Снова тайные каналы: использование заголовков TCP и IP для переноса данных

Наиболее сложный режим работы Covert_TCP использует номер подтверждающей очереди TCP, применяемый в так называемой операции отскока. В сценариях, где требуется режим подтверждения, участвуют три системы: сервер (получатель файла), клиент (отправитель файла) и сервер отскока. По существу, в этом режиме атакующий посылает данные от клиента и заставляет их «отскочить» от сервера отскока при помощи спуфинга, таким образом передавая их на принимающий сервер. Чтобы выполнить подобную операцию, атакующий сначала устанавливает сервер Covert_TCP на принимающей машине, переключив его в режим аск, а затем выбирает сервер отскока, который может быть любой доступной машиной в Internet (желательно крупный Web-сайт электронной торговли, новостной сервер, университетский почтовый сервер или Web-сайт вашего знакомого правительственного агентства). Никакого программного обеспечения атаки на сервере отскока не требуется. Все, что нужно такому серверу, - это стек TCP/IP и сетевое соединение. Атакующий пошлет файл по тайному каналу от системы клиента к принимающей системе через сервер отскока. Данный процесс включает следующие шаги:

1. Клиент генерирует SYN-пакеты TCP с подмененным исходным адресом принимающего сервера и адресом назначения сервера отскока. Номер начальной очереди этих пакетов (ISNA) соответствует символу ASCII, который должен быть передан. Пакет послан серверу отскока.

2. Сервер отскока получает пакет. Если порт назначения на сервере отскока открыт, сервер пошлет ответ SYN-ACK, тем самым завершая вторую часть трехэтапного квитирования. В противном случае будет передано сообщение RESET. Независимо от того, открыт порт или закрыт, сервер отскока отправит свой ответ (SYN-ACK или RESET) кажущемуся источнику сообщения - принимающему серверу. Именно так происходит отскок - клиент подменяет адрес принимающего сервера, обманывая сервер отскока, чтобы переправить сообщение получателю. Конечно, пакеты SYN-ACK или RESET будут иметь значение номера очереди АСК, связанное с номером начальной очереди SYN, который является тем значением ASCII, которое нужно послать.

3. Принимающий сервер получает SYN-ACK или RESET, извлекает символ из поля номера очереди и ждет следующий. Данные выбираются из номеров очередей и записываются в локальный файл.

Хотите отдохнуть после тяжелого дня? Заходите в онлайн казино азино 777 и получайте заряд положительных эмоций.

Красота режима работы отскоком, с точки зрения атакующего, состоит в том, что след пакетов в сервере покажет, что они приходят с сервера отскока. Местоположение клиента скрыто, запутано сервером отскока. Детективу придется проследить обманное соединение с принимающего сервера на сервер отскока и затем к клиенту, что достаточно трудно. Операция отскока может быть даже распределена. Чтобы запутать следователей, один клиент в состоянии пересылать файл через десятки или сотни серверов отскока на единственный принимающий сервер, получающий файл. Каждый символ передаваемого файла способен исходить от различных серверов отскока, усложняя расследование и позволяя атакующему не быть обнаруженным.

Covert_TCP с высокой степенью гибкости предлагает пересылку данных с любыми номерами TCP-портов источника и адресата. Способность выбирать порты источника и адресата позволяет атакующему настраивать Covert_TCP для лучшей подгонки данных к маршрутизаторам и брандмауэрам адресата. Предположим, что вы разрешаете только исходящую электронную почту «от сервера к серверу» (протокол SMTP на ТСР-порте 25). Атакующий может настроить Covert_TCP так, чтобы использовать ТСР-порт 25 как порт источника и/или назначения. Если в вашей сети разрешен только ТСР-порт 53 (для обмена в зоне DNS), атакующий нацелит Covert_TCP на эти порты.