• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья GhostInTheNet. Как стать призраком в сети

vertigo.png
Добрый вечер Друзья,Уважаемые Форумчане,Дорогие Читатели.

Сегодня у меня появилось желание разобрать с вами один скрипт,
который будет работать в защите ваших хостов от DoS,MITM атак и от сканирования.

Автором утилиты является Maksym Zaitsev (Cryptolok),но с приветом из Франции.
У инструмента имеются некие ограничения.Например,автор сразу предупреждает о ситуации ,когда жёстко прописан mac-адрес.
И в таком случае MAC-spoofing работать не будет.
Также,не рекомендуется использовать для CISCO и других крупных серверов.

Других ограничений не имеется,и утилита может быть установлена на любом дистрибутиве Linux.
В число приоритетных задач входит сокрытие хоста в сети,чтобы его обнаружение было сведено к минимуму.
Особенно это касается протокола ARP,за счёт уязвимостей в котором,возможны проведения MITM-атак и утечки конфиденциальности.

Понимая,что невозможно всё предусмотреть,автор проработал над идеей отключения ответов на ARP и NDP-запросы
на рабочем сетевом интерфейсе для протоколов IPv4 и IPv6 соответственно.Кеш ARP и NDP удаляется.
И ,таким образом,если только хост сам не пожелает ответить другим в сети,они от него информацию получить не смогут.

Приводится схема о том,как это будет выглядеть:

A >>> I need MAC address of B >>> B
A <<< Here it is <<< B
A <<< I need MAC address of A <<< B
A >>> I'm not giving it >>> B
Помимо всего прочего,как вы догадались теперь,происходит автоматическая смена mac-адреса и имени хоста.
(Последнее меняется при наличии настройки интеренет-соединения от dhcp)

Автор ещё объясняет почему он это делает,но не рекомендует использовать в пентесте
метод поддельной точки подключения,советуя почитать

Ваш покорный слуга ознакомился с содержанием вышеприведённой страницы,интересно там рассказывается
о некоторых методах вычисления расстояния до точки доступа ,ни больше ни меньше ,где у хоста изменён mac-адрес.
Включая триангуляцию и конвертирование силы сигнала в метры,но мы сегодня не за этим.

Хост становится защищён от ARP, DNS, DHCP, ICMP, Port Stealing,что делает его устойчивым к сканерам (в том числе,Nmap и Arp-Scan)
При подключении к каким-либо хостам,последние забудут о вашем хосте,они вас не будут видеть,а вот вы будете видеть всех.
В этом и заключена изюминка рассматриваемого скрипта.

Установка:
Код:
# git clone https://github.com/cryptolok/GhostInTheNet.git
# cd GhostInTheNet/
# chmod +x GhostInTheNet.sh
# ./GhostInTheNet.sh on eth0 (здесь указывайте свой интерфейс)
# ./GhostInTheNet.sh off eth0 (завершение работы программы)

Чего хотелось бы отметить особенно:

Не смотря на то,что в описании инструмента говорится о включении его в работу как при запущенном интерфейсе,
так и после отключения интерфейса,я рекомендую использовать второе.
Потому что,запустив инструмент не отключив интерфейс,соединение было разорвано,mac ещё изменился
И затем восстановить соединение без перезагрузки системы сложно.

Наилучший выход-отключить интерфейc вместе с демоном:
Код:
# ifconfig eth0 down
# service network-manager stop

И после этого запустить GhostInTheNet .Тогда всё произойдёт гораздо мягче и если соединение не появится,то
достаточно будет набрать команду старта демона,при этом можно проверить,что параметры действительно изменены.

vertigo3.png
Они будут действовать до перезагрузки системы,или до остановки GhostInTheNet,но имейте в виду,что также возможен обрыв соединения.
Если сделать это грубо.

Вот,в принципе и всё на сегодня,благодарю всех за внимание,спасибо,что Вы с нами.Всего доброго и до новых встреч.
 
Последнее редактирование:

DefWolf

Green Team
24.10.2017
288
795
BIT
0
Спасибо, статья действительно интересная, мне как раз был нужен такой инструмент
 
  • Нравится
Реакции: Vertigo

ghost

Well-known member
12.05.2016
1 636
3 288
BIT
0
Спасибо коллега!
Нравятся такие штуки...
Обязательно посмотрю на досуге, как с курсом разгребем немного))
 
  • Нравится
Реакции: Vertigo

gushmazuko

Well-known member
24.03.2017
173
451
BIT
0
Отличная статья, спасибо! Несколько дней назад как раз искал подобное.
 
  • Нравится
Реакции: Vertigo

Night Hunter

Green Team
13.01.2018
284
284
BIT
0
Стоит ли его использовать, для установки на сервер, где сайт лежит?
 
  • Нравится
Реакции: Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 318
3 999
BIT
1
Стоит ли его использовать, для установки на сервер, где сайт лежит?
Если сервер небольшой,не промышленный,то такое возможно.Хотя утилита предназначена в основном для применения при пентесте.
И это должен быть Linux.
 
  • Нравится
Реакции: Night Hunter
0

0v3r_Cr1t

Посмотрите код, в связки с nm бесполезная утилита, а вот если принцип подчерпнуть и объеденить с minsecwifi то вполне годно [но я не использовал iptable а выкуривал icmp через sysctl]
 

qwe123xcv

Заблокирован
16.11.2019
57
23
BIT
0
У инструмента имеются некие ограничения.Например,автор сразу предупреждает о ситуации ,когда жёстко прописан mac-адрес.
Автору следует также предупредить, что его скрипт в 243 строчки по сути никаким инструментом не является. Из 243 строчек одна треть является комментариями, а вторая треть - текстовыми сообщениями "echo ..." Автор типа пытается взаимодействовать с пользователем.

Ни один системный администратор не поставит на свою машину утилиту NetworkManager. Эта программа не нужна. И вместо того, чтобы в скрипте предусмотреть отсутствие этого ЗЛА, автор считает это ЗЛО установленным по-умолчанию. Программист, который заботится о конечном пользователе описал-бы скрипт, в котором выполнялоcь условие:
  1. если NetworkManager установлен, то проделать одни действия
  2. если NetworkManager не установлен, то другие действия.
Файла /etc/udev/rules.d/70-persistent-net.rules в дебиан не существует и скрипт тупо не сработает.
Остаётся загадкой, каким чудом этот скрипт вообще запустился на твоей системе ? Единственная операционка, на которой этот недоскрипт сработает - это KaliLinux.

Отключать ICMP - сомнительное удовольствие. Потому что отключение этого протокола мешает самому администратору, который администрирует сеть. А опытный пентестер всё равно обнаружит компьютер в сети даже с отключенным протоколом, если точно знает, что хост подключен. Eсли хост присутствуеит в сети, то он выполняет какую-то роль. У него открыт хотя-бы один порт. Обнаружение хоста - дело опыта и времени. Жаль, что автор скрипта об этом не знает.

При анализе представленного скрипта хочется сказать автору Maksym Zaitsev (Cryptolok),но с приветом из Франции, что такие скрипты нужно стесняться выкладывать.
 

neofit

One Level
26.08.2021
8
2
BIT
0
Хорошая статья! Но от себя добавлю))) Мы все в сети отметились) так, что это бред это уже поздно)
Это как анекдот! Неуловимый джо! почему тебя не кто не может поймать? Ты так крут? Ответ со стороны НЕТ Просто он на*уй некому не нужен!!!
 
  • Нравится
Реакции: Johan Van
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!