Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР #67, ИЮЛЬ 2004 г.

Сушим носки

Олег Толстых aka NSD

Xakep, номер #067, стр. 067-050-1

(www.nsd.ru)

Пускаем трафик через цепочку проксей

Профессиональные хакеры всегда заботятся о своей анонимности, что бы они ни делали - начиная от простого сидения в ирке/асе и заканчивая взломом корпоративных серверов крупных компаний. А новички обычно забивают на собственную безопасность, в результате чего, рано или поздно, им приходится обдумывать свои ошибки в местах не столь отдаленных =(. В этой статье я расскажу, как хакерам удается скрыть свой истинный IP-адрес от любознательных личностей.

INTROДАКШН

Как не пропалиться при взломе? Существует множество способов. Например, хакер может купить на митинском радиорынке без предъявления паспорта биплюсовскую sim-карту и выйти в Сеть через нее, используя мобильник, поддерживающий технологию GPRS. Даже если админ похаканной тачки узнает IP'шник взломщика, поймать последнего не удастся по вполне понятным причинам. Есть и другой способ - хакер может использовать цепочку шеллов для обеспечения анонимности. Принцип этой технологии таков. Сначала он telnet'ится со своей тачки к какому-нибудь похаканному серверу, с него выходит на другой облапошенный сервак, с которого и делает свои грязные делишки ;). В итоге, при атаке в логи компа-жертвы записывается IP-адрес последнего сервера цепочки, а IP хаксора не палится нигде. Но самым простым и универсальным методом сокрытия истинного IP-адреса хакера по-прежнему остается использование цепи socks-проксей. В этой статье я подробно опишу тулзы, которые стоит юзать для создания таких цепочек. Работать будем с двумя незаменимыми программами SocksChain и SocksCap (www.nsd.ru/soft.php?group=hacksoft&razdel=anonim). Симбиоз этих двух софтин совмещает в себе все необходимые функции для обеспечения конфиденциальности хакера.

SocksChain работает так: он поднимает Socks5-сервер на N-ом порту локальной машины и пускает все данные, идущие в этот порт, по выстроенной цепочке. Сначала программа соединяется с первым сервером цепи и передает пакет ему. Тот, в свою очередь, коннектится ко второму носковому серваку, второй к третьему и т.д. Чтобы отследить, откуда инициировался запрос, нужно последовательно просматривать и анализировать логи всех звеньев, а это, сам понимаешь, очень затруднительно. А если логи на каком-нибудь из серверов не ведутся, стерты или просто каким-нибудь образом "утеряны", нить будет потеряна и вычислить хакера, который юзает такую систему, будет в принципе невозможно.

Готовим инструмент

Допустим, ты успешно установил и запустил SocksChain. Теперь необходимо скормить программе список проксей, из которых впоследствии и будут формироваться цепочки. Для этого запускаем Proxy Manager (Инструменты -< Proxy Manager) и жмем на кнопку Add. В появившемся окне вписываем IP-адреса проксиков и нажимаем ОК. В окне прокси-менеджера появятся те адреса, которые ты только что ввел. Осталось только прописать номера портов, которые используют прокси для обмена данными (кнопка Edit), и нажать на Test all для проверки прокси-серверов на работоспособность.

Стоит отметить, в программе есть одна замечательная функция, которую я не встречал еще ни в одной другой софтине - возможность автоматического (!) добавления прокси-серверов. Теперь не нужно искать рабочие прокси-серверы по всему инету, достаточно лишь нажать батон Update list, и твой proxy-list сам пополнится несколькими сотнями носков пятого и четвертого размера =). Правда, их тоже придется чекать на работоспособность. Однако результат проверки тебя приятно удивит - добрая половина серверов будет ждать твоих указаний.

Содержание  Вперед на стр. 067-050-2
ttfb: 3.460168838501 ms