2015. december 5., szombat

IP kamera beállítása

Elmélet

Protokoll (protocol)

Ha két eszköz egy bizonyos célból kommunikálni szeretne egymással, akkor meg kell, hogy értsék egymást, amihez kell egy szabályrendszer, amit mindketten ismernek, és amely alkalmas arra, hogy az adott célnak megfelelő kommunikációt lefolytassák. Az emberek közt irigylésre méltóan univerzális protokollok az emberi nyelvek. Az informatikában ennél sokkal specializáltabb protokollok vannak, például külön protokoll van arra, hogy egy weboldalt pontosan hogyan kérjen le a böngészőnk az adott weboldalt tároló szervertől (erre való a http protokoll, melynek neve nap mint nap, minden weboldal címe előtt megjelenik böngészőnkben), de külön protokoll írja le azt is, hogy egy email hogyan kerül elküldésre (ezt az smtp protokoll szabályozza).

url
IP (Internet Protocol)

Az előző pontban említett két protokoll, két magas szintű funkciót (web és email) valósít meg, azonban már azt is protokollok szabályozzák, hogy egy számítógép-hálózatban résztvevő eszközök egyáltalán hogyan kapcsolódjanak hálózatba egymással. Az ehhez szükséges alacsony szintű kommunikációs szabályokat a mai számítógép-hálózatokban alapvetően két protokoll írja le, melyek nevei alapján a mai hálózatokat szokás TCP/IP,vagy röviden csak IP hálózatoknak nevezni.

A CISCO (hálózati eszközöket gyártó vállalat) szerint az IP eszközök száma 2015-re eléri a 15 milliárdot, ezzel valószínűleg a bolygó legelterjedtebb protokolljává válva, megelőzve még az Argentin hangyák (Linepithema humile) több milliárdos szuperkolóniájában használt kémiai alapú kommunikációs protokollt, vagy a kínai Mandarin nyelvet, melyet mindössze 935 millióan beszélnek.

linepithema_humile
MAC (Media Access Control ) cím (address)

Minden IP protokollt használó eszköznek van egy – az egész világra nézve – egyedi azonosítója, melyet az eszköz gyártója „éget” a termékbe. Az eszköz fizikai címének is szokás nevezni. Egy példa MAC address-re: 1C-6F-65-2C-AF-23.
IP cím

Egy hálózati eszköz – az adott hálózaton belül egyedi – címe. Négy számból áll, melyeket az IP cím ábrázolásakor a konvenció szerint jellemzően pontokkal választunk el egymástól. Mind a négy szám 0-tól 255-ig vehet fel értékeket, azaz a legkisebb elképzelhető IP cím a 0.0.0.0, a legnagyobb pedig a 255.255.255.255.

Az IP címet a szakzsargonban gyakran, egyszerűsítve csak IP-nek hívjuk.
Publikus és privát IP címek

Képzeljünk el egy vállalatot, melynek telefonszámát tárcsázva egy telefonközpont jelentkezik be, ahol megadhatjuk annak a telefonnak (melléknek) a számát, mellyel beszélni szeretnénk a vállalat saját telefonhálózatán belül. A belső telefonszám (legyen mondjuk a 42-es) természetesen nem érhető el közvetlenül, azaz, ha felemeljük a kagylót, nem tárcsázhatjuk közvetlenül a 42-es számot, hiszen ilyen szám a külső, publikus telefonszámok közt nem létezik. Sőt, 42-es belső telefonszámú telefonja más vállalatnak is lehet a saját telefonhálózatán belül, azaz azt mondhatjuk, hogy a 42-es szám csak az adott vállalat hálózatán belül egyedi.

A fenti példában persze könnyű eldönteni, hogy egy szám publikus telefonszám, vagy egy privát hálózat egy melléke, hiszen a 42 egyszerűen kisebb szám, mint egy publikus telefonszám.

Az IP hálózatok esetén azonban a privát IP címek alakra ugyanolyanok, mint a publikusak. Akkor honnan lehet eldönteni, hogy egy IP cím publikus, vagy csak egy helyi alhálózat része?

Onnan, hogy az alábbi IP címek az IP protokoll szabályai szerint, privát, helyi hálózatoknak vannak fenntartva:

10.0.0.0 – 10.255.255.255

172.16.0.0 – 172.31.255.255

192.168.0.0 – 192.168.255.255

azaz, a fenti intervallumok valamelyikébe eső IP címek privát IP-k, az összes többi pedig publikus.

A fentiek közül a legkisebb intervallumot a 192.168-cal kezdődő tartomány tartalmazza, ezért otthoni, illetve kisvállalati környezetben ennek a tartománynak a használata az elterjedt, így a továbbiakban mi is ezzel foglalkozunk.

A fentieket figyelembe véve már egyértelműen el tudjuk dönteni egy IP címről, hogy publikus-e (azaz az Interneten egyedi-e), mint például a 217.20.130.97 (ami az index.hu webszervere), vagy egy helyi hálózat része és így csak az adott helyi hálózaton egyedi, mint például a 192.168.1.100.

A publikus címeket szokás külső-, a privátokat pedig belső IP címnek is nevezni.
Router

A fentiekben felvázolt telefonos példánál maradva a telefonközpont a globális telefonhálózat és a cég helyi kis telefonhálózata között áll és biztosítja köztük az átjárást illetve átirányítja a kívülről bejövő hívásokat a megfelelő mellékhez, valamint a bentről kimenő hívásokat az ellenkező irányban.

Ugyanezt teszi routerünk is: a globális hálózat (jellemzően az Internet) és a saját, privát számítógép-hálózatunk közt biztosítja a kommunikációt. (Innen az eszköz neve is, hiszen a router angol szót útvonalválasztónak fordítjuk.) A pontosság kedvéért meg kell említenünk azt is, hogy a helyi hálózat eszközei egymás közt is a routeren keresztül kommunikálnak, mivel mindegyikőjük a routerhez kapcsolódik.

A fentieknek megfelelően egy átlagos mai routeren egyetlen úgynevezett WAN és számos LAN aljzat található. A WAN a Wide Area Network rövidítése (nagy kiterjedésű hálózat), jellemzően ide csatlakoztatjuk az internetszolgáltatótól bejövő hálózati kábelt.

A LAN a Local Area Network (helyi hálózat) rövidítése, ennek megfelelően ezek az aljzatok a helyi hálózatunk egyes eszközeinek hálózatra csatlakoztatására szolgálnak.

roter

A router egyes aljzatait szokásos a router portjainak is nevezni (például „a router WAN portja”). Ez nem összekeverendő azonban a TCP protokoll portjaival, melyekről kicsit később ejtünk szót).

Lássunk egy – szándékaink szerint – szemléletes ábrát arról, hogy hogyan is végzi heroikus harcát routerünk a hozzá csatlakoztatott két számítógép-hálózat határán egyensúlyozva:

router_folyamat_abra
DNS (Domain Name System)

Ahogy azt korábban már leírtuk, minden TCP/IP hálózatot használó eszköznek van egy IP címe, mely azonosítja azt a hálózaton. Nincs ez másként a kedvenc website-jainkat szolgáltató szerverekkel sem.

Vegyünk például két ismert hírportált. Az Index web szerverének – e szavak írásakor érvényes – ip címe: 217.20.130.97, az Origo-é pedig: 195.228.240.145.

Képzeljük el, hogy ha az unalmas munkánk helyett gyorsan meg szeretnénk nézni, hogy mit ír az Index vagy az Origo, akkor böngészőnk címsorába alapvetően annak ip címét kellene begépelnünk. Hamarosan egy kis füzetecskével a hónunk alatt rohangálnánk, melybe kedvenc site-jaink ip címeit jegyeznénk fel:

Index – 217.20.130.97

Origo – 195.228.240.145

Cameradepo – 195.70.36.42

Bogyosmacak – 195.70.36.42

stb.

notepaper

A világ éppen ezekben az években áll át lassan a kéz és hangvezérlés korába, így beláthatjuk, hogy ez elég rosszul venné ki magát. Hál’ Istennek egy Paul V. Mockapetris nevű, okos amerikai már 1948-ban megalkotta a DNS rendszert, mely lehetővé teszi számunkra, hogy egy beszédes név segítségével is azonosíthassunk egy eszközt a hálózaton.

Mi történik tehát, amikor böngészőnkbe beírjuk – a fenti példánál maradva – azt, hogy „index.hu”? A böngésző megkérdezi a DNS rendszert, hogy mi az „index.hu” domain névhez tartozó IP cím, melyre válaszul megkapja, hogy 217.20.130.97, így a böngésző le tudja kérdezni erről az IP címről az áhított weboldalt. Ezt úgy is nevezzük, hogy a DNS rendszer feloldja a domain nevet. (Ez a leírás meglehetősen elnagyolt, elnézést kérünk a hozzáértőktől az okozott fájdalomért, de ahogy az első bekezdésben is írtuk, ennek a leírásnak a könnyű érthetőség az egyik elsődleges célja).

Itt még annyit szeretnénk – szintén nagyon felszínesen – megemlíteni, hogy a domain neveken belül létezhetnek úgynevezett aldomain-ek (subdomain) is, mint például a blog.hu szerveren belül az egyes blogok aldomainjei, például a hircsarda.blog.hu. Ezzel a példával arra szeretnénk felhívni a figyelmet, hogy a szervert ebben az esetben is a blog.hu azonosítja, a hircsarda egy azon a szerveren belül található aldomain. Amennyiben ez most nem teljesen érthető, az nem probléma, kérjük olvasson tovább, az IP kamerák külső elérésénél – remélhetőleg – minden világossá válik ezzel kapcsolatban.
URL (Uniform resource locator)

Egy adott tartalmat (oldalt, képet, hangot… stb) egyedileg azonosító teljes cím.

Például egy termékfotó címe (URL-je) honlapunkon:

http://www.cameradepo.hu/12-94-thickbox/ncb-541w-wifi-ircut.jpg

Látható, hogy az URL először az adott tartalom eléréséhez szükséges protokollt, majd a szervert definiáló domaint, ezután a tartalom elérési útját az adott szerveren, és végül magát a tartalom – jelen esetben egy képfájl – nevét is tartalmazza.
Portok

Minden IP protokollt megvalósító eszköz rendelkezik 65536 darab kapuval, melyeken keresztül kommunikációt folytathat a külvilággal. Ezeket a kapukat portoknak nevezzük.

portok

Minden IP protokollhoz tartozik egy alapértelmezett port, melyen az adott protokollt megvalósító eszközök jellemzően kommunikálnak egymással. Néhány népszerű protokoll alapértelmezett portja:
protokoll     mire szolgál     alapértelmezett port
http     web böngészés     80
ftp     file átvitel     21
torrent     fájl megosztás     6881-6889

Sok IP protokollt használó szoftver elég okos ahhoz, hogy ha a felhasználó nem adja meg a kommunikációhoz szükséges portot, akkor az adott protokoll alapértelmezett portját használja. Például a böngészőnkbe nem szükséges beírnunk, hogy http://index.hu:80, mert a böngésző egyrészt feltételezi, hogy – böngészőről lévén szó – a http protokollt kell használnia, és ha nem adjuk meg a 80-as portot sem, akkor magától ezt használja, így ebben az esetben elég csak annyit írnunk, hogy index.hu.
A privát IP címek kiosztása helyi hálózatunkon

Felmerül a kérdés, hogy a hálózatunkon található eszközök (számítógép, ip kamera, biztonsági kamera rendszer… stb) honnan kapják privát IP címeiket?

Erre két lehetőség van:

    DHCP (Dynamic Host Configuration Protocol – dinamikus állomáskonfiguráló protokoll)Ebben az esetben a hálózatra csatlakoztatott eszköz minden csatlakozáskor a routerünket kéri meg, hogy osszon ki számára egy helyi IP címet. Előnye, hogy így nem kell bajlódnunk az egyes eszközök IP címének beállításával, hátránya, hogy nem tudhatjuk pontosan, hogy az eszköz épp melyik IP címet kapta routerünktől. Ez természetesen csak akkor hátrány, ha az adott eszközt el szeretnénk érni kívülről. Például egy IP kamera vagy egy biztonsági kamera rendszer esetén semmiképp ne hagyatkozzunk DHCP-re az érintett eszközök IP címének beállításakor, hacsak nem leljük különös örömünket abban, hogy minden alkalommal, amikor ezen eszközöket el szeretnénk érni, előtte ki kell silabizálnunk, hogy helyi hálózatunk épp melyik IP címén találhatók.
    A fentiek gyakorlatban történő alkalmazásához olvasd el a Kamerarendszer csatlakoztatása a helyi hálózatra leírásunkat.

    Mikor hasznos akkor a DHCP? Például abban az esetben, ha laptopunkat gyakran visszük otthonról a munkahelyünkre és nem szeretnénk minden alkalommal a hálózati konfigurációjában turkálni, amikor rá szeretnénk csatlakoztatni az adott helyi hálózatra. Ebben az esetben nyugodtan bízzuk az IP cím konfigurálását a helyi routerre.
    Kézi IP cím beállítás: ebben az esetben az adott eszköz beállításai közt magunk adjuk meg, hogy mi legyen annak IP címe a hálózatunkon. Fontos figyelnünk arra, hogy a routerünk által létrehozott helyi hálózat IP cím tartományából válasszunk. Azaz ha például a routerünk a 192.168.1.1-es privát IP címen található, akkor a 192.168.1.x címet adjuk a rá csatlakoztatott eszközeinknek, ahol x elvieg 1 és 255 között vehet fel értéket, de nem szokás a router 1-esénél kisebb értéket adni a felhasználó eszközeinek, azaz a fenti esetben válasszunk x-nek értéket 2 és 255 között. Természetesen kézi IP cím beállításnál arra is nekünk kell figyelnünk, hogy azonos IP címet ne adjunk meg két eszköznek hálózatunkon.

Publikus IP címünk kiosztása
A legegyszerűbb mód arra, hogy megtudd, hogy mi a számítógéphálózatod éppen aktuális publikus IP címe, írd be a böngésződ címsorába hogy „www.whatismyip.com” (természetesen az idézőjelek nélkül)

Számítógéphálózatunk publikus IP címét internetszolgáltatónk osztja ki routerünknek (ez lesz a router WAN címe).

Ha szerencsénk van, akkor szolgáltatónk – jellemzően valamilyen díj ellenében – vállalja, hogy mindig ugyanazt a publikus IP címet osztja ki számunkra, így annak segítségével mindig elérhetjükhálózatunkat, bárhol is vagyunk a világon.

A legtöbb esetben azonban az internetszolgáltatónk nem garantálja, hogy ugyanazt a publikus IP címet osztja ki nekünk, így az, hogy milyen IP címen érhetjük el hálózatunkat, időről – időre változik.

Szerencsére erre is van kényelmes megoldás, mely a DDNS névre hallgat.
DDNS (Dinamikus DNS – Dynamic DNS)
A nálunk vásárolt Wansview IP kamerákhoz a gyártó ingyenes DDNS szolgáltatást biztosít, a SENSBASE termékekhez pedig cégünk biztosít – csekély díj ellenében – DDNS szolgáltatást a dyn.com szolgáltatásának továbbértékesítésével.A fentiek gyakorlatban történő alkalmazásához olvasd el a Kamerarendszer elérése az Internetről leírásunkat.

A DDNS lényege, hogy egy számítógéphálózatunkon található eszköz (manapság ez jellemzően a routerünk vagy IP kamera esetén maga a kamera, biztonsági kamera rendszer esetén pedig a videorögzítő) folyamatosan figyeli, hogy hálózatunk publikus IP címe megváltozott-e. Amikor az internetszolgáltatónk új IP-t oszt ki számunkra, akkor ez az eszközünk üzenetet küld a változásról az előre beállított DDNS szervernek – aminél korábban e célból regisztráltuk hálózatunkat –, így biztosítva, hogy az adott DDNS szerver mindig ismerje hálózatunk éppen aktuális publikus IP címét.

Ezután ha el szeretnénk érni hálózatunkat az Internetről, akkor a DDNS szervernél regisztrált fiókunkat kell megszólítanunk és ekkor a DDNS szerver a kérésünket automatikusan át fogja irányítani az általa ismert utolsó publikus IP címünkre.

Nézzünk egy példát lépésről lépésre!

    Tegyük fel, hogy regisztráljuk számítógéphálózatunkat a pillanatnyilag legnagyobb DDNS szolgáltatónál, a dyn.com-nál (régebben dyndns.org). Ez a szolgáltató rengeteg domain név alatt kínál DDNS szolgáltatást és szinte minden újabb router és rengeteg IP eszköz gyárilag támogatja a náluk létrehozott DDNS fiók frissítését. Ebben a példában a regisztráció során a cameradepo.homeip.net dinamikus domainnevet választjuk magunknak.
    Ezután belépünk a routerünkbe és a DDNS beállításoknál megadjuk az előbb létrehozott dyn.com-os azonosítónkat és jelszavunkat, valamint a választott dinamukus domainnevünket, a cameradepo.homeip.net-et. (Ugyanezt a lépést megtehetjük IP kameránkkal és biztonsági kamerarendszerünk videorögzítőjével is).
    Ekkor routerünk (vagy amelyik eszközünkben a DDNS szolgáltatást beállítottuk) automatikusan felcsatlakozik a megadott DDNS szerverre és elküldi neki számítógéphálózatunk publikus IP címét, amelyet az internetszolgáltatónk éppen kiosztott nekünk. Tegyük fel, hogy ez az IP cím a 64.4.11.37.
    Ekkor tehát a dyn.com DDNS szervere tudja, hogy a cameradepo.homeip.net dinamikus domainnév a 64.4.11.37-es publikus IP-jű számítógéphálózatot takarja.
    Innentől ha bárhol a világon beírjuk egy böngészőbe, hogy cameradepo.homeip.net, akkor a kérésünk a dyn.com DDNS szerveréhez érkezik be (hiszen a homeip.net domainnevű szervert ők birtokolják). A szerver kikeresi, hogy mi az általa ismert utolsó, cameradepo.homeip.net-hez tartozó publikus IP, és a kérést automatikusan átirányítja oda. Mivel a 3-as pontban egy eszközünk már elküldte a DDNS szervernek, hogy a pillanatnyi publikus IP címünk a 64.4.11.37, ezért a kérés erre az IP-re kerül átirányításra.
    Mivel a 3-as pont minden olyan esetben automatikusan megismétlődik, amikor az internetszolgáltatónk új IP címet oszt ki számítógéphálózatunknak, így a cameradepo.homeip.net mindig az éppen aktuális publikus IP címünkre lesz átirányítva. Így csak ezt az egyszerű címet kell megjegyeznünk és bármikor, bárhonnan elérhetjük hálózatunkat.

Port átirányítása (port forwarding)

Az előző pontban azt vettük át, hogy hogyan érhetjük el bármikor, bárhonnan számítógéphálózatunkat, egyszerűen. Felmerül ugyanakkor a kérdés, hogy hogyan tudjuk az azon belül található egyes eszközöket (számítógép, ip kamera, biztonsági kamera rendszer… stb) elérni?

Erre az jelent megoldást, ha a portot, amelyen az adott eszköz a bejövő kéréseket várja, átirányítjuk routerünkben az eszköz belső IP-címére.

 ---

Hack leirások [Mi mire is jó]


I. Általános eszközök
II. D.o.S.
III. IRC tudomány
IV. Hasznos források


I. Általános eszközök

Ide tartoznak: telnet, trójai programok, portscannerek, keyloggerek, firewall, email bombazók.
Nézzuk mire jók ezek:

1. Telnet

A telnet arra használható, hogy egy másik géphez csatlakozva szöveges kommunikáciot
folytassunk vele. Ehhez Start>Run>telnet <masik gép neve vagy IPje> <port> parancsot kell
kiadnunk. Pl. ha a mail.matav.hu számitogéphez akarsz csatlakozni, a 25-os porton, akkor ird be:
telnet mail.matav.hu 25. Ha nem adsz meg portot, akkor alapértelmezettnek a 23-as portot veszi,
amit ugy is neveznek, hogy telnet-port. Ha egy kicsit is tudsz angolul, nem okozhat gondot a
telnet használata. Egyik fontos beállitasa a local echo, amellyel azt adhatjuk meg, hogy az
ablakba általunk begépelt karaktereket megjelenitse-e a program. Ez azért lehet hasznos, mert
van olyan szerver, amelyik a neki küldött karaktereket visszaküldi, igy kétszer jelenik meg az
ablakban és ez zavaró. Ha viszont kikapcsoljuk és a szerver nem kuldi vissza (ez az echo) akkor
nem látjuk, mit irunk.

Egyébként ha egy karaktert leütünk, azt a program azonnal el is küldi. Ez majd később fontos
lehet.

2. Portscannerek

A portscanner arra jó, hogy egy másik számitógép nyitott portjait megállapithassuk. Összesen
65536 különböző (TCP) portja lehet egy számitógépnek, de ezek közül csak néhany van nyitva.
Néhany a nevezetes portok közül: 25-mail port, ha nyitva van, akkor valószinűleg mail-szerver
üzemel a gépen; 80-www/http port, webszerver; 21-ftp port; 23-telnet; 7-echo; 13-daytime; 139-
netbios; stb. A nyitott portokon keresztül tudunk csak a géphez kapcsolódni.

Sokféle különböző portscannert láttam már. A szolgáltatások közé tartoznak: megadott IP-
tartomány keresése, megadott port-tartomány keresése, loggolás, a megnyitható portokra
beállitható üzenet küldése, üzenet fogadása, a szerver altál lecsukott portok "nyitvatartási
idejének" mérése, a portok megnyitása közötti idő beállithatósága, stb.

3. Trójai programok

A két legismertebb a BO (vagy Back Orifice, magyarul hátso nyilás) és a Netbus. Mások is leirták
már, mik is ezek, de nem hagyhatom ki őket a felsorolásbol. A trójai programok olyan
programok, melyek két részből állnak: a szerver- és a kliensprogramból. Ha a szerverprogramot
felinstallálod az egyik gépre, akkor a klienssel vezérelni tudod azt, és különböző dolgokat tudsz
végrehajtani. Elég oreg dolgok már ezek (több mint egy évesek), és habár a hacker-filozofiával
nem ellenkezik a használatuk, egyesek berzenkednek tőle, túl egyszerű őket használni.
Hasznalatuk azért különböző problémákat felvet. Pl. a célgépre valahogy fel kell installálni a
szervert, s ha nincs fizikai hozzáférésed, elég nehéz ügy. Pl. az IRC-n ráveheted, hogy vegye át
tőled és inditsa el. (Ezt nem taglalom, szerintem nagyon gyerekes dolog. Akit rá tudsz venni, az
annyira buta, hogy inkább meg kellene védeni, nem szivatni.) Nézzük mit tudnak ezek.

BO - a Cult of the Dead Cow (CdC) terméke. Csak Win9x-en műkodik. Legismertebb változata az
1.20. Kódolt UDP csomagokkal kommunikál, ami összeköttetés-mentés kommunikáciot jelent.
Lehetőve teszi a kliensnek a célgép regisztrácios adatbázisának módositását, amivel elég sok
mindent végre tud hajtani. Ki tudja fejteni a gépen tárolt jelszavakat, pl. a képernyőkimelőét
vagy az Internet-elérés jelszavát. Képlopásra is képes, bár nem annyira ügyesen, mint a Netbus.
Billentyűzet-figyelést is végre tud hajtani, valamint kilistázza a futó alkalmazásokat,
merevlemez tartalmat, fileok törlese, mozgatása, megtekintése, beépitett web-szerver,
alkalmazások leállitása, inditása, TCP-n keresztül file-ok fogadása, küldése, sysinfo lekérdezés,
gép lefagyasztása, ujrabootolás az alapszolgáltatások. Ezeken kivül külonféle pluginek léteznek
hozzá, amelyekkel még érdekesebb dolgokat lehet csinálni: hozzákapcsolni a szervert egy másik
exe-filehoz, mint egy virust; egy másik plugin e-mailt küld a megadott cimre, ha a számitogép
fellép az Internetre, leirja a gép IP-cimét, stb.

Netbus - tud egypár dolgot, amit a BO, nem mindet, de vannak dolgok, amit a BO nem tud.
Természetesen mindkettő úgy reklámozza magát, mint "remote-administering tool", azaz táv-
adminisztrácios eszköz, de a BO inkább a hackerek kezébe való, mig a Netbus szórakozásra.
Ilyen pl. a CD-ajto nyitogatása, az egér vezérlése, egérgombok felcserélese, gombok letiltása... de
azért jól használható egyéb piszkos dolgokra is. Sok valtozata terjedt el, 1.53, 1.6, és a
leggyakoribb az 1.7. Nemrég jött ki a 2.0, de az már nem rejti el magát, mert kihagytak belőle egy
pár lehetőséget, hogy ne lehessen vele visszaélni. Persze ehhez is jelent mar meg crack ...
Egyébként TCP-kapcsolatot hoz létre, és WinNT alatt is fut.

Különben a legtöbb viruskereső felismeri mar őket. Külön felismerő programokat is könnyen
lehet találni a neten, amelyek eltávolitják őket. De kézileg is felismerhetők: inditsd el:
Start>Run>regedit, majd
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>Currentversion>Run, vagy
RunServices. Itt nézd végig a programokat, ezeket inditja el a Windows induláskor. Ha találsz
valami gyanúsat, szedd ki és kész. (Jobb gomb>Delete.) Különben se túl jó ha ismeretlen dolgok
tanyáznak itt. Persze itt csak óvatosan turkálj, ha valami gyanúsat találsz, előbb nézd meg a
haverodnál, neki megvan-e!

4. Keylogger

A keylogger magyarul billentyűzetfigyelő. Jegyzi a leütött billentyűket és eltárolja őket egy
fileba. A Netbusban olyan beépitett billentyűzetfigyelő van, amelyik egyből át is küldi a
kliensnek a leütött billentyűket. A jobbak azonban eltárolják az Alt, Ctrl, Shift, Backspace, Del,
F1-F12, Esc stb. karaktereket is, később sokkal jobban fel lehet használni a logfilet. Láttam olyat
is, amelyik a programok inditását és a kilépéseket is figyelte és rögzítette. Ezek már túlmennek
az egyszerű billentyűzetfigyelés határán.

Nos, a billentyűzetfigyelők használata akkor érdekes, ha fizikai hozzáférésed van (lehetoleg
rendszeresen) a célgéphez, és másokkal közösen használod. Jelszavakat, magánéleti titkokat
lophatsz vele. Érdemes olyat választani, amelyik kussban fut (nem észlelhető), már sok ilyen van.

5. Firewall

Magyarul tűzfal. Egy olyan program, amellyel a hálozati forgalmat tudod figyelni és kontrollalni.
Jó vedelmet jelent, ha egy tűzfal möge bújsz, mert nem tudják letapogatni a nyitott portjaidat, ha
nem akarod; vagy nem tudnak hozzáferni az esetlegesen a gépeden futó BO-hoz vagy Netbushoz
vagy egyéb trójai programhoz.
Ezek a programok akkor érdekesek, ha pl. modemmel csatlakozol az Internethez, tehát közötted
és az Internet között nincs másik számitogép. (Pl. nem egy alhálózaton vagy. Az alhálozatok
esetében csak az egyik gép van az Internetre kötve, a többi ehhez csatlakozik, igy ennek kell a
tűzfal szerepét ellátni, hogy az egész hálozatot megvédje.)

6. WinGate szerverek

A WinGate szerverek relative ismeretlenek a magyar mezei hackereknek. Vagy ügyesen
titkolják, mindenesetre nem nagyon reklamozzák. A WinGate szerver olyan szerver, melynek
segitségével IP cimünket elrejthetjük, lenyomozhatatlanná tehetjük. Úgy kell elképzelni, hogy
ha egy másik szamitogéphez akarsz csatlakozni, akkor közbeiktatsz egy másik számitogepet
(WinGate szerver) amelynek mindössze közvetitő szerepe van, de firewallkent is működik. (Igen,
igen! Aki ezek utan nem jön rá magától, mire jó a WinGate, az most azonnal hagyja abba az
olvasást, az soha nem lesz hacker!) Szoval egy igazi nagy durranás. Nézzuk, hogyan kell
használni:

Tegyük fel, hogy a WinGate szerver neve ttt.wingate.com, portja 23 (ez általános). A fenti
példánál maradva, a mail.matav.hu 25-os portjára akarunk csatlakozni. Vegyük elő ismét a
telnetet:
telnet ttt.wingate.com
A következő sztringet kapjuk:
WinGate>
A WinGate szerverek egyébként visszaechoznak, tehat a local echot ki kell kapcsolni. Irjuk be:
mail.matav.hu:25
Es WHALAA! csatlakoztunk a mail.matav.hu 25-os portjára, de még ha loggolják is az IP-t, akkor
is azt látják majd, hogy ttt.wingate.com.

Na persze, vannak egyes WinGate szerverek, amelyek szinten rögzítik a csatlakozók IP cimeit,
de amíg kapcsolatba lépnek velük, visszanyomoznak téged, addig eltelik egy pár nap/hét,
valamint: "fűzz össze több WinGate szervert egymás után" és mar nem is éri meg a fáradságot
visszanyomozni téged. Pfff! Egyébként WinGate szerver listáért nézz körül a neten, mert
állandoan változik. (Mármint a lista.)

7. E-mail bombázók

Ezekkel a programokkal inkább bosszantó mint veszedelmes eredményt tudsz elérni, azonban a
törvények ezt is tiltják. Arra szolgálnak, hogy névtelenül rengeteg mocskolódó levéllel eláraszd a
célpont levelesládáját, igy teletöltve egyrészt nem tud újat fogadni, másreszt eltart egy darabig,
mig letölti őket, majd letörli őket. Hátrány, hogy nem tudod az arcát figyelni, amikor
megpillantja, mennyi levele jött. Mindenesetre elégtételt vehetsz. Probáld ki az Avalanche es
Kaboom legújabb verzióit. Az Avalanche, nekem úgy tűnt többet tud: gyorsabbnak mondja magát,
valamint van benne egy sereg opcio.: WinGate használat, hibaüzenettel történő bombázás,
beépitett sértegető (persze angol), és egy sereg tipp, amelyek jól jönnek ha letöltöd.

II. D.o.S.

A D.o.S. nem a BillGatez-féle fenomenalis oprendszer, hanem a Denial of Service angol szavak
röviditése. A DoS olyan tevékenység, melynek során/eredményeképp egy bizonyos szolgáltatás
szinvonala csökken vagy a szolgaltatás megszűnik. Megvilágítom. Tegyük fel, hogy van egy
webszerver (valahol a világban, mindegy.) Ezen egy DoS támadást végrehajtva jó esetben a
szolgáltatás lelassul, nehezen elérhetőve válnak az oldalak, vagy egyaltalán nem válaszol majd a
szerver, esetleg lefagy, vagy ujraindul.
Most háromféle DoS támadást fogok ismertetni: a SYN floodot, az ICMP floodot es az OOB
Nuke-t

SYN flood (forditva/feldolgozva a "SYN Floods and SYN Cookies - The cause and cure" cimu
NeonSurge/Rhino9 irásbol): ez a fajta támadás a TCP-kapcsolat felépitésének sérülékenységén
alapul. Mielőtt belemegyünk, előtte elmagyarázom, hogyan is működik a TCP.

1. A kliens (aki kapcsolatot akar teremteni a másik géppel) kérelmet küld a célgépnek, megadva
a portot, amelyhez csatlakozni akar.
2. A szerver visszakuldi a kérelem nyugtázását, valamint lefoglalja a memoriájában a
kapcsolathoz szükseges adatterületet.
3. A kliens nyugtázza a szerver válaszát és ezzel a kapcsolat létrejött, lehet TCP-csomagokat
küldözgetni mindkét irányban.

Kicsit bővebben:

1. A kliens egy SYN (synchronize) kérelmet küld a szervernek, egy ISNnel (initial sequence
number) együtt. Az ISNből rakja sorrendbe az operácios rendszer az erkező TCP-csomagokat (a
csomagok ugyanis nem biztos, hogy sorrendben érkeznek, el is veszhetnek útközben,
megduplázodhatnak). Az ISN az álcázott támadások esetében is fontos szerepet játszik.
2. A szerver megkapja a SYN-t, és válaszol egy SYN-nel, egy ISN-nel és egy nyugtázással (ACK).
3. A kliens nyugtázza (ACK) a szerver választ.

A SYN flood lényege, hogy a kliens az első lépést végrehajtja, de a harmadikat már nem. Ezáltal
a szerver soha nem kap nyugtázást a válaszára, tehát várakozni kezd. Egy bizonyos idő után törli
a kapcsolatot es felszabaditja a memóriát. Azonban, ha rövid idő alatt elég sok kérelem érkezik, a
port használhatatlanná válik Optimális esetben le is fagyhat.

Abban az esetben, ha a szerver is egy egyszerű számitogép, mondjuk egy mezei IRC-felhasználó,
a SYN-floodnak nem sok jelentősege van. De pl. ha ftp- vagy webszerver fut rajta, meg lehet
akadályozni, hogy más felhasználok is tudjanak kapcsolódni hozzá. A port mindaddig
használhatatlan marad, amig SYN-kérelmek érkeznek. Még nem volt alkalmam kipróbalni, de
egyszer majd érdemes lenne, hogy végre lehet-e hajtani egy ilyen támadást valamelyik IRC-
szerver 6667-es portján (persze gondolom elég sokan kell csinálni, hogy megálljon a rendszer .

A támadást lehet könnyéden álcázni is, azaz a szervernek úgy tüntetni fel a dolgot, mintha a
csomagok mindig más-más IP címről érkeznének. Igy nem nagyon lehet megállapitani, hogy ki
volt a tettes. Mellesleg jegyzem meg, hogy ezzel az álcázott támadással tönkre lehet tenni egy
tűzfalat is, ha a szerver memoriája nem túl nagy... (személyes tapasztalat! a tűzfal egy Conseal
PC Firewall volt, megfagyott a gépe

ICMP flood (némely részei a Chaos Inc. wnuke4.doc-ból valók): az IP-hez (Internet Protocol)
közeli szinten működik. Az ICMP az Internet Control Message Protocol angol szavak röviditése.
Ez egy adminisztrácios protokoll, amely szétkapcsolódott számitogépeknek (is) szolgáltat
jelentéseket. Az ICMP flood (vagy ICMP nuke) programok hamis jelentést készitenek, és a naiv
TCP/IP implementáciok azt hiszik, hogy a kapcsolatuk a célgéppel megszakadt. Ezeknek az
ICMP csomagoknak különböző fajtájuk van, mindegyik más-más szétkapcsolódást jelent. Ilyenek
pl. a Protocol Unreachable, Port Unreachable, Network Unreachable, Host Unreachable, Source
Route Failed stb. Az ICMP ECHO flood speciális abból a szempontból, hogy nem okoz
szétkapcsolást, hanem választ vár a célgéptől. Ha nagyon sok ilyen csomag érkezik, az lelassitja
az Internet-kapcsolatot, mert egyrészt fogadja a választ, másrészt erre válaszol is. Ehhez hasonlit
meg az UDP flood is, amely azonban a gyakorlatban már nem használhato.

Ilyen programokat bárki kereshet a neten. Nemcsak Windows szerverekre működnek, és
hasznosnak bizonyulhatnak az IRC-háborúban. Egyébként... ki tudja? A rombolást szolgálja
mind.

OOB Nuke: a Windows-gépekre hatnak, és általában a 139-es, NETBIOS porton operálnak.
Speciális csomagokat küldenek erre a cimre, és ha a támadás sikeres, előugrik a Halál Kék
Képernyője ilyenkor az áldozatnak újra kell inditania a számitogépét, ha tovább akar
Internetezni. Nagyon elterjedtek, mert a Win95 és egyes Win95 OSR2 változatok nem voltak
képesek kivédeni. Amennyire én tudom, a Win98 már nem reagál rájuk.

III. IRC tudomány

Az IRC előremozdítója a magyar hackerek fejlődésének. Szerintem az IRC azért jó terület, mert:
a) egyből látod munkád végeredményét b) sokan tudnak teamben dolgozni c) csak az számit,
kinek van több esze, nem pedig a nyers testi erő.
Mostanra, ha átolvastad az elso két fejezetet, tisztában vagy egy-két dologgal. Ennek a fejezetnek
az a célja, miképpen védd magad a virtuális küzdőtéren. Mert hogy védeni kell magad, az nem is
vitás. Természetesen a leghatékonyabb védekezés a támadás, ezért ezt sem hagyhatod ki a
repertoárodbol. Azonban figyelmeztetesképpen: lehet, hogy az elején, új tudásod birtokában
feleslegesen is használni fogod ezeket az eszközöket, ami még megbocsathato, főleg ha
figyelembe vesszük, hogy néha egy tőled erősebb ellenféllel akadsz össze aki majd helyretesz (pl.
egy IRC operátorral). Ha nem IRCeltél még, akkor ezt a fejezetet nyugodtan átugorhatod, mert
nem fogod érteni a gyakorlati jelentőségét. És még egy jótanács: tanulmányozd át az RFC1459-et,
amely minden IRC-hacker első lépése kellene, hogy legyen (ebboől lehet leginkább megérteni
sok egyébbel együtt, hogy miért is jött létre az IRC).

1. Az IRC hálózat szerkezete, netsplit, nick collision, K-Line
2. Flood
3. Wingate>

1. Az IRC hálozat szerkezete, netsplit, nick collision, K-Line

Az IRC szerverek fa-strukturában csatlakoznak egymáshoz. Ez azt jelenti, hogy zárt lánc sehol
nem jöhet létre. Ha mégis létrejönne valahol, akkor ott azonnal szét is kapcsol két szerver. (Ez
részletesen le van irva az RFC1459-ben.) Minden kliens csatlakozik egy szerverhez, és ha
üzenetet küldenek, az végigvándorol az egész fán a szervereken, amig mindenki meg nem kapja,
akinek az üzenet szólt. Minden szerver egyidőben ugyanazt kell, hogy lássa egy IRC-hálozaton.
Ha változás történik, az a szervereken végighullámozva mindenütt érvényesitésre jut (pl. ha egy
kliens bejelentkezik valahova, azt az összes szervernek tudnia kell); ezért nem lehet zárt lánc
sehol, hiszen akkor egy szerver kétszer is megkapna egy-egy uzenetet. Ha túl nagy az
adatforgalom két szerver között, akkor a szerverek elválnak (ez történhet más okbol is, de ez a
legegyszerűbb). Ez a netsplit. Ilyenkor az IRC hálozat kettéosztódik, két fastrukturáju hálozat
jön létre. Ilyenkor az összes csatorna is kettévalik: azok a kliensek, akik a fa elsö részének
valamelyik szerverérol jöttek be, csak azokkal a kliensekkel fognak tudni kommunikálni,
amelyek szintén azon a részen jöttek be, míg a másik fa kliensei csak a saját hálozatuk
klienseivel. Ilyenkor minden csatornán az oppal rendelkezők közül is csak azok fognak
megmaradni, akik a saját hálozaton vannak. Jelenleg a netsplit után a szerverek 20 percig
tárolják a nick adatokat, azaz 20 percig nem lehet olyan nickre váltani, amelyik a netsplit előtt
használatban volt es a másik oldalon maradt. De 20 perc után már választhatsz olyan nicket is,
amelyik a másik oldalon ragadt, és ennek jelentősége akkor jelentkezik, mikor a szerverek ujból
összekapcsolódnak. Ilyenkor a szerverek kicserélik az információikat és egyesitik az azonos
nevű csatornákat: aki bármelyik oldalon op volt, az ezután is op lesz, aki nem, az nem. Ha a két
oldalon azonos nevű klienseket talalnak, akkor mind a ketto kapcsolatát megszuntetik a
szerverek. (Ez a nick collision.)

Kezded kapisgálni? Tételezzük fel a következő viszonylag egyszerű esetet: egy csatornán két op
van, mondjuk mindkettő bot. Legyen az egyik @Peti, a masik @Pali. Tételezzük fel, hogy
mindkettő az irc.elte.hu -rol jött be. Rajtuk kivül még Gergely van a csatin, és el akarja foglalni,
mert ő a hacker. Ő az irc.webbernet.net -ről van. Keletkezik egy netsplit, Gergelynek opja lesz a
masik oldalon, mivel ott egyedül van. Meg két klienset behoz a másik oldalon, arra a hálozatra,
amelyiken ő is van, Peti és Pali néven. Persze ehhez 20 percet kell várnia, és szerencse kell
ahhoz, hogy ezalatt ne egyesüljön a két oldal. Miután mindez megvan, nem kell mást tennie,
mint várni az egyesülésre és ahh! Az ősszes Peti es Pali kihal, csak ő marad a csatornán, mint op.

A netsplitek es netjoinok figyelésére lépj be a &servers csatornára, vagy pl. a Dalneten a +s flaget
állitsd be. (Az IRCNeten nem ismerik a flaget.)

A K-Line (szerverban) pedig azt jelenti, hogy egy adott szerverről nem engednek be bizonyos IP-
cimekről klienseket. Ezt IRC operatorok tudják elrendelni (akik, mint tudjuk, nem ugyanazok,
mint a csatornaoperatorok). A szerver nem rendeltetesszerű használata esetén kaphatunk ilyet,
pl. klónok bevitele, folyamatos vég nelkuli floodolás, csatornák hivatásszerű elfoglalása, fake
username használata, botok futtatása, ha tilos stb. Ilyenkor az IRCop donti el, hogy pl a *.dial.
matav.hu-et bannolja, vagy a *.matav.hu-t, vagy esetleg a *.hu-t

2. Flood

Nos, ez egyertelműen támadófegyver, bármilyen tipusról is legyen szó. Egy pár lehetőséget már
megvizsgáltunk a II.fejezetben. Az IRC-n leggyakoribb az ICMP flood, a programokban a szerver
helyére azt az IRC szervert ird be, amelyikről az ellenfeled bejött, a kliens helyére az ő IP-cimét,
szerverportok: altalában 6667-6669, de ez szerverenként eltérő lehet. A kliensportok pedig
altalában: 1024-1400. A leghatekonyabb Unreach tipusnak a Protocol Unreachable bizonyult.
Most nezzük milyen más eszközök vannak még másokat floodolni:

Nickflood: gyorsan változtatod a nickedet. Ez ellen nem lehet védekezni, csak ha kirúgnak a
csatornárol. Általában is érvényes, hogy ezeket az eszközöket csak ott tudod hatékonyan
felhasználni, ahol nem áll fenn ennek a veszélye. A nickflood ellen nem lehet ignore-val
védekezni, mert a nickváltásrol szóló üzeneteket mindenképpen megkapja minden kliens a
szervertől, amelyik a csatornán van.
Topicflood: gyorsan változtatod a topicot. Szintén nem lehet védekezni ellene. Csak akkor
működik, ha jogod van a topicot változtatni.
Join/Part: gyorsan kilépsz-belépsz a csatornárol/ra. Ezeket az üzeneteket is megkapja mindenki
a csatornán. Ezeken a módokon minden csatornán levő személyt floodolsz.
CTCP flood: néhány IRC kliens implementálja (alkalmazza) a CTCP-t (Client To Client
Protocol). Használata: /ctcp <nick> <tipus>. A tipus lehet: CLIENTINFO, VERSION, TIME, DCC
CHAT, DCC GET, USERINFO, FINGER, PING. Hatására a tipustól függően mindig egy bizonyos
informáciot kapunk a klienstől, pl. milyen verziójú kliensprogramot használ, mennyi nála az idő,
valamint a PING- re megkapjuk a kliens es a közöttünk levő időt, amelyet az üzeneteknek meg
kell tenniük. Ha valakit CTCP flooddal támadsz meg, a kliense ugyanolyan gyorsan üzeneteket
küld neked vissza, de ha szerencséd van, az IRC szerver kiteszi a szűrét. Persze a kliensben ki is
lehet kapcsolni a CTCP-t.
Msgflood: privát üzenetek gyors küldése. Akkor a leghatékonyabb, ha az illetőnek olyan
szkriptje van, amely automatikusan válaszol az üzenetekre. Vagy esetleg bot ellen, ha rosszul
van konfigurálva, és nem korlátozza a saját üzeneteinek gyorsaságát.
Channelflood: ez a leggagyibb. Egyszerűen rengeteg szeméttel árasztod el a csatornát, igy
élvezhetetlen lesz a beszélgetés, optimális esetben a lassúbb kapcsolattal rendelkezők kiesnek.
No persze:

A leghatékonyabb, ha többen csináljátok a floodolást, minel többen, annál jobb. Irhatsz szkriptet
is rá, de jobb megoldásnak tűnik, ha programot használsz rá, amelyik sok klónnal tud egyszerre
floodolni. Igy ha ki is esik egyik-másik klón, ujra tud csatlakozni.

Megjegyzés: Nuke/ICMP flooder programot nem adok el, nem cserélek és nem vásárolok.
Ajándékba se adok.

3. WinGate>

Mar tudjuk, mi az a WinGate, nézzük, hogyan lehet IRC-zésre használni. Legyen a WinGate a ttt.
wingate.com, 23-as port, az irc szerver pedig mondjuk az irc.wingated.com, 6667-es port.
Inditsuk el az IRC klienst, és irjuk be a státusba:
/server ttt.wingate.com:23
most egy WinGate> promptot kapunk, majd egy csomó szemetet, mert a kliens automatikusan
elküldi a NICK es USER üzeneteket (ugye elolvastad az RFC1459-et?)
mIRC-ben:
/raw irc.wingated.com:6667
kapjuk, hogy connected, mire beírjuk:
/raw NICK Wizard
/raw USER Magic Fairie hacker@wingate.com :Hacker
PIRCH-ben:
/quote irc.wingated.com:6667
megintcsak connected, ha minden jól megy, és akkor beirjuk:
/quote NICK Wizard
/quote USER Magic Fairie hacker@wingate.com :Hacker

És ha beenged a szerver, akkor kezdhetsz IRC-elni, és bárki lekérdezi az IP-det, azt fogja látni,
hogy a ttt.wingate.com-rol jöttél be És valoban onnan is jöttél, nem igaz? Van egy kis bökkenő.
Nem tudok magyar WinGate szervert, es a magyar szerverek nem fogadnak el amerikai
csatlakozást. Ez az egyik. Másik: sok szerveren K-Line-ra teszik a WinGate szervereket. Gondolj
bele: egy IP-ről max. három csatlakozást fogadnak el, igy megduplázhatod ezt, vagy akár meg is
sokszorozhatod. Hogy néz már az ki, hogy valaki 15 peldanyban van fent? (Jol néz ki, de az
IRCopok szerint nem Az első probléma a nagyobb, mert a magyar szervereken még nem láttam
WinGate-t K-Line-n csak különféle sulinetes(!) szervereket. Ha valaki tud magyar WinGate-t az
feltétlenul szóljon, kell a gyűjteményembe!

IV. Hasznos források

Ne ugord át ezt a részt, utána már a vége jön! Ez itt nagyon hasznos. Nem a teljesség igényével
készült ez a lista, de ha átolvasod, utána már nem is kell más!

http://astalavista.box.sk/
- egy ugródeszka ez a hely. Itt kezdtem én is. Ez egy keresőrendszer, amellyel elindulva szinte
bármit megtalálsz. (Szinte.)
http://www.warforge.com/
- nem titkoltan az a céljuk, hogy hacker-közösséget alakitsanak ki, rendszerbe foglalva a működő
hacker-siteokat. Ezért itt egy Top100-at találhatsz a legjobb helyekről, amelyekről elindulhatsz a
kivánt irányba.
http://www.uha1.com/enter.htm
- United Hackers Association (én is tagja vagyok . Egy rakat érdekes és használhato dolog.
Rendszeresen töltsd le az Usenetrol az alt.2600, alt.2600.hackerz, alt.irc hircsoportokat (és még
van több is, de ezek fontosak)! Megéri! Ha valami exploit vagy új program, vírus vagy bármi van,
itt pár óran belül napvilágot lát! Amikor a Matav levelet küldott nekem, hogy BO veszély van a
neten, nekem akkor már vagy két honapja megvolt, köszonhetően az alt.2600-nak.
http://www.aggressor.net/
- nos, ez egy veszedelmes eszköz

Read more: http://red-dragon.hupont.hu/17/hack-leirasa-mire-is-jok#ixzz3tSwAWRBb



Nincsenek megjegyzések:

Megjegyzés küldése