+ Responder ao Tópico



  1. #1
    jotacekm
    Visitante

    Padrão programa de brute force

    Dae
    instalei aqui na minha snort+guardian, e ja fiz uns testes e vi q ele bloqueia os port-scans certinhos.
    O que eu queria fazer agora é usar um programa de brute-force pra fazer um ataque no micro q ta com o snort+guardian aqui e ver se ele vai bloquear, alguem conhece algum program de brute force?
    ouvi dizer q com o netcat (nc) da pra fazer brute force, mas nao consegui...

  2. #2

    Padrão programa de brute force

    Cara, vc conseguiu segurar um nmap?

    Qual comando vc utilizou?



  3. #3

    Padrão Re: programa de brute force

    Citação Postado originalmente por jotacekm
    Dae
    instalei aqui na minha snort+guardian, e ja fiz uns testes e vi q ele bloqueia os port-scans certinhos.
    O que eu queria fazer agora é usar um programa de brute-force pra fazer um ataque no micro q ta com o snort+guardian aqui e ver se ele vai bloquear, alguem conhece algum program de brute force?
    ouvi dizer q com o netcat (nc) da pra fazer brute force, mas nao consegui...
    Não esqueça, que eu posso usar endereços veradeiros como decoys ou fake, e o guardian irá começar a bloquear endereços de localidades que não estão realmente escaneando sua rede.

    Avalie os impactos neste tipo de implementação, denominado IPS, na sua estrutura.

    Quanto a ferramentas, pesquise sobre pen-test em Linux.

    []'s

    Marcos Pitanga

  4. #4

    Padrão Re: programa de brute force

    Citação Postado originalmente por pitanga
    Citação Postado originalmente por jotacekm
    Dae
    instalei aqui na minha snort+guardian, e ja fiz uns testes e vi q ele bloqueia os port-scans certinhos.
    O que eu queria fazer agora é usar um programa de brute-force pra fazer um ataque no micro q ta com o snort+guardian aqui e ver se ele vai bloquear, alguem conhece algum program de brute force?
    ouvi dizer q com o netcat (nc) da pra fazer brute force, mas nao consegui...
    Não esqueça, que eu posso usar endereços veradeiros como decoys ou fake, e o guardian irá começar a bloquear endereços de localidades que não estão realmente escaneando sua rede.

    Avalie os impactos neste tipo de implementação, denominado IPS, na sua estrutura.

    Quanto a ferramentas, pesquise sobre pen-test em Linux.

    []'s

    Marcos Pitanga
    Fiquei com dúvida agora.. isso é IPS ou IDS?



  5. #5
    jotacekm
    Visitante

    Padrão Re: programa de brute force

    Citação Postado originalmente por pitanga
    Citação Postado originalmente por jotacekm
    Dae
    instalei aqui na minha snort+guardian, e ja fiz uns testes e vi q ele bloqueia os port-scans certinhos.
    O que eu queria fazer agora é usar um programa de brute-force pra fazer um ataque no micro q ta com o snort+guardian aqui e ver se ele vai bloquear, alguem conhece algum program de brute force?
    ouvi dizer q com o netcat (nc) da pra fazer brute force, mas nao consegui...
    Não esqueça, que eu posso usar endereços veradeiros como decoys ou fake, e o guardian irá começar a bloquear endereços de localidades que não estão realmente escaneando sua rede.

    Avalie os impactos neste tipo de implementação, denominado IPS, na sua estrutura.

    Quanto a ferramentas, pesquise sobre pen-test em Linux.

    []'s

    Marcos Pitanga
    mas acho q isso nao tem muito problema, pq o guardian bloqueia logo que o port-scan começa a ser passado. Se ele bloqueasse so depois do port scan ou algo assim ai seria ruim.

    edmafer, usei o tutorial que tem aqui no underlinux:
    https://under-linux.org/noticia4390.html

  6. #6

    Padrão programa de brute force

    Valeu, vou dar uma olhada.

    Mas vc chegou a testar o nmap contra a sua máquina?



  7. #7
    jotacekm
    Visitante

    Padrão programa de brute force

    Citação Postado originalmente por edmafer
    Valeu, vou dar uma olhada.

    Mas vc chegou a testar o nmap contra a sua máquina?
    isso mesmo, fiz um ssh pra outra maquina da rede e dei um nmap -sT -sV contra a minha

  8. #8

    Padrão Uma ajuda sobre NMAP

    Métodos de Scanning

    O Nmap utiliza vários métodos de scanning, vamos ver os principais:
    TCP connect()

    Forma mais simples de scanning, ela tenta abrir uma conexão na máquina alvo, se for bem sucedida é porque a porta está aberta. Esse método é facilmente detectado pelo firewall da máquina alvo (é o default).

    #nmap -sT alvo (alvo é o IP da máquina, ex:127.0.0.1)
    #nmap –sT –P0 –oN saída.txt 192.168.76.0/24

    TCP SYN (half open)

    Nesse método, um pacote SYN é enviado, caso haja resposta (um pacote SYN-ACK seja recebido), é porque a porta está aberta. Caso seja recebido um RST é porque está fechada. Se a resposta vier positiva (SYN-ACK), o nmap envia outro RST fechando a conexão, de modo que a conexão não se completará. A vantagem desse método é que fica mais difícil a detecção do portscan, pois ele não abre uma conexão TCP completa.

    #nmap -sS alvo
    #nmap –v –sS –O –oN varredura.txt www.xpto.com.br

    FIN (Stealth)

    Esse método envia pacotes FIN para o alvo, caso não haja resposta, a porta está aberta, caso seja recebido um pacote RST, é porque está fechada. Esse método é útil, pois alguns firewalls podem detectar a chegada de pacotes SYN, detectando o método TCP SYN, esse modo elimina essa possibilidade de detecção.

    #nmap -sF alvo
    #nmap -sX alvo (Xmas Tree -> envia as flag FIN, URG e PUSH no pacote FIN)

    #nmap -sX –p 22,53 –ON saída.txt alvo
    #nmap -sN alvo (null scan -> não envia flag no pacote FIN) M$ não responde

    ACK (ack scan)

    Esse método é utilizado para mapear o firewall alvo. Ele pode determinar o tipo de firewall e se ele apenas bloqueia os pacotes SYN.
    #nmap -sA alvo

    ICMP (ping scan)

    Nesse método são enviados pacotes "ICMP echo request" para o alvo, caso não haja resposta, é enviado um pacote TCP ACK para a porta 80 ou então um pacote SYN (se nenhum das anteriores responder), isso tudo porque alguns firewalls bloqueiam o "ping". Ele é utilizado para ver se a máquina alvo está ativa ou não.

    #nmap -sP alvo
    #nmap –sP 192.168.96.0/24

    UDP

    Nesse método, um pacote UDP de 0 byte é enviado, caso seja recebido um "ICMP port unreachable" é porque a porta está fechada, caso contrário, está aberta.

    #nmap -sU alvo

    RPC scan

    Esse método combina vários métodos de scan do nmap. Ele considera todas as portas TCP/UDP abertas e as "flooda" com comandos "NULL SunRPC", tentando descobrir quais portas RPC estão abertas, e se possível, o programa e a versão do RPC.
    #nmap -sR alvo


    TCP/IP Fingerprint

    Esse método ativa a identificação remota do sistema operacional. Ela usa várias informações recebidas e as compara com a base da dados dos sistemas operacionais conhecidos, detectando qual o sistema usado na máquina.

    #nmap -O alvo

    Além dessas opções, o nmap possui muitas outras, como por exemplo o scan rápido (nmap -F) ou então a opção de não pingar a máquina antes de scanea-la (nmap -P0).

    #nmap –sS –P0 -O alvo

    Em adição a esses métodos de scan, o nmap oferece a opção de escolher "políticas", de modo a dificultar a detecção pelo IDS da máquina alvo. As opções são "Paranoid", "Sneaky", "Polite", "Normal", "Aggressive" ou "Insane".

    A opção "Paranoid" escaneia de 5 em 5 minutos cada porta, a "Sneaky", de 15 em 15 segundos e polite a cada 0,4s.

    Os parâmetros Agressive e insane aceleram a varredura mas podem afetar a performance da rede.

    A vantagem do "scan" ser mais lento é que dificulta a descoberta pelo IDS da máquina alvo.

    A opção padrão é a normal.

    #nmap -T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> alvo
    #nmap –S 10.10.10.10 –e eth0 –P0 –sS –v –v -T paranoid www.xpto.com.br

    Avaliando Firewalls

    -f  Fragmenta os pacotes
    -S address  Disfarça a origem do ataque
    -g port Burlando o firewall via portas conhecidas

    nmap –S 10.10.10.10 –e eth0 –P0 –sS –v www.xpto.com.br


    Decoys  Utiliza-se máquinas falsas

    #nmap –sF –v 192.168.76.0/24 –D www.xpto.com.br, under-linux.org, www.vivaolinux.com.br


    Burlando um firewall que nega pacotes FIN

    #nmap –g 53 –S 10.10.10.10 –e eth0 –P0 –sS –v under-linux.org


    Marcos Pitanga



  9. #9

    Padrão programa de brute force

    Esse seu último post poderia parar no Wiki, não?!

    [ ]'s

  10. #10

    Padrão programa de brute force

    respondendo aí a um colega

    IPS --> Intrusion Prevention System (sistema de prevenção de intrusos)
    IDS --> Intrusion Detection System (sistema de detecção de intrusos)


    Um abraço[]



  11. #11

    Padrão programa de brute force

    Citação Postado originalmente por The-shadow
    respondendo aí a um colega

    IPS --> Intrusion Prevention System (sistema de prevenção de intrusos)
    IDS --> Intrusion Detection System (sistema de detecção de intrusos)


    Um abraço[]
    Uma alma caridosa!!!
    Não sabia disso... conhecia só IDS.
    Valew :good:

  12. #12
    jotacekm
    Visitante

    Padrão programa de brute force

    hum, e se o cara usar como decoy por exemplo 192.168.2.2 e essa for uma maquina da minha rede, ai essa maquina fica bloqueada?



  13. #13
    garupeiro
    Visitante

    Padrão programa de brute force

    Otimas dicas do Pitanga mesmo poderia i parar no Wiki...
    Vlws mesmo....

  14. #14

    Padrão programa de brute force

    Citação Postado originalmente por jotacekm
    hum, e se o cara usar como decoy por exemplo 192.168.2.2 e essa for uma maquina da minha rede, ai essa maquina fica bloqueada?
    depende de como estiver configurado, o snort geralmente ignora a rede interna, isso aconteceria com endereços externos



  15. #15
    jotacekm
    Visitante

    Padrão programa de brute force

    Citação Postado originalmente por 1c3_m4n
    Citação Postado originalmente por jotacekm
    hum, e se o cara usar como decoy por exemplo 192.168.2.2 e essa for uma maquina da minha rede, ai essa maquina fica bloqueada?
    depende de como estiver configurado, o snort geralmente ignora a rede interna, isso aconteceria com endereços externos
    e se o invasor usar esse ip de rede interna falso, e o meu guardian estiver configurado para ignorar a rede interna, entao esse ataque externo seria ignorado?

  16. #16
    jotacekm
    Visitante

    Padrão programa de brute force

    eu procurei por pen-test e acabei achando um tal de TFTP bruteforce. Pelo q eu entendi ele foi usado pra testar alguma coisa da cisco ou sei la o que... Bom o q interessa eh q rodei ele em uma maquina aqui contra a minha, e o guardian bloqueou ele!