domingo, 7 de dezembro de 2008


Texto: Brinque com IP's e se defenda de "NUKES"
O NUKE
Há uma confusão muito grande no ar a respeito do Nuke, principalmente depois do surgimento do WinNuke. Surgiram proteções e detetores, e muita gente se espanta sobre o motivo de elas funcionarem em alguns casos e em outros não. Infelizmente, esta confusão tem uma origem muito simples: winnuke não é nuke. Vamos analisar cada uma das duas tecnologias com profundidade suficiente para desfazer este equívoco. Inicialmente, apresentaremos um texto de autoria de R. Albani (o SPeeD, ircop local doirc.trilux.lmpt.ufsc.br), seguido de breves comentários.
Nuke, OOB e Ping Bomb
O que é nuke ?
'Nuke é o nome atribuído a programas que finalizam prematuramente com uma conexão TCP através do envio de pacotes ICMP com mensagens de erro. Tais pacotes podem ser direcionadas para o servidor (server side nuke) ou para o cliente (client side nuke).
Tais programas tem a propriedade de terminar com aconexão fazendo com que o cliente ou o servidor sejamenganados por uma mensagem de erro que normalmenteindicaria um problema de conexão entre os dois. O efeito detal programa para a vitima e' a desconexão do seu servidor,geralmente sem efeitos colaterais. Num exemplo pratico seriacomo se você fosse desconectado do servidor IRC.
Histórico:
Acredito que o primeiro programa de nuke foi o nuke.c, para Unix, seu autor se chamava Satanic Mechanic. Este programa enviava pacotes ICMP com mensagens de erro na porta 23 do servidor, finalizando assim com conexõesTELNET. Com a utilização de firewalls, nukesdirecionados para o servidor passaram a não ser maiseficientes. Passou-se então a "nukar" o host do cliente,no entanto, o fato do cliente geralmente não possuir umaporta fixa para estabelecer a conexão com o servidordificulta a operação.
A solução para isso foi o desenvolvimento de programas que varrem seqüencialmente todas as portas do cliente aonde pode existir uma conexão (portas de 1024 ate' 65535), bombardeando elas com mensagens de erro até que se encontre a porta aonde se deu a conexão com o servidor.
O numero de programas de "nuking" para sistemas Unixsupera em muito os equivalentes para Windows, alem degeralmente serem muito mais eficientes devido as limitações do Winsock. Alguns programas de nuke desenvolvidos para o winsock 2.2beta já estão sendo lançados, estes sim muitomais poderosos do que seus antecessores para a plataformaMicrosoft. Entre esses posso citar o Click4 (by Rhad), querealmente (infelizmente) é muito poderoso.
Um dos primeiros programas de nuke para a plataforma Windows (e um dos mais populares) foi o wnuke. É um aplicativo em 16 bits que utiliza recursos do Trumpet Winsock para enviar os pacotes. Foram lançadas diversas versões desse programa, cada uma implementando mais recursos como controle do tipo de mensagem ICMP enviadae delay entre o envio dos pacotes, de forma que oprograma poderia ser utilizado por pessoas que não dispõe de uma conexão de alta velocidade com a Internet (e.g. conexão discada).
Como eu utilizo o Nuke ?
Bem... você realmente não deveria utilizar o nuke, essasessão aqui pretende explicar o funcionamento de umprograma de nuke, portanto não vou citar exemplos"práticos" de como nukar, mas sim as definições básicas.Basicamente todos os programas de nuke utilizam o mesmoprincipio:
1 - Definir o alvo dos pacotes (cliente ou servidor)1.1 - Definir o tipo de mensagem de erro enviada (opcional)2 - Definir o host do cliente3 - Definir o host do servidor4 - Definir as portas a serem nukadas no cliente5 - Definir as portas a serem nukadas no servidor6 - Definir o intervalo (delay) entre cada pacote enviado (opcional)
Uma vez determinados esses parâmetros o programa inicia o envio de pacotes de erro. Quanto mais rapido foi a sua conexão com a Internet menor o intervalo ente cada pacote, e mais rápido a vitima vai ser atingida. No lugar da porta do servidor, o mais obvio é começar a varredura a partir da porta 6667, que é a porta de conexão default para a maioria dos servidor IRC. O tipo de mensagem de erro enviada pode ser determinada preferencialmente pelo tipo de alvo. Se o alvo for uma maquina Unix, mensagens de 'Host Unreachable' demonstrammaior eficiência. No caso de maquina Windows, "ProtocolUnreacheble" demonstrou ser mais eficiente.
OOB Bug (bug da porta 139)
Diversos programas utilizam esse bug para travar sistemas Windows, gerando um "Denial of Service" através do envio de um pacote OOB (out of band) marcado como urgente paraportas especificas, como por exemplo a porta 139. SistemasWindows NT sem o hotfix OOBFIX instalado ainda são afetadosem duas outras portas, que prefiro não divulgar para impediro uso mal intencionado dessa informação. Apesar de seremchamados de Nuke (Winnuke, wnuke32, etc...) na verdadeesses programas tem um funcionamento totalmente diferente,eles simplesmente se aproveitam de um defeito no sistema.
Conforme descrito em seções anteriores o funcionamento de programas de nuke é diferente. Os efeitos de um ataque de OOB são facilmente perceptíveis. Todo o sistema de rede do Windows entra em pânico, e geralmente é necessáriaa reinicialização do sistema para que a situação sejanormalizada. Felizmente já existem diversos patchesdisponíveis para resolver esse problema, para a plataforma Windows NT, sugiro o ftp://198.105.232.37/fixes/, site alternativo da própria Microsoft aonde estão todos os servicepacks e hotfixes disponíveis.
Caso você já tenha aplicado o service pack 3, o diretório aonde esta o hotfix para o bug de OOB é:/fixes/usa/nt40/hotfixes-postsp3/oob-fix Para o Windows 95,existem diversas soluções, a mais simples de todas é umarquivo de registro que simplesmente fecha a porta 139.Essa solução não é a oficial da Microsoft e na minha opiniãodeve ser evitada, dando preferencia para o patch disponibilizadoem http://www.microsoft.com/kb/articles/q168/7/47.htm
Pinga Bom
Inicialmente vale explicar que não estamos falando deCTCP PING, e sim do programa PING (Packet Internet Groper)que verifica se um endereço IP existe e esta respondendo.O uso mal intencionado desse programa, a partir de umaconexão rápida com a rede, faz com que a vitima caia num lagque provavelmente o levara a desconexão por Ping Timeout,devido a quantidade de pacotes recebidos superar em muito asua capacidade de devolver os mesmos.
WinNuke
Um bug no subsistema de rede do Windows 3.x, 95 e NTpermite que usuários externos possam desativar totalmenteo seu acesso à rede, simplesmente enviando informaçõesmarcadas como urgentes (out-of-band;OOB) a determinadasportas do seu computador (sendo que a mais usual é a 139).Esse ataque de Denial-of-service desabilita totalmente acomunicação TCP/IP de sua máquina, retornando ao normalapenas após o reboot da sua máquina. Existem proteçõesdisponíveis que simplesmente fecham a porta 139 - isso nãoé eficiente, pois o ataque OOB pode ser executado em outrasportas menos usuais também. Da mesma forma, os detetores denuke que se destinam a identificar a origem dos ataquesOOB também não tem eficiência máxima porque limitam -se a ouvir a porta 139. Além disso, eles não deveriam se chamar detetores de `nuke`, uma vez que o ataque que eles detectam não constitui um nuke canônico, mas apenas um exploitde um bug do Microsoft Winsock.
_______________________________________________________________
Se protegendo de nukes:
INSTRUÇÕES:
1. Faça o download do patch. Execute o programa e extraia no diretório Windows\System
2. Feito isso, dê Iniciar/Executar. Lá coloque: c:\windows\system\patch.bat
3. Uma tela do prompt do DOS vai aparecer. O programa vai renomear o arquivo. Aí é só reiniciar o computador e você nunca mais será nukado!
Obs.: Se você possuir uma rede em casa, NÃO USE ESTE PATCH!O arquivo que será renomeado (vnbt.386) é necessário paraa rede!
_______________________________________________________________
Pegando o IP de alguém em um chat
MODO UM:
Já deve ter acontecido com vc, de vc estar em um chat de WWW e alguém te xingar. Xingar, não resolve apenas mantém a briga! Mas que tal se vingar com um pouco mais de classe? Seria uma boa heyn! Que tal nukar o otário, ou entrar no server de ISP dele, e pegar a senha dele e ameaça -lo? Isso sim é que é estilo. Com um rastreador de IP ealguns programinhas vc poderá foder legal. Antes de tudopegue os seguintes programas e siga as instruções:
Omni httpd Ip Cyber
Depois de copiados os programas rode o programa IP.exe. Veja o seu IP. Feito isso entre no OMNI HTTPD (é de instalar). La dentro entre em properties, serves e vá em Server root, ponha lá o diretório de onde esta as fotos que vc vai enviar pro chat. Á seguir vá no chat e faça um link para a foto só que ao invés de url ponha o seu IP. Depois de enviar a foto, abra o arquivo acces.log do diretório logs do OMNI utilizando o NotePad. Lá vai ter os IPs de todos da sala. Se vc não conseguiu é por que a sala não está configurada para aceitar figuras. Entre então no CyberKit, e ponha o seu IP na janela de hostname e clique em Go. Vc deve tar com o IP deles!
Funcionamento: O OMNI HTTPD, serve para fazer um site com seu IP. Quando vc envia uma foto normalmente vc está trazendo a foto até a sala. Quando vc põe com o nome do seu IP, é como se fosse um site. Mas o OMNI HTTPD grava quem viu a foto. É aí que esta a coisa!
Provavelmente vc pode não conseguir. Esta receita esta correta! Se vc não conseguiu o problema esta com vc, e não aqui! Tente, não venha para cima de mim reclamando caso vc não consiga
MODO DOIS
Existe um software chamado IPTracer, cuja sua principal finalidade é rastrear IPs de pessoas em salas com imagens, Clique aqui para copia-lo! É muito fácil usa-lo. Após efetuar o download do IPtracer, entre no software. Onde Ip e porta dochat, vc coloca o endereço da sala e sua porta Em string desegredo, vc escolhe o jeito de como vc quer falar com a vítima.Escolha a vítima, em escolha a vítima, e clique em atualizar. Os dados da vítima serão exibidos.O que acontece? O programa envia uma imagem para a sala. Esta imagens pega os dados do escolhido
MODO TRÊS
Bom agora vem o mais importante, pegar Ip em um chat que não aceite tags HTML. Mas por incrível que pareça é mais fácil do que pegar um Ip em uma sala que aceite tags de HTML. O truque é o seguinte vá ao Prompt do MSDOS e digite: arp -a isto [arp(com o espaço)-a] Com isso irá aparecer um monte de IPs, exemplo:[200.200.200.200] [200.000.000.000] [200.000.000.001][200.000.000.002]. O primeiro IP o seu e o ultimo IP docara que te mandou por ultimo uma mensagem no chat. Isto,vamos supor que o Rick te mandou uma mensagem, ele mandou:Nike fala para VOCÊ: OI cara tudo bem? Dai você resolve pegar o Ip dele, e vai ao prompt do MS-DOS e da o arp -a, o ultimo IP que esta o IP do Rick, isto se ninguém mais tiverte mandado uma mensagem neste tempo.Chegamos a conclusão:Rick=200.000.000.002 Você=200.200.200.200 e pronto você játem o IP da vítima. E agora que você já sabe como pegar o IPde uma pessoa, não perca tempo e pegue logo o programa de nukarIP. :)
IPs no Quake
Vá no console e digite: Status.
_______________________________________________________________
Nukando IPs.
Pra nukar um IP, é muito simples, basta fazer o download dealgum NUKER bom, ou por exemplo o download do wingenocideque simplesmente COME memória RAM do computador da vítima.Não se preocupe pois não vamos ficar falando a parte teóricade como funciona NUKE, basta você saber bem por cima de que háuma porta 139 que tem um bug e essa porta que você vai nukar,retirando a pessoa da Internet (desconectando-a). Se você estainteressado em fazer o download de um programa de NUKE sugiro quevocê pegue um programa chamado Winnuke, que já ganhou fama porser um programa muito bom. Usando este programa basta você pegaro Ip da vítima, sendo por qualquer modo que ensinamos acima,ou por outro método e colocar este IP no campo indicado noprograma, depois se você apertar o botão NUKE! e esperar aparecera mensagem de que o nuke foi enviado. Rastreando o provedor do IP.Se você não quer nukar, por qualquer motivo, sendo por ter medodele ou por não querer mesmo, ou se você quer apenas dar umsusto na vítima do IP, esta é uma solução boa, pois com esteprograma você pode rastrear o provedor do dono do IP. Por exemplo,o cara chega te abordando e te provocando então você pega o Ipdele como ensinamos, rastreia o provedor dele, faz de contaque é a NETWEB e diz pra ele... "Fica de boa ai cara, e a propósitoa NETWEB continua rindo da piada como sempre?" Isto vai dar um bom susto nele com certeza. Para fazer isto basta você fazer o downloadde um programa SCAN. Aqui você pode fazer o download do IPscanque é o mais simples dos SCANS, mas se você preferir vá até nossaseção de download copie o cyberkit ou outro qualquer. Usando oIPscan, tudo que você tem que fazer é colocar o IP da pessoa nocampo indicado e apertar START que logo irá aparecer o provedorda pessoa em baixo. Se você gostaria de fazer o download desteprograma, ele se encontra em vários Sites da Net...

espero que gostem!

ass:gato-bravo-e-brasileiro

Nenhum comentário: