Re: [ml] icmp e checksum

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2005 ml@sikurezza.org
Soggetto: Re: [ml] icmp e checksum
Mittente: Dario Lombardo
Data: Thu, 24 Nov 2005 13:14:00 +0100 (CET)

billiejoex wrote:

Ok, devo quindi implementare a mano l'algoritmo di checksum e inserirne il valore nel payload di ICMP. Spero di non avere troppe difficoltà e che l'algoritmo sia semplice come dici.

E banale e se cerchi su internet trovi facilmente la funzione. Io ce l'ho e te la porto domani :) (Elio docet)

A questo punto, sapendo che i ckecksum si applicano a tutti e tre i protocolli, il discorso comincia a farsi complicato dato che devo gestire 3 possibili errori + 1 rappresentato dal payload di icmp. Uhm, uhm, uhm... Cosa mi converrebbe fare? Creare manualmente una funzione di checksum applicata all'intero pacchetto (eth+ip+icmp) ed integrarla nel payload di icmp? Non sapendo come si comportano i 2 strati in caso di checksum pervenuto errato mi pare la soluzione più sensata, anche se non sono sicuro sia fattibile nella pratica. E' possibile disabilitare i flag inerenti il checksum di ethernet ed ip? So che con ICMP è possibile farlo.

Se utilizzi le libnet puoi fregartene del calcolo delle checksum perche' lo fanno loro. Puoi creare la parte dati, impilarla su icmp, impilare su ip e a quel punto inietti il pacchetto. La parte ethernet la puo' fare la scheda di rete senza che la gestisca tu a mano. L'unico caso in cui e' utile gestire ethernet a mano e' quando vuoi mettere valori strani nei campi (mac spoofing).

Ma scusa la domanda banale... quello che tu vuoi fare e' un covert channel icmp. Hai provato a cercare su google? Esistono tool gia' fatti... Loki e' il piu' noto.

[...] Loki is a covert-channel client/server program published in the online publication Phrack. This program is a working proof-of-concept to demonstrate that data can be transmitted somewhat surreptitiously across a network by hiding it in traffic that normally does not contain payloads. The example code can tunnel the equivalent of a Unix RCMD/RSH session in either ICMP echo request (ping) packets or UDP traffic to the DNS port. This is used as a back door into a Unix system after root access has been compromised. Presence of LOKI on a system is evidence that the system has been compromised in the past.


Gruppo Telecom Italia - Direzione e coordinamento di Telecom Italia S.p.A.

====================================================================
CONFIDENTIALITY NOTICE
This message and its attachments are addressed solely to the persons
above and may contain confidential information. If you have received
the message in error, be informed that any use of the content hereof
is prohibited. Please return it immediately to the sender and delete
the message. Should you have any questions, please send an e_mail to
MailAdmin@xxxxxxxxxx Thank you
====================================================================

In risposta a:
- [ml] icmp e checksum, billiejoex
- Re: [ml] icmp e checksum, Dario Lombardo
- Re: [ml] icmp e checksum, billiejoex

Data:
- precedente: Re: [ml] icmp e checksum, Simo Sorce
- successivo: RE: [ml] Wireless firewall/gateway, Lombardo, Federico
- indice

Argomento:
- precedente: Re: [ml] icmp e checksum, Simo Sorce
- successivo: Re: [ml] icmp e checksum, Can't dig that daddy
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005