Привет форумчане! Прочел блог на хабре http://habrahabr.ru/post/213397/ Хочу сделать ssl (tcp) proxy для перехвата трафика, но загвоздка в следующем, клиент PokerStars коннектится на сервак 77.87.178.74:26002, на этом серваке отключен ping!!! Вопрос к знатокам: 1. как мне узнать его dns имя? 2. или как-нибудь можно замутить атаку MitM ssl(tcp) без dns имени? Заранее спасибо!!!
Если я не ошибаюсь то MITM актуальна в одном сегменте сети...Если все было так просто то все бы были богачами))
1. у этого сервера может и не быть днс имени, т.е. ситуация, когда идет обращение на покер стар, сервак к которому обращаются является просто балансировщиком нагрузки и он редеректит на другие фронты, которые уже и обрабатывают запросы.А так, сервис whois вам в помощь...по ip вытаскиваете всю информацию. 2. про проксю посередине или MITM. уже частично я объяснял тонкость вот тут PHP: http:/threads/425286/#post-3853231 если нужно что-то про митм подробнее, спрашивайте. И про не которые заблуждения, прокся не обязательно должна быть в одной локале с жертвой (в одной подсети), но так проще конечно. Дружище BabaDook, и все-таки согласись, что арп спуфинг, это не митм как таковой А просто разновидность и даже скорее способ достижения man-in-the-middle Ваше мнение , сэр?
Можно использовать ProxyCap и Fiddler/Charles. Но клиент может не использовать http(s), а работать по своему собственному протоколу. Также может использоваться Certificate Pinning для защиты от подмены сертификата и перехвата трафа, в этом случае придется патчить клиент.
А будет ли в этом смысл? Маловероятно, что сервер слепо доверяет данным клиента. Для начала хорошо бы wireshark/tcpdump'ом снять трафик, попробовать его проанализировать и от это уже отталкиваться для организации 'mitm'.
Уважаемый frank, на счет dns имени - у любой тачки хоть у сервера, хоть у обычного АРМ есть имя! Просто стоит защита, например, я работаю в организации у которой есть корпоративная сеть между 55-ти организациями, так вот когда проходили переаттестацию по степени защищенности нам настроили VipNet Coordinator HW 1000 так, чтобы web-сервер из локальной сети не пинговался! Ведь ping - это просто посылается сообщение hello на сервак на определённый порт, на которое сервак в свою очередь здоровается и в итоге замеряется скорость обмена... А сервер PokerStars не культурный - не здоровается в ответ
Это да...или понять хотя бы, а реально завернуть трафик жертвы на себя (ну так, отбросим остальные тех аспекты. как SSL, отличные от HTTP(s) протоколы, дампинг SSL, Certificate Pinning). А в целом все эти достаточно давно существующие ресурсы типа pokerstar очень хорошо закрыты.
Уважаемый ZodiaX, можете подробнее описать какую информацию я могу получить wireshark/tcpdump'ом? У меня есть Kali linux и wireshark, если я не ошибаюсь, я использовал для хака соседской вафельки
Имя машины в сети и публичное днс имя это разные вещи. А HW1000 просто у вас скорее всего стоит сетевым интерфейсом в режиме 3 или выше, Эти режимы блокируют icmp запросы, если не создавать правила исключения. По факту это просто аттестованый на требования фсб и фстэк фаервол с функцией маршрутизации и шифрования(если используется режим полутунель) Я знаю что такое випнетовский координатор, работал с ними Я вообще очень хорошо знаю линейку по и железа випнет и не только випнета ну а раз между 55-ти организациями и випнет, не ПФР часом ли или РЖД ?
Ааааа точно... у вас тоже решался когда то вопрос випнет или континет и вроде даже как, для защиты ваших веб ресурсов, ну по крайне мере в ряде регионов, WAF Imperva закупалась... хотя инфа может быть устаревшая
Скажите, а без dns имени перехват ssl трафика методом "человек посередине" не получится? Ведь исходя из этой статья http://habrahabr.ru/post/213397/ нужно сделать алиас в файле hosts на dns имя, а потом его использовать в сертификате...
Можно и в этой статье пошагово человек описал как . Только он приводил пример все-таки своей машины, к которой он имеет доступ и может на ней проводить любые настройки фактически.
Вы получите дамп трафика из которого уже приблизительно будет видно, используется ли ssl/tls или что-то другое. Без dns для перенаправления трафика можно попробовать использовать netsh/iptables. ps: все АПКШ СЗИ отечественного производства редкое УГ
зато STERRa умеет на L2 работать наконец то ... Хотя вроде как инфотекс тоже год назад анонсировал это Но в целом согласен! Настраивается порой не тревиально, работает пока не трогаешь и не дышишь в ту сторону.
Ладно, допустим я перенаправил трафик с клиента PokerStars на localhost (127.0.0.1) А что мне тогда в сертификате указывать, какой домен? CN=*.playdata.co.uk - это можно заменить на *.* ? например: makecert -n CN=MyCA -cy authority -a sha1 -sv “MyCA.pvk” -r “MyCA.cer” //Создаём сертификат ЦА certmgr -add -all -c “MyCA.cer” -s -r LocalMachine Root //Добавляем в довереные коневые центры сертификаты makecert -n CN=*.playdata.co.uk -ic MyCA.cer -iv MyCA.pvk -a sha1 -sky exchange -pe -sr currentuser -ss my SslServer.cer //Создаём серверный сертификат
можно...это просто будет означать что сертификат распространяется на любые доменные имена 4 уровня для данного домена playdata.co.uk Но, корневик который с генерируете, MyCA должен быть в доверенном корневом на машине, иначе браузер будет блокировать. UPD сразу не обратил внимание, у вас второй строкой экспорт в машину стоит
ничего не говори про С-Терру... с этими железками я года три "развлекался" если не учитывать утечку памяти в корневом процессе, ежемесячные перезагрузки и потерю пакетов на длинных каналах (что для UDP/ipsec критично) в остальном нормальные железки А, забыл еще процедуру обновления с разворотом вм и загрузкой по сети.. Попробуйте перехватить поля сертификата в сессии, сразу будет понятно какой серт генерить.
Ну zodiaX выше писал сделать tcpdump запроса к серверу, а потом тем же шарком посмотреть.. вы клиента трафик хотите попробовать перехватить? или все-таки через браузерное подключение? UPD хотя... можно и не заморачиваться. Если рассматривать классическую цепочку user->proxy->server. То мы можем любой SSL серт испоьзовать между user->proxy вне зависимости какой он идет реально, с этим реальным будет работать прокси, мы собираем расшифрованный трафик на прокси в обе стороны. Ну это конечно если работаем через браузер. а не через клиента. у которого могут быт вшиты настройки проверки валидности сертификата.