Форум АНТИЧАТ - Атака Man-In-The-Middle на PokerStars (перехват ssl трафика покерного клиента)

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)

Привет форумчане!

Прочел блог на хабре http://habrahabr.ru/post/213397/

Хочу сделать ssl (tcp) proxy для перехвата трафика, но загвоздка в следующем, клиент PokerStars коннектится на сервак 77.87.178.74:26002, на этом серваке отключен ping!!!

Вопрос к знатокам:

1. как мне узнать его dns имя?

2. или как-нибудь можно замутить атаку MitM ssl(tcp) без dns имени?

Заранее спасибо!!!

Если я не ошибаюсь то MITM актуальна в одном сегменте сети...Если все было так просто то все бы были богачами))

неее. mitm не только арп спуф, речь наверное может идти о том как попасть в сессию

1. у этого сервера может и не быть днс имени, т.е. ситуация, когда идет обращение на покер стар, сервак к которому обращаются является просто балансировщиком нагрузки и он редеректит на другие фронты, которые уже и обрабатывают запросы.А так, сервис whois вам в помощь...по ip вытаскиваете всю информацию.

2. про проксю посередине или MITM. уже частично я объяснял тонкость вот тут

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]/threads/425286/#post-3853231[/COLOR][/COLOR]

если нужно что-то про митм подробнее, спрашивайте.

И про не которые заблуждения, прокся не обязательно должна быть в одной локале с жертвой (в одной подсети), но так проще конечно.

Дружище BabaDook, и все-таки согласись, что арп спуфинг, это не митм как таковой А просто разновидность и даже скорее способ достижения man-in-the-middle Ваше мнение , сэр?

Можно использовать ProxyCap и Fiddler/Charles. Но клиент может не использовать http(s), а работать по своему собственному протоколу. Также может использоваться Certificate Pinning для защиты от подмены сертификата и перехвата трафа, в этом случае придется патчить клиент.

А будет ли в этом смысл? Маловероятно, что сервер слепо доверяет данным клиента.

Для начала хорошо бы wireshark/tcpdump'ом снять трафик, попробовать его проанализировать и от это уже отталкиваться для организации 'mitm'.

Цитата:

Сообщение от frank

frank said:
↑
1. у этого сервера может и не быть днс имени, т.е. ситуация, когда идет обращение на покер стар, сервак к которому обращаются является просто балансировщиком нагрузки и он редеректит на другие фронты, которые уже и обрабатывают запросы.А так, сервис whois вам в помощь...по ip вытаскиваете всю информацию.
2. про проксю посередине или MITM. уже частично я объяснял тонкость вот тут

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"]http[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#FF8000"]/threads/425286/#post-3853231[/COLOR][/COLOR]

если нужно что-то про митм подробнее, спрашивайте.
И про не которые заблуждения, прокся не обязательно должна быть в одной локале с жертвой (в одной подсети), но так проще конечно.
Дружище
BabaDook
, и все-таки согласись, что арп спуфинг, это не митм как таковой
А просто разновидность и даже скорее способ достижения man-in-the-middle
Ваше мнение , сэр?

Уважаемый frank, на счет dns имени - у любой тачки хоть у сервера, хоть у обычного АРМ есть имя!

Просто стоит защита, например, я работаю в организации у которой есть корпоративная сеть между 55-ти организациями, так вот

когда проходили переаттестацию по степени защищенности нам настроили VipNet Coordinator HW 1000 так, чтобы web-сервер из локальной сети не пинговался!

Ведь ping - это просто посылается сообщение hello на сервак на определённый порт, на которое сервак в свою очередь здоровается и

в итоге замеряется скорость обмена...

А сервер PokerStars не культурный - не здоровается в ответ

Цитата:

Сообщение от ZodiaX

ZodiaX said:
↑
А будет ли в этом смысл? Маловероятно, что сервер слепо доверяет данным клиента.
Для начала хорошо бы wireshark/tcpdump'ом снять трафик, попробовать его проанализировать и от это уже отталкиваться для организации 'mitm'.

Это да...или понять хотя бы, а реально завернуть трафик жертвы на себя (ну так, отбросим остальные тех аспекты. как SSL, отличные от HTTP(s) протоколы, дампинг SSL, Certificate Pinning). А в целом все эти достаточно давно существующие ресурсы типа pokerstar очень хорошо закрыты.

Цитата:

Сообщение от ZodiaX

Уважаемый ZodiaX, можете подробнее описать какую информацию я могу получить wireshark/tcpdump'ом?

У меня есть Kali linux и wireshark, если я не ошибаюсь, я использовал для хака соседской вафельки

Цитата:

Сообщение от justcoolgeo

justcoolgeo said:
↑
Уважаемый frank, на счет dns имени - у любой тачки хоть у сервера, хоть у обычного АРМ есть имя!
Просто стоит защита, например, я работаю в организации у которой есть корпоративная сеть между 55-ти организациями, так вот
когда проходили переаттестацию по степени защищенности нам настроили VipNet Coordinator HW 1000 так, чтобы web-сервер из локальной сети не пинговался!
Ведь ping - это просто посылается сообщение hello на сервак на определённый порт, на которое сервак в свою очередь здоровается и
в итоге замеряется скорость обмена...
А сервер PokerStars не культурный - не здоровается в ответ

Имя машины в сети и публичное днс имя это разные вещи. А HW1000 просто у вас скорее всего стоит сетевым интерфейсом в режиме 3 или выше, Эти режимы блокируют icmp запросы, если не создавать правила исключения. По факту это просто аттестованый на требования фсб и фстэк фаервол с функцией маршрутизации и шифрования(если используется режим полутунель) Я знаю что такое випнетовский координатор, работал с ними Я вообще очень хорошо знаю линейку по и железа випнет и не только випнета ну а раз между 55-ти организациями и випнет, не ПФР часом ли или РЖД ?