Ny slipstreaming NAT, fanafihana bypass dia manome fidirana amin'ny serivisy TCP / UDP

Samy kamkar (mpikaroka fiarovana malaza fanta-daza amin'ny famoronana fitaovana fanafihana be pitsiny isan-karazany, toy ny keylogger amin'ny charger telefaona USB) dia nanolotra teknika fanafihana vaovao antsoina hoe "slip sliping NAT".

Ny fanafihana mamela, rehefa manokatra pejy amin'ny browser, mba hametraka fifandraisana avy amin'ny mpizara mpanafika amin'ny seranan-tsambo UDP na TCP amin'ny rafitry ny mpampiasa miorina ao aorian'ny mpandika adiresy. Ny Attack Toolkit dia navoaka tao amin'ny GitHub.

Ny fomba miankina amin'ny famitahana ny mekanisma fanarahana ny fifandraisana ALG (Application Level Gateways) amin'ny adiresy mpandika teny na firewall, izay ampiasaina handaminana ny fandefasana NAT ny protokolola izay mampiasa seranan-tserasera marobe (iray ho an'ny data ary iray ho an'ny fanaraha-maso), toy ny SIP. H323, IRC DCC ary FTP.

Mihatra amin'ny mpampiasa mifandray amin'ny tamba-jotra ny fanafihana mampiasa adiresy anatiny avy ao amin'ny elakelan-tserasera (192.168.xx, 10.xxx) ary mamela ny angon-drakitra halefa any amin'ny seranana rehetra (tsy misy lohateny HTTP).

Hanao fanafihana, ampy ho an'ny niharam-boina ny fampiharana ny kaody JavaScript nomanin'ilay mpanafikaOhatra, amin'ny fanokafana pejy amin'ny tranokalan'ny mpanafika na amin'ny fijerena dokambarotra manimba amin'ny tranokala ara-dalàna.

Amin'ny dingana voalohany, ny mpanafika dia mahazo vaovao momba ny adiresy anatiny an'ny mpampiasa, Izany dia azo faritana amin'ny WebRTC na, raha tsy mandeha ny WebRTC, amin'ny alàlan'ny fanafihana mahery vaika miaraka amin'ny fandrefesana ny fotoana famaliana rehefa mangataka sary miafina (ho an'ireo mpampiantrano efa misy, ny fiezahana hangataka sary dia haingana kokoa noho ireo tsy misy noho ny fiatoana alohan'ny fiverenana valiny TCP RST).

Amin'ny dingana faharoa, ny kaody JavaScript novonoina tao amin'ny tranokalan'ny niharam-boina miteraka fangatahana HTTP POST lehibe (izay tsy tafiditra anaty fonosana) mankany amin'ny mpizara ilay mpanafika amin'ny alàlan'ny nomeraon-tseranana tambajotra tsy mahazatra hanombohana ny fametahana ireo masontsivana sombintsombin'ny TCP sy ny haben'ny MTU amin'ny lohan'ny TCP niharam-boina.

Ho valiny, ny mpizara mpanafika dia mamerina fonosana TCP misy ny safidy MSS (Haben'ny fizarana Maximum), izay mamaritra ny haben'ny haben'ny fonosana voaray. Amin'ny tranga UDP, ny fanodikodinana dia mitovy, fa miankina amin'ny fandefasana fangatahana WebRTC TURN lehibe hamoahana ny fiparitahan'ny haavon'ny IP.

«Ny NAT Slipstreaming dia mitrandraka ny tranokalan'ny mpampiasa miaraka amin'ny rafitra fizahana fifandraisana Level Level Gateway (ALG) natsofoka tao anatin'ny NAT, ny router ary ny firewall amin'ny alàlan'ny fandrindrana ny fitrandrahana IP anatiny amin'ny alàlan'ny fanafihana ara-potoana na WebRTC, ny fahitana fragmentation an'ny IP remote et MTU, TCP fonosana haben'ny fonosana, fanodinkodinam-bola ny fanamarinana TURN, fanaraha-maso mazava ny fetran'ny fonosana ary fisafotofotoana noho ny fanararaotana ataon'ny mpitety, "hoy i Kamkar tamin'ny fanadihadiana.

Ny hevi-dehibe dia izany, ny fahalalana ny masontsivana sombintsombiny, afaka mandefasa fangatahana HTTP lehibe, ny filaharana dia hianjera amin'ny fonosana faharoa. Mandritra izany fotoana izany dia voafantina ny filaharana miditra ao anaty fonosana faharoa ka tsy misy lohateny HTTP ary tapaka amin'ny data izay mifanaraka tanteraka amin'ny protokolola hafa izay anohanana ny traversal NAT.

Amin'ny dingana fahatelo, amin'ny alàlan'ny fanodinkodinana etsy ambony, ny kaody JavaScript dia mamorona ary mandefa fangatahana HTTP voafantina manokana (na TURN for UDP) mankany amin'ny port TCP 5060 an'ny mpanafika, izay aorian'ny fividianana dia hizara roa fonosana: a fonosana misy lohateny HTTP ary ampahany amin'ny angona ary fonosana SIP manan-kery miaraka amin'ny IP anatiny an'ny niharam-boina.

Ny rafitra fanaraha-maso ny fifandraisana amin'ny tambajotram-pifandraisana dia hihevitra ity fonosana ity ho fiandohan'ny session SIP ary hamela ny fandefasana fonosana ho an'ny seranan-tsambo rehetra nofidin'ilay mpanafika, raha heverina fa io seranana io dia ampiasaina amin'ny fampitana data.

Ny fanafihana dia azo atao na inona na inona browser ampiasaina. Mba hamahana ny olana dia nanolo-kevitra ny mpampivelona Mozilla hanakana ny fahafahany mandefa ny fangatahana HTTP any amin'ny seranan-tsambo tambajotra 5060 sy 5061 mifandraika amin'ny protokol SIP.

Ireo mpamorona ny motera Chromium, Blink ary WebKit dia mikasa ihany koa hampihatra fepetra fiarovana mitovy amin'izany.

loharanom-baovao: https://samy.pl


Ny atin'ny lahatsoratra dia manaraka ny fitsipiky ny etika fanonta. Raha hitatitra tsindry diso eto.

Aoka ho voalohany ny fanehoan-kevitra

Avelao ny hevitrao

Ny adiresy email dia tsy ho namoaka. Mitaky saha dia marika amin'ny *

*

*

  1. Tompon'andraikitra amin'ny data: Miguel Ángel Gatón
  2. Tanjon'ny angona: Control SPAM, fitantanana hevitra.
  3. Legitimation: Ny fanekenao
  4. Fifandraisana momba ny angona: Tsy hampitaina amin'ny antoko fahatelo ny angona raha tsy amin'ny adidy ara-dalàna.
  5. Fitehirizana angona: Database nomen'ny Occentus Networks (EU)
  6. Zo: Amin'ny fotoana rehetra, azonao atao ny mametra, mamerina ary mamafa ny mombamomba anao.