонентской локальной сети может
кто угодно, если этот «некто» имеет доступ к сетевому оборудованию. Которое, как правило,
слабо защищено физически или вовсе стоит в лестничных шкафах, запертых на кусок про-
волоки.
DHCP-сервер провайдера в локальной сети должен каждый раз назначать рандомный IP-
← Далее
адрес абонентам при превышении короткого lease time. Тем самым пассивный абонент
Ранее →
< будет вынужден менять в своих настройках IP-адрес подключения сервера при каждом >
завершении lease time у активного абонента либо использовать доменное имя.
Такой способ заодно защищает от атак типа DNS Tunneling. Впрочем, из‑за низкой пропус-
кной способности мы ее здесь даже не рассматриваем — пользоваться таким туннелем
в качестве основного канала вряд ли кто‑то захочет.
БОТНЕТ
Во время исследования у меня появилась идея проанализировать, что будет происходить
с сетевым устройством, которое подключено к локальной сети провайдера, но не подклю-
чено к интернету. Например, кто его сканирует и по каким портам.
INFO
В нашем упрощенном случае он будет только анализировать логи iptables и строить статис-
тику: кто, когда и по каким портам пытался к нам подключиться. Все, что нужно сделать
для работы этого инструмента, — включить логирование правил iptables. Никаких портов
дополнительно открывать не требуется. Стандартный номер порта службы SSH я изменил,
чтобы не возникло коллизий в статистике с неавторизованными подключениями.
Первые два адреса в списке «атакующих» — это мой собственный и DNS-сервер провайдера.
Мой там оказался по понятным причинам, а вот DNS-сервер провайдера там появился
потому, что PSAD пытается резолвить PTR-запись атакующих плюс еще ОС посылает
какие‑то запросы. А так как UDP не сохраняет состояние сессии, то и получается, что
обратные ответы от DNS-сервера детектируются как атаки, что видно на следующем скрине.
ЗАКЛЮЧЕНИЕ
Итак, получается, что цепочка мисконфигов у провайдера позволяет бесплатно исполь-
зовать его сеть в своих интересах и безопасной ее считать никак нельзя. Кроме того, анализ
сети показал, что даже не подключенные к интернету устройства вполне успешно атакуются
соседями. © Xakep
Оцени статью:
!!!!!
K1R 0BYTE
Discovering, exploring and experiencing
2 комментария
mitrofanzzz
28.07.2021 в 15:35
Интересно, но заголовок у статьи байтит на другое содержимое… В любом случае спасибо автору.
Ответить
toxicshadow
28.07.2021 в 16:17
Оставить мнение
Комментарий
ОТПРАВИТЬ
F#ck da Antivirus. Как обходить Лайфхаки для DevOps. Маленькие Разработчики малвари все чаще используют
антивирус при пентесте хитрости и большие инструменты на необычные языки программирования
5 дней назад каждый день
2 часа назад
4 недели назад
Шифровальщик BlackMatter атакует компании с
HTB Breadcrumbs. Атакуем Apache на Магия консоли. Подбираем полезные доходом выше 100 миллионов долларов
Windows и эксплуатируем утилиты для работы в терминале 3 часа назад
уязвимость JWT 08.06.2021 За пять лет работы проект No More Ransom помог
1 неделя назад уберечь от вымогателей 900 млн долларов
хакерства. Определяем «почерк» сторонние приложения в iOS без CDN Discord используется для распространения
компилятора по вызовам функций джейла малвари
2 недели назад 24.05.2021