Tổng lượt truy cập

Thursday, March 24, 2011

Fake Mac, Config Firewall, Hidden IP in LAN.

Địa chỉ Ethernet được tham chiếu bởi ít nhất một trong các địa chỉ sau (DLC Address, MAC Address, Hardware Address) trong đó riêng MAC có 4 kiểu lận đó là (Globally Unique, Locally Administered, Multicast, Broadcast). Trong danh sách này địa chỉ Globally Unique Address được ghi chết trong ROM và khi OS khởi tạo Driver cho NIC nó sẽ đọc địa chỉ này vào RAM. Và tất cả các gói tin khi gửi đi thì phần Source MAC sẽ là địa chỉ này. Khi có gói tin gửi đến, NIC (Not OS!!!) sẽ so sánh nếu thấy phần Destination trùng với Source của nó thì nó nhận còn không thì Discard luôn. Đó là về nguyên tắc, vậy làm sao mà monitor được traffic??? Để làm được điều này hầu hết các Ethernet adapter hỗ trợ một mode gọi là [promiscuous mode], và với mode này tất cả các gói tin gửi đến dù không giống source của nó, nó vẫn gửi đến cho OS.

Hệ điều hành chỉ có thể thay đổi được địa chỉ Locally Administrated Address (LLA) thôi, khi LLA được gán nó sẽ viết đè luôn lên địa chỉ Global đang ở trong RAM. Và trong Mode [promiscuous mode] khi NIC forward gói tin cho OS thì nó sẽ kiểm tra LLA của nó xem có trùng với Destination không để xử lý... và khi trả lời thì nó sẽ đổi Destination là Source của gói tin vừa nhận và source là LLA của nó. Và Mode này đã giúp các bác nhà ta có thể fake MAC address để vượt Firewall của con người ta hay Sniff packages, chẳng biết đó là hay hoặc dở nữa?

Kết luận: Khi truyền thông nó dùng địa chỉ LLA! Các dịch vụ như DHCP đối xử với máy fake mac này bằng địa chỉ LLA mới..., anh kiểu GUA là không thay đổi được!

Facke:
- Nhiều phần mềm fake: cain, amac...hoặc chúng ta tự đổi.
Hide IP:
- Vào Command Prompt gõ: net config server /hidden:yes
- Bạn có thể kiểm tra lại danh sách những máy có trong mạng LAN bằng cách: trong Command Prompt gõ: net view
Máy của bạn vẫn còn trong danh sách! Dĩ nhiên, bạn cần chờ một khoảng thời gian để server thực thi lệnh hidden ở trên (khoảng 30 phút).

Khi muốn trở lại bình thường ==> net config server /hidden:no

Hoặc:
- Run> regedit, theo đường dẫn sau:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\LanmanServer\Parameters
Ở edit menu bên phải, click phải chọn New -> Binary Value, đặt tên là hidden, gán giá trị là 1
Thoát regedit -> restart. Muốn trở lại bình thường, đổi giá trị thành 0 hoặc delete key đó là xong.
Config firewall:
-
controll panel- firewall- advanced settings->in bound rules/out bound rules ->new rules.....