DR-DOS – ta çojm kete teknik ne nje nivel tjeter.

Jemi perseri me temat rreth siguris ne informatik..
Kesaj rradhe me nje teme pak me te frikshme se te zakonshmet 😀

Eh, e di DR-DOS eshte tashme nje teknik shume e vjeter, por duke menduar mbi postimet e fundit ketu ne albanianwiard.org  dhe nje aplikacioni si ftester i shoqeruar me nmap kjo teknik mund te shnderrohet vertet ne nje makth te mirfillt.

Une nuk mbaj asnje lloj pergjegjsie per informacionin e meposhtem, dhe falenderoj Zotin qe script-kiddiez nuk dine mire programim sepse do shihnim webe qe ca dite jane online e ca dite te tjera ofline.
Keto informacione jane vetem per qellime edukative dhe me e rendesishmja:
a) Zhvillimin e te menduarit
b) Mesimit se ke nje tru, dhe nese e perdor ka frute (ja pse te tjeret kane rezultate te tjera nga ti)
c) Te menduarit ben diferencen, dhe ben qe te zhvendosesh nga stadi ‘copy-paste’ ne ‘brain-fuck’

Dy fjale per sulmin DRDOS ose Distributed Reflection Denial of Service, qe rrjedh nga DDOS e ky nga ai me i vjetri DOS…
Nese nuk dini se ç’fare eshte nje DOS e nje DDOS atehere, hidhini nje sy neper web, ndryshe do e keni pak me te veshtire per ti kuptuar gjerat..
Atehere fillojm ngaaaaaaaaa…..

HANDSHAKE

Ne baze te ligjeve te networkut njihet qe ne protokollin TCP qe Daku me Pakun te komunikojn me njeri-tjetrin duhet te ndodhi nje handshake..
Nje pakete qe del nga kompiuteri mund te kete si Flamur (flag) SYN , ACK, NULL, FIN, URG, e keshtu me rradhe pra ne baze se ç’fare eshte dhe ç’fare kerkon te bej..
Nuk po e komplikojm shume..
Daku do te lidhet me Pakun… Si i behet?
Daku ==== SYN (kerkese per sinkronizim) ======>>> Paku
Paku =====SYN/ACK (e njohu kerkesen per sinkroniim =====>>>Daku
Daku =====ACK===(Ok, fillojm te flasim)======>>>Paku

Ok, e morem vesh, pra keto jane siç quhen fazat pergatitore per fillimin e komunikimit midis clientit dhe serverit.
Vijm tek DR-DOS..
Siç e dime Denial of Service ne thelb konsiston ne ate qe ti mohoet sherbimi nje serveri e ne fjale te tjera te konsumohet bandwithi dhe serveri mos te jete ne gjendje qe tu pergjigjet paketave SYN, ..po po SYN sepse dergohen vetem paketa SYN ne seri dhe duke qene se dergohen me shumic brenda nje kohe shume te shkurter serverit te sulmuar i grumbullohen kerkesa per lidhje nga shume ane (ne rastin e DDOS) dhe nuk mund ti menaxhoj e keshtu del offline.Por ne rastin e DR-DOS kemi diçka shume me te “bukur” per ata qe e shohin si shkenc kete qe po flasim dhe “shpifur” per ata qe i keqperdorin keto njohuri.
Ne kete rast sulmuesi nuk ka te bej fare me viktimen, dhe ai te themi te drejten nuk kontakton aspak me te..
Po, poo…. hmmm po si ja ben?

Per Raw Socket keni degjuar?
Ky “tipi” te lejon te modifikosh headerin e paktave qe dergon kompiuteri yt ne net, shume programe si nmap, ftester, hping3 , unicornscan, e keshtu me rradhe e perdorin dhe si e modifikon headerin?
SPOOFING 😀
Kjo eshte me interesantja e ketij sulmi, pasi sulmuesi modifikon headerin e paketave (SYN) normalisht  dhe tek kjo paket normalisht eshte e shkruajtur ndermjet te tjerave:
IP-ja Origjinare (IP-ja qe ka kerkuar lidhjen)
IP-ja e Destinacionit (Normalisht Destinacioni)
FLAG (Lloi i paketes , [Syn, Syn-ack, fin, null, e keshtu me rradh]
Keto mund te modifikohen shume thjesht me ane te Raw  Socket dhe gjeje pak 😀
Tek ip-ja origjinare vendosim Ip-n e viktimes, Flag do te jete normalisht SYN, e destinacioni… eh destinacioni xD
Destinacioni do te jene Routerat me te fuqishem qe lidhin sot nyjet kryesore te internetit.
Por routerat do e bllokojn sulmin ton fload … hehehehe, pikerisht ketu eshte e bukura sepse nuk do te behet asnje fload..
Po e shpjegojm shpejt e shpejt, nese une i çoj nje paket serverit X (e ne realitet ip-ja nuk eshte imja por eshte e viktimes) serveri X do i pergjigjet IP-s qe shikon ne paket me nje SYN-ACK dhe kete SYN-ACK nuk na e dergon neve, por ip-s qe eshte tek paketa TCP dhe ne kete rast viktimes i vjen nje pakete e vlefshme SYN-ACK te cilen nuk di se ku ta çoj dhe vet nuk i dergon tjeter pasi ne realitet nuk i ka derguar asnje SYN (paket per sinkronizim) e serveri tjeter pret paketen ACK per te kompletuar handshake por ajo nuk vjen keshtu qe ç’fare te bej?, i çon dhe 2 paketa te tjera SYN-ACK duke menduar se paketat nuk kane arritur dhe mbas kesaj e le lidhjen duke e trajtuar viktimen si offline.
Eh, 3 paketa vertet nuk bejn shume pune, po imagjinoni sikur ti dergojm ç’do 2 sec nga 1 paket 200 routerave core, 😀
Eh, do te gjenerohej nje trafik 200 x 3 = 900 paketa SYN-ACK per sekond, e imagjinoni sikur lista e routerave apo serverave te ishte 2000 dhe jo 200 dhe makinat nga po dergohet sulmi te ishin 10 dhe jo 1 … emmmm…. BUM!!!
Tamam, viktima do te binte ofline per sa kohe qe te vazhdonte sulmi, dhe ky eshte pak a shume nje DR-DOS, dhe quhet Reflection pasi sulmi nuk gjenerohet as nga Zombie dhe aq me pak nga 1 makine, por nga serverat dhe routerat me te fuqishem, ose me sakt nga nyjet kryesore te internetit te cilat pa dieni perdoren si mjet per sulm dhe realisht paketat SYN-ACK qe dergojn jane te rregullta dhe asnjera nga ato nuk eshte e pavlefshme.
Ok, shpresoj se e kemi te qarte dhe per ata qe ja kane idene sigurisht qe jemi te qarte perkundrazi, ç’fare na the ore Ardit keto gjera i dime, DRDOS ka qe ne 2001shinq e ka dale ne qarkullim…
Eh, e di, tani te kalojm tek nje zhvillim proof of concept i kesaj teknike.
Jane thjesht mendimet e mia, normalisht nuk e kam aplikuar dhe as qe besoj se do e aplikoj vetem nese dikush do te ngeli per ca ore offline lol, po keto gjera jane dhe te denushme nga ligji.
Ja se ç’fare po mendoja..
Me ane te nmap, ne mund te krijojm map-en e nje hosti, routerave qe e rrethojn , tani nuk eshte njelloj si cheops-ng (ky eshte per networkun e brendshem) por ja vlen. E per aryse nuk po jap as komandat qe mund te sjellin rezultate te tipit:

Me kete dua thjesht te hedh idene, qe:
Mund te krijohet nje map e te gjith routerave\serverave\hosteve qe jane te lidhura me viktimen, dhe mund te merren adresat ip te tyre.
Mbasi behet kjo gje fillohet nje analizim i holle i secilit prej ketyre hosteve duke pare se ç’fare portash kane te hapura, dhe me ane te aplikacioneve si firewalk\ftester mund te testohen se deri ne sa paketa syn (pa synack) pranojn perpara se ti bllokojn, analizohen portat e perdorura dhe  ne baze te tyre te ndertohet nje aplikacion i cili do te bej spoof ip-te e tyre te cilat jane ngjitur me viktimen dhe ne kete menyre (duke qene se jane dhe me afer dhe paketat shkojn me shpejt) viktima do te gjendet ne mes te nje kaosi total, pasi paketat i vin nga te gjitha drejtimet, hidhini nje sy skemes:
http://albanianwizard.org/ngarkime/zenmap.jpg
Pse kjo?
Sepse nese nje server ndodhet nen kete lloj sulmi, nese Administratori i ISP-s eshte i zgjuar, do te bllokonte paketat qe vijn nga nje trung lidhjeje , eshte si puna e lumenjve psh paketat per te ardhur ne det perdorin lumin vjose, ndersa Administratori bllokon lumin vjose dhe lejon shkumbinin, danubin 😛 etj atehere sulmi nderpritet edhe pse me kete levizje Administratori bllokon nje pjese te mire te internetit dhe hedh posht shume klient qe duan ta perdorin ate server por shpeton ne te njejten kohe serverin.
Ndersa kjo qe thash me siper, do e bente te pamundur te kuptohej se nga vjen sulmi ne realitet pasi viktima do te gjendej ne qendren e ciklonit dhe tafti bafti ne keto pune nuk behet, do te duhej pak kohe derisa Administratori (po flas per ata me shkolle) te instalonte sniferat ne te gjitha hostet lokale dhe te kuptonte se nga realisht vjen ky sulm.
Nga ana tjeter metoda te tjera mbrojtjeje si psh mbyllje e portes se sulmuar apo mbyllje e portes nga e cila vjen paketa do te ishte feminore pasi mjafton nje algoritem dhe sulmuesi mund te perdorte source porta me nje rreze  po e zem nga 40000-50000 (normalisht portat qe perdor clienti per tu lidhur me nje server jane te larta, kurse portat qe perdor serveri per tu lidhur me client jane te vogla, mjafton te monitoroni per disa çaste portat qe perdor kompiuteri juaj per te komunikuar me porten 80 te google.com)
Kaq per kete, nuk do te thote qe nuk e kam zhvilluar me shume si koncept porse ne kete rast eshte me mire ta mbyllim me kaq :)
Shendet.