Когда я делаю netstat -a на своем копмьютере Windows, я получаю список портов с одним из четырех состояний:
- LISTENING
- CLOSE_WAIT
- TIME_WAIT
- ESTABLISHED
Что CLOSE_WAIT и TIME_WAIT значит / указывает?
Из-за того, как работает TCP/IP, соединения не могут быть закрыты сразу. Пакеты могут выйти из строя или быть переданы повторно после того, как соединение было закрыто. CLOSE_WAIT указывает, что удаленная конечная точка (другая сторона соединения) закрыла соединение. TIME_WAIT указывает, что локальная конечная точка (эта сторона) закрыла соединение. Соединение поддерживается таким образом, что любые задержанные пакеты могут быть сопоставлены с соединением и обработаны соответствующим образом. Соединения будут удалены, когда они тайм-аут в течение четырех минут. Видеть http://en.wikipedia.org/wiki/Transmission_Control_Protocol для более подробной информации.
На персональной сети (LAN) можно просто присвоить IP-адрес. При выборе того же IP-адреса, что и существующий клиент, возникают проблемы. Есть такие компании, как IANA и ICANN, которые отвечают за объем IP-адресов и продают их. Но что мешает вам просто захватить случайный IP-адрес? Это построено на доверии? Что делать, если кто-то захватит IP-адрес и возникнет конфликт. Есть ли способ отслеживать этот IP-адрес для местоположения сервера, используя его?
Являются ли компании, которые фактически поддерживают физические интернет-кабели, проверяют, используют ли клиенты подключения купленные блоки IP-адресов?
Нет ничего, что помешало бы вам прикрепить к интернету ящик, настроенный с чужого IP-адреса. Тем не менее, это не обязательно вызовет какие-либо проблемы для кого-либо еще, кроме вас самих.
Если вы украли чужой IP-адрес за пределами подсети, к которой вы физически подключены, единственное, чего вы достигнете, это не возможность получать какой-либо трафик, так как любой маршрутизатор, ведя себя правильно, будет направлять трафик к реальному владельцу этого IP-адреса. Возможно, вы сможете рекламировать ложные маршруты для любого пограничного маршрутизатора вверх по течению от вас в надежде на то, что они будут распространяться дальше в надежде на то, что трафик будет перенаправлен вам на основе вашего похищенного IP-адреса, но любой незначительно компетентный провайдер/восходящий провайдер никогда не примет маршруты от своих не-корпоративных потребителей. Что касается корпоративных клиентов/других интернет-провайдеров, они связаны определенными правилами о том, какие маршруты они могут рекламировать и использовать с их транзитным провайдером или партнером, которые контролируются 24/7 сетевыми операциями и группами управления. Большинство из них также имеют правила о том, какие маршруты они будут принимать как действительные в зависимости от того, кто их рекламировал. Короче говоря, кража чьего-то IP-адреса за пределами подсети, к которой вы подключены, ничего не дает, если Вы также не можете манипулировать вышестоящими таблицами маршрутизации.
Кроме того, если бы вы украли IP-адрес кого-то в вашей же подсети, вы нарушите трафик как того, кто им владеет, так и самого себя. С любым управляемым коммутатором или маршрутизатором это вызовет сигналы тревоги, поскольку есть дублирующий адрес в сети и, вероятно, приведет к тому, что ваше соединение будет заблокировано каким-то образом.
Существует ли IP-адрес, который приведет к тому, что любой отправленный пакет будет проигнорирован (blackholed)?
Я знаю, что всегда могу настроить маршрутизатор с IP-адресом, а затем просто заставить его игнорировать все пакеты, отправленные ему, но существует ли такая вещь, чтобы спасти меня от этой проблемы?
Если в сети нет устройств с IP-адресом 192.168.0.10, то этот IP-адрес-своего рода черная дыра, и он будет «отбрасывать» весь трафик к нему, просто потому, что он не существует.
Протоколы, которые отслеживают состояние соединения (TCP), могут обнаружить отсутствующий хост назначения. Это не произойдет с UDP, и пакеты просто умрут, в то время как отправляющий хост не будет проинформирован об этом.
Вы можете настроить черную дыру с помощью брандмауэра, установив ее, чтобы тихо отбрасывать пакеты, (а не отклонять) от определенных (или разных) адресов.
Нет такого сетевого стандартного адреса, который будет делать черную дыру для вас в TCP/IP версии 4
Таким образом, у вас есть два варианта:
IP-адрес, который не был назначен ни одному хосту;
Хост с брандмауэром, который тихо отбрасывает пакеты или его вариации, например, с помощью netcat .
nc -vv -l 25 > /dev/null будет прослушивать входящие соединения на TCP-порт 25 и передать результаты /dev/null. Больше примеров здесь.
Вся подсеть также может быть черной дырой (нулевой маршрут).
Офисные документы Microsoft широко используются злоумышленниками для отправки вредоносного файла, а затем убеждают пользователя открыть файл с помощью методов социальной инженерии.
В Microsoft существует несколько способов обмена данными между приложениями, а самый популярный – DDE, который известен как Dynamic Data Exchange, который отправляет сообщения между приложениями и использует общую память для обмена данными между приложениями.
Он может использоваться для одноразового использования или для непрерывного обмена.
Здесь вы можете увидеть видео-учебник для DDE Exploit, сделанный gbhackers:
Хакеры используют этот метод в природе для выполнения вредоносных скриптов и для компрометации жертв.
Корпорация Майкрософт выпустила лучшие методы обеспечения безопасности, чтобы безопасно открывать документы Office, содержащие Dynamic Data Exchange, и настоятельно рекомендует просмотреть функцию безопасности.
В сценарии атаки по электронной почте злоумышленник может использовать DDE-протокол, отправив пользователю специально созданный файл, а затем убедить пользователя открыть файл, как правило, путем соблазна в письме.
Злоумышленнику придется убедить пользователя отключить Защищенный режим и нажать одну или несколько дополнительных подсказок.
Поскольку вложения электронной почты являются основным методом, который злоумышленник может использовать для распространения вредоносного ПО, Microsoft настоятельно рекомендует клиентам проявлять осторожность при открытии подозрительных файловых вложений.
Недавняя уязвимость удаленных исполняемых файлов MS Office позволяет злоумышленнику полностью контролировать зараженную операционную систему Windows, и эта уязвимость затронута всей версией Microsoft Office.
Он был рассмотрен Microsoft с рекомендациями по безопасности CVE-2017-11826.
Смягчение для DDE-атаки – Microsoft
Microsoft Excel
Excel сильно зависит от DDE, чтобы открывать документы, Microsoft предлагает выключить автоматическое обновление ссылок на рабочую книгу, чтобы предотвратить автоматическое обновление из Excel, включая DDE, OLE.
Если вы отключите автоматическое обновление, данные не будут обновлены, поэтому пользователю необходимо вручную подать данные.
Применяется к Office 2007, 2010, 2013, 2014.
Чтобы отключить функцию DDE через пользовательский интерфейс:
Установите Файл-> Опции-> Центр доверия-> Настройки центра доверия … -> Внешний контент-> Параметры безопасности для ссылок на рабочую книгу = Отключить автоматическое обновление ссылок на рабочую книгу.
Чтобы отключить функцию DDE с помощью редактора реестра:
С обновлением Windows 10 после осени Windows Defender Exploit Guard может блокировать вредоносное ПО на базе DDE в соответствии с сокращением поверхности атаки.