Вопрос к algol-y

Discussion in 'Песочница' started by Delimiter, 12 Apr 2005.

  1. Delimiter

    Delimiter Banned

    Joined:
    8 Apr 2005
    Messages:
    317
    Likes Received:
    173
    Reputations:
    12
    Имеется Java-чат ТОТ самый Волано на нем имеется интересная авторизация
    МойIP:port (TCP)->64.247.49.49:8000--SYN
    64.247.49.49:8000-> МойIP:port (TCP)--SYN
    далее я шлю "полезный"
    МойIP:port-> 64.247.49.49:8000 (TCP)---AU
    00 90 D0 3B A2 25 00 02 B3 2E 7C 6A 08 00 45 00 | .ђР;ў%..і.|J..E.
    00 E6 65 01 40 00 80 06 00 00 D4 1F 67 B4 40 F7 | .жE.@.Ђ...ФGґ@ч
    31 31 05 3B 1F 40 D7 BC 48 26 02 90 72 BB 50 18 | 11.;@ЧјH&.ђR»P
    FF FF AE D4 00 00 00 01 00 00 00 01 00 0B 4B 61 | яя®Ф..........KA
    76 6B 61 7A 20 43 68 61 74 00 05 32 2E 36 2E 34 | VKAZ CHAT..2.6.4
    00 1A 68 74 74 70 3A 2F 2F 77 77 77 2E 6B 61 76 | .HTTP://WWW.KAV
    6B 61 7A 63 68 61 74 2E 63 6F 6D 2F 00 37 68 74 | KAZCHAT.COM/.7HT
    74 70 3A 2F 2F 77 77 77 2E 6B 61 76 6B 61 7A 63 | TP://WWW.KAVKAZC
    68 61 74 2E 63 6F 6D 2F 76 6F 6C 61 6E 6F 2F 77 | HAT.COM/VOLANO/W
    65 62 61 70 70 73 2F 52 4F 4F 54 2F 76 63 63 6C | EBAPPS/ROOT/VCCL
    69 65 6E 74 2F 00 0F 4D 69 63 72 6F 73 6F 66 74 | IENT/..MICROSOFT
    20 43 6F 72 70 2E 00 19 68 74 74 70 3A 2F 2F 77 | CORP..HTTP://W
    77 77 2E 6D 69 63 72 6F 73 6F 66 74 2E 63 6F 6D | WW.MICROSOFT.COM
    2F 00 05 31 2E 31 2E 34 00 04 34 35 2E 33 00 0A | /..1.1.4..45.3..
    57 69 6E 64 6F 77 73 20 4E 54 00 03 35 2E 30 00 | WINDOWS NT..5.0.
    03 78 38 36 | .X86

    И ТУТ НАЧИНАЕТСЯ САМОЕ ИНТЕРЕСНОЕ он мне шлет!
    08 87 FC 63 39 EC 32 79 D4
    А я ему отвечаю
    2F 30 2D 02 14 7F 62 95 72 81 8E 56 72 9A 8C 7C
    70 7C C2 FA 8C 62 13 C5 D9 02 15 00 88 38 DA EF
    29 83 5B 38 2D 75 D2 AF D0 53 35 D3 22 4E 1C 24
    после этого авторизация считается выполненной!
    ну чуток поэкспериментировав "зоркий" сокол обнаружил что первые байты есть длинна последующей строки, отсюда имеет 2 сессии

    1----------------------------212.31.103.180:1339-мойIP:port
    мне 87 FC 63 39 EC 32 79 D4
    от меня
    30 2D 02 14 7F 62 95 72 81 8E 56 72 9A 8C 7C 70
    7C C2 FA 8C 62 13 C5 D9 02 15 00 88 38 DA EF 29
    83 5B 38 2D 75 D2 AF D0 53 35 D3 22 4E 1C 24
    -----------------------------
    2----------------------------212.31.103.180:1337-МойIP:port
    мне F6 C5 22 3D A6 B6 BF A7
    от меня
    30 2C 02 14 28 EA F2 CB 32 AB 4B 65 5B 6A E3 CB
    73 3C F9 CF 39 69 85 1B 02 14 2C 46 B1 B4 5D 55
    55 89 6B C9 F1 C8 FE 06 C8 51 42 73 55 B0
    -----------------------------
    заметим что во второй сессии я послал на один байт меньше! У кого нибудь есть идеи по методу формирования ответа?

    //---------------------------------------------------------------------
    P.S. (поправьте если я не прав)
    ну а для экспериментаторов
    там стоит автобан(система автоматического блокирования IP) насколько я понял после неправильной авторизации!

    рассмотрим схему
    1.Syn>
    2.Syn<
    3.посылка палезного блока!
    4.прием строки
    5.посылка ответа

    где то мы "палимся" и попадаем в автобан, ну идея такова проверить хде идет автобан и откуда берется IP для бана, предположим что на 3-ем шаге,что есть маловероятно, тогда получается что если для третьего шага я скрафтю пакет с левым source-IP то будет заблокирован этот IP.... , ну тогда вырисовывается "киллер", лучше если для бана используется неправильный ответ на 5 шаге тогда killer вырисовывается в "красках" и все выглядит логично! Вообщем море для фантазии!
     
    #1 Delimiter, 12 Apr 2005
    1 person likes this.
  2. Algol

    Algol New Member

    Joined:
    29 May 2002
    Messages:
    1,759
    Likes Received:
    4
    Reputations:
    0
    Это интересно.
    Хотя въехать в эти пакеты трудно, давно я уже занимался этим чатом.
    Если есть желание - напиши более подробно, с разъяснениями. Тогда может что-то и проясним )
     
    #2 Algol, 14 Apr 2005
(You must log in or sign up to post here.)