荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: ainny (为你等待), 信区: Hacker
标 题: 走出fakeip的误区(修订I)
发信站: BBS 荔园晨风站 (Tue Mar 28 12:40:34 2000), 转信
发信人: hellguard (小四), 信区: Hacker
标 题: 走出fakeip的误区(修订I)
发信站: BBS 水木清华站 (Sun Mar 26 11:44:42 2000)
启动fakeip,然后启动cuteftp,你就会发现问题所在。
man xferlog
authentication-method authenticated-user-id
如果fakeip启动了,即提供了rfc931 server,则你
回送的用户名就是authenticated-user-id,而authentication-method
将是1,否则authenticated-user-id是*,authentication-method
是0。因为authenticated-user-id随便伪造,所以这个信息一定不能用
于验证用户,tail /var/log/xferlog可以看到伪造效果。
如果启动了前面介绍的那个防火墙,更容易注意到这个问题。
fakeip提供了一个113端口的server而已。
注意下面的原文,这是一个反端口扫描程序中的:
It is extremely useful for detecting portscanner attacks like
those perpetrated by ISS and SATAN, among others. It also has
optional IDENT (RFC931) support for finding out the remote
user (where applicable).
Ident is a protocol sometimes also called TAP which is based on
RFC931. If the machine that the scan attempt supports this
protocol (usually out of inet) you will get a username as well
as the hostname of the attacking machine. NOTE: This information
should be taken with a grain of salt as ident can be very easy
to spoof. However, IT CAN ALSO BE USEFUL, so I have left it as
an option in the source.
THE INFORMATION SHOULD NOT BE USED FOR AUTHENTICATION PURPOSES.
什么意思?fakeip是对付那种古老的基于auth验证的server的,包括很多
www server。fake的并不是ip。结论,fakeip已经失去意义,扔掉它,别
再浪费时间用它去fake your ip(不知道哪个天杀的把zip文件起名fakeip)
telnet targetIp 25
对方也会利用ident服务的,你设置的fake username会被记录到
信笺的原始信息中。
如果编辑/etc/inetd.conf把auth服务关闭,然后telnet localhost 25
helo default,则只会记录localhost.localdomain [127.0.0.1],而没有
用户名信息,这样意味着一台错误配置的主机可以发送匿名程度较高的信笺。
--
※ 来源:·BBS 荔园晨风站 bbs.szu.edu.cn·[FROM: 192.168.28.23]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店