Good job.

Ko hoce jos predavanja ima na http://www.perun.cjb.net/ zajedno sa ovim.

Pa sve je to lepo i pumpa mi ego, ali ajde malo komentari, pitanja,predlozi argumenti,kontraargumenti, iskustva razmisljanja - pa ovo je security forum zar ne ...diskusija ?

Kojom metodom falcifikujes adresu ???????

Posto trusted host drzi njegovu adresu zauzetom kad je "up and running" i dok je u komunikaciji sa drugim hostom kada ga oboris sun-flodom onda moras da se meldujes pod njegovom IP adesom - tj da podesis svoju network-konfiguraciju da imitira oborenog trusted hosta i da se se meldujes na network sa falcifkovanom IP-adresom (njegovom) ukljucujuci default gateway i subnet mask (i naravno time da simuliras da se nalazis na istom subnetu (fizicki) - sto zahteva dosta pripremnog rada i ispitivanja- sto ce mozda da bude sledeca tema u ciberwar seriji jer je predugo da bi se ovako nabrzaka odgovaralo ...

U al ste svi navalili odjednom ... ajde jedan po jedan ...

trusted host da isklucis -> no frks.
da izmenis adresu -> no frks.

medjutim kolka je mogucnost da provalis pravi SEQ-Number?
kako da "detour" trafic koji je namenjen trusted hostu preko svog hosta?

greets
f0rtex

Ovo ti je source za pogadjanje SEQ-brojeva :


[Ovu poruku je menjao B o j a n dana 09.06.2002 u 10:56 PM GMT]

Spoofvanje za Unix to Unix platformu :


[Ovu poruku je menjao B o j a n dana 09.06.2002 u 10:58 PM GMT]

I naravno sve je ovo samo za obrazovne svrhe i proucavanje :

Uporeba programa je na sopstvenu odgovornost ...

Shta je hocesh na Chq da provalish a ? :) :) :) :)

Lepo je sve ovo perune ali ovde svi izigravaju hakere neke i tako te
tripove... malo je kreativnih ljudi (u pozitivnom smislu)

Pa negde mora da se pocne ...
Prvo zamisljas
onda izigravas ...
Pa onda postanes ...

Prvih 10-tak godina ide malo teze a onda je lako ...

Inace postoje kodovi za Linux i FreBSD takodje ...


Nego nesto mi pada u oci - preko 140 pregleda a niko ni da pisne - tako je bilo i sa ostalim delovima Ciberwar serije - tu mi nesto nesto ne stima - u cemu je fora ?

Ocemo da opalimo po politici ili sta ?

Mislim da je fora sto te malo njih razume. A i ovi sto razumeju ne smeju da su upuste u diskusiju.

Polako strpi se nisu jos svi procitali to ne posecuju svi forume svaki dan :)

Hm, znaci da je ipak onaj tip sa SC-a imao pravo kad mi rece da pisem nesto sto niko ne razume - a ja pojeba coveka do koske za djabe ...

Pa nadam se da ce ovde da bude bolje - ovo je elitni hakerski YU-sajt i ako me oni ne razumeju ko ce onda ;-)

Osim toga, mogli bi recimo da raspalimo o ribama - recimo NL-YU uporedjivanje - da se ljudi onako malo opuste i oslobode ... tu barem ne mozes da se izblamiras .... :-)))

Khm mi smo l33t nema ovde ribe/politika/etc ! :))

Inace za ovaj tvoj spoofing se pod linuxom uradi:



I nemo's ga vise spoofujes..

A ne - na linuxu se to radi ovako :

[Ovu poruku je menjao B o j a n dana 09.06.2002 u 11:00 PM GMT]

kao sto je perun reko. treba nekolko godina da se uci dok
se savlada materija koja je potrebna da se razumu te sources
i uopste computer security.
samo dok savladas tcp/ip ti treba dosta vremena.
ili koje su sve vrste scanninga samo preko icmp-a
moguce... to traj dugo dok se kapira. (barem kod mene je tako)
kompiliranje koda i stisnuti return nije tesko.
treba razumeti sta se radi.
a napisat dobar algoritmus to nije bas lako.
kad sam poceo da citam knuth "the art of computer programming" sam
shvatio da jos nemam pojma kako se efektivno programira.
(nadam se da ce to uskoro durgacije izgledati [poceo sam sa fakultetom:D IT])

na kraju krajeva je znanje cilj! zar nije tako?

perune tebi hvala za sources. analisa je pocela :)

zelim svima prijatno vece

f0rtex

p.s.: Consílio melius vinces quam iracundia. - Dobrim savetom
ces vise postici nego ljutnjom (ili flame-om ;-) )

Hej 210 pregleda i jos me niko nije popluvao i izvredjao -hm, mozda ipak ima nade za ovaj sajt ...

To samo moze da znaci da je txt dobar ....i citan L;))

A, pa to ne smeta nama Srbima, vazno je pljuvati - nezavisno od teme i kvaliteta - veruj mi na rec - mi smo jako dobri u tome ...

Ali to je sasvim druga tema ...

Perune, mozes li navesti koje sve vrste spoofinga postoje? Ja sam cuo za DNS Spoofing, ali ne znam tacno o cemu se radi... pa ako bi mogao malo o tome da mi pojasnis...

p0zdrav

Hm, ***i ga ja vas ovde kljukam znanjem za djabe , koje je inace jako skupo (ako ga uopste nadjes)ovde na Zapadu ...

Mislim da je vreme da pocnemo da pominjemo lovu ... ;-)

Ne, zezam se sad sam na nekom kursu - javicu se kasnije ...

U najmanju ruku mozete da mi se oduzite picem kada se sretnemo u BG a i neka dobra riba pride ne bi bi losa ideja ....
;-)))





PS - Obrisi ovaj re topic gore - tehnicka greska ...

Ali sta ako je podeseno da samo sa trusted host-a moze da se pridje
kao sto u vecini slucajeva i jeste znaci samo sa te adrese kako onda ???
misleem gateway i subnet mask falcifikujes ok to
al kako da tacno tai ip falcifikujes ?????????

Pa ako uspe da falcifikuje adresu nema sta tu vise
obavljen posao
sve so je namenjeno trusted hostu ici ce tebi !!!!!!

Ima li neko nekih lepih linkova o spoofingu, pa da se malo bacim na izucavanje...

p0zdrav

@ MoHicAn



A Trusted
B Server
C Attacker

C - atakira A
A - falcifikuje svoje pakete koje salje B-u (imitira ip)

E sada kad C salje B-u nesto (AFAIK) B salje odgovor svoj na IP od A.
zato sto C drugi IP ima od A? Mislim jel nije da samo paketi koji odlaze sa C-a imaju ip od A?

tako sam ja to barem svatio...

greetz
f0rtex

[Ovu poruku je menjao f0rtex dana 05-08-2001 u 10:12 AM GMT]

[Ovu poruku je menjao B o j a n dana 23.03.2002 u 12:44 PM GMT]

Ali shvatas trusted host A je down
oborio si ga da bi oslobodio njegov ip
i ti si sad preuzeo njegov ip kolko sam ja razumeo

e sad me zanima kako da preuzmes ip u tolkoj meri da i odgovore dobijas ...

Wow !! razvila se diskusija - ima jos nade za vas ...

Moh - procitaj jos jednom deo o sequencialnom slanju i pogadjanju paketa - bice ti jasnije ...

Inace postoje jos i ARP (adress resolution protocol) spoofing mada se ne koristi mnogo i nije bas mnogo pouzdan, osim pod nekim odredjenim okolnostima, i DNS spoofing o cemu sam pisao u nekom od prvih delova Ciberwar serije (hakerske tehnike) i- ima na onom bsecuritiy sajtu ...

Samo nastavite tako ...

Evo jednog linka o SEQ-brojevima http://razor.bindview.com/publish/papers/tcpseq.html

I jedno pitanje? Da li bi mogli da me otkriju ako spoofam neki sistem i kako? Kako ce me oni nanjusiti?

Postoje odredjeni produkti kojima se moze otezati/preduprediti/otkriti spoofing ali sad sam prezauzet da o njima pies - vraticu se na topic za neki dan ..

Pozdrav

u medjuvremenu sam naso malo vremena da u miru procitam txt.
nije mi bilo jasno da me u principu ne interesuju odgovori od servera.
:)

c ya
f0rtex

hm...zgodan text no imas o tom SYN floodanju vise na http://www.active-security.org/Tekstovi/hacking_guide.zip. Text je od ZEX-a i imas gotov primjer kako je to odradjeno.

za ono sto si napisao kako se prezasicuju bufferi kod SYN flooda nisi opisao kako i sta se desava. Naime, to je fora TCP Three-Way handshake kod otvaranja veze. Tu je slaba tocka jer host A salje SYN hostu B. On vraca samo ACK i potvrdjuje primitak. No ako ti spoofas svoj IP sa kojeg napadas samo pumpas te requestove koje host B sprema u jednu tablicu i otvara vezu. No ta tablica moze pohraniti samo odredjen broj tih zahtjeva i kad se napuni do kraja onda si u banani odnosno taj HOST B. Na tom principu se vrsi Denial of Service napad, ali koliko sam cuo to je sad vec sve pokrpano. Za takav napad trebas imat super bolju vezu od hosta kojeg napadas no to vec svi znaju.

saljem SYN
host A ---------------------> host B

sada kaze host B hostu A: hvala za SYN. saljem ti SYN nazad gdje je sekvencijalni broj seq=y, ACK=x+1


saljem SYN otvaram vezu
host A <---------------------- host B


Host A kaze: primio sam SYN (seq=y, ACK=x+1)
i sada host A salje ACK gdje je ACK =y+1


saljem ACK
host A ------------------------> host B

host B kaze da je primio ACK. ako smo mi host A, dakle spoofamo ip ili ga falsificiramo, dakle, zajebli smo host B i ubijamo ga ACK-ovima dok ne krepa.

SOrry kaj sam se nadovezao, ali htio sam to malo slikovitije prikazat posto vidim da neki ne shvacaju :)



sto se tice sekvencijalnih brojeva paketa...mislim da je to ipak malo teze za "pogoditi" :))

Evo jedan zanimljiv software za spoofing i ostale primene:

http://home19.inet.tele.dk/moofz/files/winject2.zip

Adresa sajta je http://big.badlink.net

Winject je u ctvari packet editor,moguce je uz pomoc RFC-ova ili pak snifovanog paketa (recomended ;) napraviti sopstveni paket!!!

Ima i egzoticnih opcija kao npr: menjanje ip adrese bez ponovnog konektovanja...(ovo radi samo na win 98 a ostale opcije i na win2k)

Sve ovo radi samo na modemima,ne i na mreznim kartama...

...have phoon...

To je sve lijepo, ali zaso korisiti danas rlogin ili slicno kada se zna da to nije previse sigurno. Osim toga mozes sprijeciti crackera da cekiras ttl, pa ako se ttl promijenio (nije bas uvijek tocno, ali skupljas logove, pa usporedis i odlucis) , ne das mu pristupa ili mu resetiras session. Provjereno i radi vrlo efikasno.
Druga stvar, koristi ssh. Izgeneriras key-eve, razmijenis public id i eto ti dobre i sigurne veze, pa neka se malo zamisli sada kako uci u sistem.

Evo i malo kreativnih poruka, osim kako napasti evo i kako se obraniti. ;-)

E pa ovako ... rece mi prijatelj za ovo ovde kada smo pricali nesto o spoofingu pa sam hteo da proverim sta ste vi lupetali. Kao prvo perune rekao si da te niko do sada nije napljuvao ... evo ja cu da budem prvi koji ce to da uradi. Pisesh o stvarima o kojima neznash skoro nista sem sto onoga sto si negde procitao i mislish da si baja ako pisesh ovde ljudima koji te nista ne razumeju. Ali i to je nesto verovatno ?!?!?!?! Prva da te upitam jesi li to sto pricash nekada uspeo da sprovedesh upraksu ?!?!?!? Kladim se u 1 000 000 $ da nisi. E pa lekcija jedna. Ti mozesh spoofati svoj IP i netreba ti nikakva network konfiguracija niti bilo sta sta si ti lupetao jer to nemozesh tako da postignesh. Nikada ti nemozesh svoj network da naterash da bude neki drugi IP osim onoga koji zaista jeste. Mozesh da se igrash u LAN-u ali na internetu nemozesh. Ako zelish da spoofash mozesh to da uradish ali se samo syn konekcije daju spoofati. A ako zelish nesto da radish na drugom hostu morash ostvariti TCP konekciju. Da bi ostvario TCP konekciju morash proci trostruki hendshake i pogoditi seq i ack i ostalo. Znaci syn flood moze da se spoofa kada izmenish header i kazesh nekom hostu ja sam sa tog i tog ip-a i hocu da ostvarim konekciju sa tobom ... taj host vraca pakete nazad na taj ip i kaze ok hajde da ostvarimo konekciju . Ono sto si pricao za ubijanje hosta je recimo tacno i host mora da bude down u tom trenutku ali to je totalno nebitno jer ti morash da vratish nazad hostu ack koji neznash morash znaci da nasnifash njegove pakete ka pravom hostu da bi mogao da pricash sa njim. Ako nisi negde izmedju ta dva hosta i nemash prave podatke nemozesh da ostvarish TCP konekciju. Do pre par godina si josh mogao da nekako potrefish to ali sada bogami tesko. Dakle da uprostim i kazem opet ... syn konekcije se daju spoofati i to nije nikakav problem ali TCP nemozesh da ostvarish bez podataka koje host salje. Ako si negde izmedju ta dva ip-a i skupljash te podatke mozesh da mu vratish sve kako treba pa ce te "ostvariti" TCP konekciju ali ne zaboravi da host prica sa IP-om sa kojim misli da je ostvari TCP konekciju ... znaci tii dalje morash primati te podatke i biti negde izmedju ta dva hosti i sniifati sta on prca onom hostu sa kojim misli da prica da bi mogao da mi saljesh lazne zahteve !!! Za tvoje znanje to je prakticno nemoguce a i za znanje svakoga od ljudi koji citaju ovo ovde. Da je to tako lako svako bi se igrao spoofanjem a da mozesh nasumice da pogadjash ack koji salje i seq ne moesh !!! Nikada nemozesh da uspostavish TCP konekciju osim ako nisi izmedju ta dva hosta o osluskujesh saobracaj koji ide zmedju njih. Toliko o tome ... ovo je bilo maximalno moguce uprosceno i molim te nemoj da lupash vishe o stvarima o kojima nemash pojma ocigledno. Pogledaj malo o SOCK_RAW socketima i kako se sa njima igrati ako zelish syn konekcije da spoofash. Videh da je neko josh i ponesto pametno pricao o ddosu i objasnio ukratko kako .msyn dDOS napad radi i to je tacno (za divno cudo ima i pametnih ljudi ovde) ali tacno je i da je to u novijim kernelima ispravljeno pa nemozesh malim dosnetom da ubijesh tu masinu syn napadom. Ali heh tu postoji ono ALI ako imash dovoljno bcasts mozesh prevelikim zahtevima da ubijesh ruter te masine }:DDDDDDD Neznam da li je vama jasno ali kada sa 100 masina gadjash jednu masinu nema teorije da je ne ubijesh !!! Ogromna kolicina podataka ide kroz network ka toj masini i ruter jednostavno ne moze da profiltira sve to. i ako on poqsa da filtrira ne moze da postigne sve da zatvori i ceo link je ugusen. Ako govorimo o obicnom DOS napadu sa jedne masine syn floodom novije kernele nemozesh da ubijesh ali ako govorimo o dosnetu ... onda je to druga stvar. Nema sigurne odbrane od dosneta ... moze jedino da se poqsa da se ublazi sve to raznim filterima i preusmeravanjima. To se moze uporediti sa nekom branom kroz koju tece voda ...i sve je ok dok ne naidje ogromna kolicina vode koja ce tu branu da srusi pod svojim naletom i nemozesh nista da uradish sem da skuvash kafu i nadash se da ce sve to da stane !!! Eto male lekcije i o dosnetima ... znaci zakljucak svega ovoga je da se ne moze spoofati IP jer se TCP konekcija ne moze ostvariti tek tako i da syn dos jeste sprecen u novijim kernelima ali se dDOS ne moze spreciti. Za sve one koji nesto zele da nauce o dosu mogu da preporucim stacheldraht source da pregledaju koji je izvanredno uradjen !!! Sve pohvale randomizeru i [dor]-u na njihovom remek delu ... tu imate izvanredne primere za spoofanje syn i icmp napada pa pogledajte. Uz malo rada taj source moze da posluzi za "dobra" dela. I heh jeste da sam ovde svratio sasvim slucajno ali glupo je da pisete o stvarima u koje se ne razumete i kitite se perjem jer pisete o necemu sto drugi ne razumeju !!! Ti Perune ako si toliko mocan evo ja cu da ti stavim kod sebe u .rhosts neki ip pa se dokazi. Da bude zanimljivije stavicu u rootov .rhosts + + i pustiti kroz firewall samo jedan ip ... ti se pobrini da ga spoofash i eto ti moja masina }:> Mogu ti reci da mozesh pronaci svasta iz cega moze ponesto da se nauci }:> A ako cesh da se dokazesh rusenjem mene syn napadom mozesh i to ... rado cu ti dati moj ip pa me ubij syn napadom }:DDD Naravno pod tim podrazumevam da nemash dosnet vec vrsish dos sa jedne masine. Hehe bash ste mi vi 3l1t3 kako neko rece }:D `akeri `akeri ... mozda i bude nesto od vas ali kada naucite da se ne kitite tudjim perjem i naucite da pricate iskreno a ne samo da dizete sebe u nebesa nekim izmisljotinama. Mada imash pohvale jer si se makar malo zainteresovao za ovu temu ali ocigledno nisi nista naucio. BTW ako ima neko nesto da mi kaze ili me demantuje neka pise na [email protected] jer ovaj forum ne pratim i nemam namere da gubim vreme ovde }:D















Gretz from BlOcKoUt

OK, sve je to lepo sto si ti rekao, toga ima koliko hoces na Internetu, ali ajde sinko moj sprovedi ti to u delo pa nam se javi. Pricas o TCP Sequence number prediction, a niti razumes kako to radi, niti mozes to da sprovedes u delo. Nemojmo se razbacivati ovde, nisi ti Kevin Mitnick...

Drugim recima, oladi malo i ne pravi se vazan

Spider

Slusaj sad ti blockout,

Nemoj i ti da pricas gluposti... Perun je ispricao dosta toga... To sto ti pricas da ces da ubijes ruter nekim DOS-om, to ti se sinko moj resava vrlo jednostavno i na vise nacina (pricam o Cisco ruterima)... Lepo postavljena access-lista, ili koristis CAR rate limiting, ili koristis TCP intercept, ili koristis IP reverse path forwarding... Jel znas ti sinko sta je to? Jel znas ti sta je uopste ruter, kako to izleda, cem sluzi, kako se koristi...

Mada, dobar si ti, naucices...

Spider

Ej spider, jesi li ti popio nesto kad ovako pricas??? Kako ces da zastitis ruter sa IP reverse path forwarding??? to ti ne vredi jer bi te DOS isprashio...



p0zdrav


uklonjene uvredljive recenice

[Ovu poruku je menjao B o j a n dana 12.02.2002 u 06:14 PM GMT]

Nisam ni rekao da se samo sa IP reverse path forwarding stitis od DOS-a. Evo ti lista sta treba da radis, da se zastitis od 90 % DOS napada na ruteru:



1. Prvo iskonfigurisi ip reverse path forwarding na input interfejsu prema upstream provajderu (stopira npr. SMURF)

2. Access lista za adrese iz RFC 1918

3. Iskonfigurisi ingress i egress filtering prema RFC 2827

4. Iskonfigurisi CAR da limitiras ICMP pakete

5. Iskonfigurisi rate limiting za TCP SYN pakete



Ako hoces poslacu ti i live running konfig sa jednog rutera da vidis kako to izgleda. Ustvari, necu ti poslati, suvise si nadobudan... ali naucices ti, dobar si ti decko....



Spider


takodje

OK - moj odgovor black -outu je ovde:

http://www.elitesecurity.org/tema.php?TopicID=6847

Par drugarskih saveta pride:

Pre nego sto pocnes da pljujes nekoga prvo pokusaj da PROCITAS (stvarno) sta je napisano.

-Argumentuj i potkrepi literaturom, cinjenicama i faktima (a ne ispraznim pseudo/tehno isprdavanjem) svoje izlaganje/misljenje

- Postuj tudje misljenje i ne seri po svakome koji slucajno misli drugacije

-Cilj diskusija je razmena znanja i iskustava a ne propagiranje i uzdizanje sebe/ ponizavanje drugih da bi se izgledalo cool/impresionirali drugi i eventualno smuvala neka maca (koje ionako ne dolaze ovamo)

- Kad dajes odgovor ostani vezan za temu a ne da je koristis samo kao izgovor da bi baljezgao o svojoj velicini/znanju/umecu i pokazao svima ko si ti i sta si (to smo svi videli i svako ko ima bar tri ciste iz informatike ...)

- I za kraj probaj da ne duvas/cirkas/tripujes pre neko sto dodjes ovamo i pocnes da blamiras sebe - neki ljudi ovde se ipak malo razumeju u stvari ...

Ave ...

Perun: Ovo Unix to Unix spoof si ti napisao?
Dio source-a (ASM) za izracunavanje checksuma je uzet iz libneta, ne?
Samo me zanima...

Kazes da postoji i ARP spoofing i da je ta tehnika nepouzdana. Pa zasto???
Cool je cinjenica da se pomocu te tehnike moze sniffati mrezni promet cak i na switchanim mrezama bez problema. Cak nije niti komplicirano za izvesti. Cijela svar se bazira na 'igranju' sa ARP tabelama na hostovima (s obzirom da su tabele dinamicke).
Napad se sprecava postavljanjem stalne ARP table:
arp -s ime_gatewaya njegova_MAC_adresa

Ti blockout, molim te *****; covjek si je dao truda i napravio je sta je napravio. Ako mislis da ti mozes napraviti bolje, napravi, pa onda pljuj po njemu.




uklonjene psovke

[Ovu poruku je menjao B o j a n dana 09.06.2002 u 11:11 PM GMT]

Helou,
DownBload, vecina prilozenih .c fajlova je pozajmljena.

Sto se tice arp spoofinga tu si potpuno u pravu. Ali ako nije postavljena staticka arp tabela, kako onda to iskoristiti ? Da li je neko pisao na tu temu ? I ako napravimo paralelu izmedju TCP i ARP spoofinga , da li onda znaci da se na taj nacin moze ici i dalje ? nastavljanje ..... te "lazne" konekcije, da je tako nazovem. Hocu reci da li 'igranje' na arp nivou moze da dovede do neceg ozbiljnijeg ?

Pa to se i moze iskoristiti samo ako nije postavljena staticka, odnosno permanentna. Neznam dal ima koji txt o tome, vjerojatno ima. U slucaju ARP spoofinga, moguce je (kao sto sam vec rekao) snifati sav mrezni promet i na switchanim mrezama, dok se prije mislilo da to nije moguce. Pitas moze li igranje na arp nivou dovesti do neceg ozbiljnijeg. Moze. Mozes pratiti sav mrezni promet neke lokalne mreze (sifrice i sl. :).

Downbload,
ne znam kako ces pokupiti sifrice i sl? Mozes ih pokupiti u samo ako su u cleartextu, a ja bas ne znam tko salje takve stvari okolo u clear textu. Drugo moras biti na LANu da bi pratio sav mrezni promet, a postoji jednostavniji nacin pracenja cijelog prometa na mrezi. Ako vec imas pristup mrezi, probaj se ukpocati na backbone switch i radi mirror packeta portova, na kojima su serveri. Mozes to napraviti i bez da si fizicki prikopcan na backbone switch.

papak

Nesto bas i ne verujem u ovo ...
Naime, kako mislis da se konektujes na nesto, na sta nemas fizicku konekciju, ili barem daljinsku ... ???

Sorry
nisam bas bio precizan. Obicno backbone switch je zatvoren negdje, ali ti se mozes prikopcati na workgroup switch. Ulogiras se na backbone switch i kreiras port mirroring kroz tunnel do workgroup switch na kojem si spojen.
Na svojem stroju vrtis neki network analyser i citas pakete. Kreiras par filtera za pakete koji te zanimaju, jer inace ti se moze desiti sa previse paketa se kopira na tvoj port, pa se desi dropanje paketa.

papak

p.s. u cicsovoj terminologiji se to zove span. Otidji na cisco.com i upisi span, pa procitaj malo vise o tome

Malo ko koristi ssh il tak nesto, telnet jos vodi u igri...

onda samo mogu reci, jako zalosno. Kod kuce vrtim sve preko ssh, a poslovno vec godinama nisam vidio cleartext veze, osim za neke potpuno beznacajne stvari.

papak

papak, mnogo jasnije sada, hvala L;)

DownBload, ja ne znam u kojim se ti krugovima kreces, ali ja jos nisam naisao na produktivnu masinu koja koristi _iskljucivo_ telnetd. Mozda si ga malo preterao, nije sve tako crno ?

Ajde, dobro, mozda sam ipak malo pretjerao, nije sve tak crno :)
Htio sam samo naglasiti sta se moze napraviti ranije navedenom tehnikom.
Pozdrav...

Znam da je ovo stvarno sitno, ali naslov mi sve vreme bode oci: sta je tacno ciber? Da to nije nesto mozda kao cyber? Ili ako je fonetizovano "po srpski", zar onda ne bi bilo barem sajber?

Reljam, to su Perunove neke munje, oduvek CiberWar serije nose takvo ime ...

Kako se odbraniti od spoofinga, ili, kako ga preduprediti?

Pitanje kojeg spoofinga
ARP ili IP.
Sto se tice ARP spoofinga on je moguc samo na LAN-u i takav spoofing mozes sprijeciti s konfiguracijom switch-a (svaki port na switchu ima listu dozvoljenih MAC adresa na tom portu, tako da ukradena MAC adresa, ako nije tocno spojena na tocno konfigirirani port, nema prolaza).
Sto se tice IP spoofinga, to je vec malo teze, jer IP spoofing se moze sprijeciti samo s source route filtriranjem. Zvaki router (najbolje edge router) se konfigurira da provjerava source adrese. Ako source adresa nije unutar subneta na interfacu s kojeg dolazi, znaci da paket ima spoofanu IP adresu i taj paket se dropa. IP spoofing se isto moze sprijeciti na krajnjem cilju ako se zna tocan IP range s kojeg dolazi promet, tako se moze filtrirati samo taj range IP adresa, ali to nije apsolutna zastita, jer ako spofane adrese dolaze iz dozvoljenog IP range-a, nema zastite. U stvari da budem sasvim precizan, moze se jos koristiti TTL kao filter atribute i donekle poboljsati efekt filtriranja, jer najcesce TTL iz poznatih odredista prometa je prilicno stabilna vrijednost.

Odlicna poruka, papak, 5 od mene...

Ja bih na ovo papkovo samo dodao još da se može uvesti dodatna paranoična mera: provera veličine headera.
U kombinaciji sa ovim gore, opasnost mogućeg ip spoofing-a se minimalizuje.


No, da se ne zavaravamo, i ttl i header size zaštita se mogu zaobići ...hmm ? L;)

Tocno je. TTL i header size zastitia se mogu zaobici. Samo za to treba jako puno informacija. Network admin moze najbolje krearirati DoS napad protiv svoje mreze, jer zna karakteristike prometa. Ako se mreze promatra tjedan dana i na osnovu toga se napravi karakteristika mreze (karakteristicne IP adrese - subnets, postotak udjela TCP-a i UDP-a, karakteristicni ciljni portovi, TTL, hash paketa itd), moze se jako precizno konstruirati DoS napad koje ce se jako tesko zaustaviti. Jer svaki filter ce u principu napraviti veliku stetu 'dobrom' mreznom prometu.
Inace to je tema o kojoj se moze pisati i pricati.

Moja .02

L;)
I još treba znati da ukoliko se kompromituje barem jedan host unutar (trusted) zone, da je cela mreža ugrožena. Integritet mreže je jako bitan.