Visual Basic, .NET, ASP, VBScript
 

   
   
     

Форум - Общий форум

Страница: 1 |

 

  Вопрос: VB простой Winsock Firewall Добавлено: 02.09.05 10:32  

Автор вопроса:  ionux | Web-сайт: localhost | ICQ: 327420631 
Вот вопрос.:/
' Можно-ли в VB6 написать Firewall при использовании Winsock контрола ?
' Как это осуществить ?

Ответить

  Ответы Всего ответов: 13  

Номер ответа: 1
Автор ответа:
 GSerg



Вопросов: 0
Ответов: 1876


 Профиль | | #1 Добавлено: 02.09.05 10:42
Можно-ли в VB6 написать Firewall при использовании Winsock контрола ?

Нет.

Как это осуществить ?

Поставить Outpost и подрисовать "VB" на splash-screen.

Ответить

Номер ответа: 2
Автор ответа:
 User Unknown



Вечный Юзер!

ICQ: uu@jabber.cz 

Вопросов: 120
Ответов: 3302
 Профиль | | #2 Добавлено: 02.09.05 11:32
Нет.

Отчего же такая категоричность?

нумер раз: http://vbnet.ru/temp/SibairWall.zip
нумер два: http://vbnet.ru/temp/PenJagaFw.zip

Ответить

Номер ответа: 3
Автор ответа:
 ionux



ICQ: 327420631 

Вопросов: 10
Ответов: 41
 Web-сайт: localhost
 Профиль | | #3
Добавлено: 02.09.05 12:47
User Unknown:

нумер раз: http://vbnet.ru/temp/SibairWall.zip
нумер два: http://vbnet.ru/temp/PenJagaFw.zip


Очень благодарен за исходники, User Unknown!

Ответить

Номер ответа: 4
Автор ответа:
 ionux



ICQ: 327420631 

Вопросов: 10
Ответов: 41
 Web-сайт: localhost
 Профиль | | #4
Добавлено: 02.09.05 12:54
User Unknown:

И еще одно:
Как через Winsock скрывать IP адресс

Ответить

Номер ответа: 5
Автор ответа:
 HACKER


 

Разработчик Offline Client

Вопросов: 236
Ответов: 8362
 Профиль | | #5 Добавлено: 02.09.05 13:12
Да причём же тут Winsock? Тут GetTcpTable, GetUDPTable, AllocateAndGetTcpExTableFromStack, ещё заморозка процесса пригодится (где-то пример видел) так что в принципе думаю можно...

Ответить

Номер ответа: 6
Автор ответа:
 LamerOnLine



ICQ: 334781088 

Вопросов: 108
Ответов: 2822
 Профиль | | #6 Добавлено: 02.09.05 16:08
WinPCap, WinPCap, ля-ля-ля :)

Ответить

Номер ответа: 7
Автор ответа:
 DaSharm



ICQ: 780477 

Вопросов: 72
Ответов: 1297
 Web-сайт: dasharm.com
 Профиль | | #7
Добавлено: 02.09.05 19:11

LamerOnLine прав, ещё перехват апишек, ещё С++ в руки и делаем драйвер а птом юзаем из ВБ :)

Кстати, у меня на ХР WinPCap не пашет, ля-ля :(

Ответить

Номер ответа: 8
Автор ответа:
 ionux



ICQ: 327420631 

Вопросов: 10
Ответов: 41
 Web-сайт: localhost
 Профиль | | #8
Добавлено: 02.09.05 20:33
Спасибо.

Ответить

Номер ответа: 9
Автор ответа:
 Sharp


Лидер форума

ICQ: 216865379 

Вопросов: 106
Ответов: 9979
 Web-сайт: sharpc.livejournal.com
 Профиль | | #9
Добавлено: 02.09.05 21:12
Кстати, кто-нибудь встречал статьи по WinPCap и VB6? А то искать лень, а написать можно, особенно если учесть, что мне и так и так предстоит с ним долгая и нудная работа

Ответить

Номер ответа: 10
Автор ответа:
 «UL.eXe»



ICQ: 197.895.916.247 

Вопросов: 72
Ответов: 540
 Профиль | | #10 Добавлено: 03.09.05 22:17
Запросто ;) Хакер: 30й выпуск, лови.

СМЕРШ к работе готов!

Приветствую тебя, коллега по хаку! Настало время для нас заняться делом и обсудить для начала серьезные проблемы. Как часто ты слышишь шпионские истории про разведчиков, проваленные явки и сдавшихся перебежчиков? Изредка по ящику показывают одного-двух зайцев, перебежавших границу, да может еще какого-нибудь проштрафившегося атташе, высланного из дипломатического корпуса в Зимбабве... А ведь все самое интересное происходит отнюдь не на передовой линии войны "плаща и кинжала". Все самое интересное творится у нас под боком - дома, в институте, на работе, у знакомых. Мир охватил бум локальных сетей, везде организации, фирмочки и компашки подключают к Интернету свои дохленькие компы, выставляя наружу соблазнительно оголенные места незащищенных операционок. Весь цивилизованный мир еще не забыл поучительного урока начала прошлого года, когда начальству НАТО (!!!) был сделан выговор и назначен хороший пинок. За то, что оно (начальство) юзало домашний комп как для работы с секретными документами, так и для просмотра порнографических материалов. Ха-ха-ха! Только слепой, наверное, еще не видел этих PDF-ок... Да! Мир поумнел с тех пор, и простые емейловые аттачи с троянами уже не срабатывают как раньше. Повсеместно заговорили о том, что для проведения более-менее значимых действий надобно Юникс себе ставить... А как быть тем, кто виндами пользуется? Сегодня мы займемся изучением хацкерского инструментария под win.


WIN-SNIFF: далеко пойдут, если не остановят

Рассмотрим три самых популярных сниффера на платформе Win32. Собственно говоря, только один из них был изначально предназначен для реализации на Win32, это Iris, со второй версией которого мы поиграем. Вскользь коснемся Snort и Dsniff, вернее их портов под мастдай.


Ириска - вкус адреналина

Ириска - именно так ласково окрестили ее местные хакеры. Ласковое к ней обращение более чем заслужено. Первый запуск Ласки-Iris'ки выглядел так:

Недолго думая, я тыкаю кнопочку, похожую на "PLAY", на видаке у меня дома. Справа в колонке тотчас же забегали пакетики: ириска свое дело знает туго. Итак, карточка переключена в режим прослушки, и мы пожинаем плоды шпионской деятельности. Радостно потирая потные от возбуждения ручки я полез в список бегающих пакетиков:

Круто! Ириска понимает большинство современных протоколов маршрутизации. Что такое OSPF, у Iris можно даже не спрашивать - сама все покажет и расскажет, что куда сунуть. Умная девочка! Потыкав немного, я случайно обнаружил пакетик, ставший началом HTTP-запроса (на рисунке он выделен курсором в правом нижнем окне):

Однако на третий день индеец Соколиный Глаз заметил, что на панели слева отнюдь не одна кнопка [Capture], но и еще целая куча разных батонов. В глаза бросилась следующая элементарная поверхность с интригующим названием [Decode]:

Совсем неплохо! Вместо того чтобы самому разбираться в шлаке пакетов, достаточно использовать встроенные функции самой Ириски. Разбросав соединения по протоколам, хостам и связав многочисленные пакетики в одни потоки данных, Ириска делает всю черновую работу, позволяя наслаждаться многообразием человеческой небрежности (которая приводит к использованию рутовых паролей при доступе через telnet).


Еще одной особенностью Ириски (и собственно того, что она реализована под Win32 с использованием графической оболочки GUI) является возможность динамического наблюдения за сетью. Ириска строит всевозможные графики на основе той информации, которая поступает на сетевую карточку. Наблюдая за этими графиками, можно вполне отследить попытки других атаковать какой-либо компьютер внутри сети либо наблюдать, как реагирует сеть на собственные атаки. Весьма захватывающее зрелище, надо сказать. Особенно ярко демонстрируются SYN-flood'ы. На графике они отмечаются как необычайный рост IP-столбца при остальных недвижимых сервисах. Отличить подобные атаки от простого сбоя в маршрутизаторе можно по специально выделенным столбикам роутеров.
Можно быстро посмотреть диаграмму самых активных компьютеров в сети. Затем, не убирая с экрана это окошко, моментально ознакомиться с пропорцией протоколов в сети. Именно так, например, можно узнать, что ты сидишь "на одной ветке" с WEB-сервером Apache. Количество HTTP запросов в этом случае будет чрезвычайно высоким. Да-да-да! Ириска кушает не только IP/TCP/UDP уровни протоколов, она вполне корректно отрабатывает и протоколы высокого уровня.

Кроме всего этого, Ириска умеет работать не только с TCP/IP, но и IPX/SPX протоколами. Что наглядно доказывает диаграммка наверху. Также имеется иллюстрация размерностей пакетов:

С ее помощью можно аккуратно отслеживать активность определенных сервисов, что называется "на глазок". Как? Да очень просто! Нужно только знать пару-тройку особенностей. Например, размеры пакетов меньше 512 байт имеют большинство сообщений ICQ. До 128 байт размер имеют широковещательные сообщения Нетбиос. И так далее. Конечно, не всякий протокол можно отделить от других, но для быстрой оценки "а че вы тут делаете?" этой диаграммы хватит.

Одной из весьма приятных дополнительных особенностей инструментов в Ириске стали фильтры. Весь поток приходящих пакетов обычно быстро заполняет буфер, а декодировщик пакетов, даже на пне-III 650, не успевал их все обрабатывать достаточно быстро. Причем большинство пакетов были явно неинтересны. Их запросто можно отбросить с помощью удобной функции фильтра всего входящего трафика. Пакеты можно раскидывать не только по заголовкам (IP-адреса, номера портов и так далее), но даже и по содержанию некоторого слова в области данных пакета!

Классной фичей является возможность пересобрать пойманный пакет заново и повторить его посылку.

Напоследок я увидел еще одну интересную тулзу у Ириски. Называется она Guard и предназначается для быстрого (как говорят товарищи военные - "тревожного";) реагирования на "незаконные" подключения. Так что Iris пригодится и в качестве сторожа для компа домашнего пользователя: настроил, чтобы орала, когда кто-то на нетбиос лезет, и все OK. А звук сирены у Ириски действительно создает отвратное впечатление, что называется, охраны по периметру...


В общем и целом, подведем следующий итог. При хаке вспоминай про Iris, чтоб не остаться без порток. Кстати, Ириску я взял с www.eeye.com. И очень, очень настоятельно рекомендую с ней ознакомиться.

Dsniff for win32 и все-все-все

Dsniff и Snort для Win32, как я уже говорил, являются перевоплощением своих аналогов под *nix системы, поэтому функциональные возможности доступны только через командную строку. И чтобы их использовать, понадобится немного пошаманить. Так, Dsniff хоть и откомпилен со статической поддержкой всех библиотек, но для работы с сырыми сокетами (raw sockets) на win32 требует вовсе не winsock.dll, а специальную библиотеку WinPCap. Последняя, кстати, тоже является результатом переноса библиотеки libpcap с платформы *nix на win32. WinPCap позволяет использовать расширенный интерфейс Berkely Packet Filters, который весьма удобен и по сути представляет собой замену для WINSOCK.DLL. Чего только не делается на этом свете... =)

Ничего, кроме установки собственно WinPCap, для запуска dsniff делать и не надо. Достаточно слить winpcap.exe и запустить его. Инсталлятор добавит всего один файлик PACKET.DLL в системный каталог, и все дела! Удалить его можно будет через обычное системное окно диалога "Удаление/установка программ".

Dsniff, хоть и является win-консольной прогой, сохраняет максимум удобства. Обрабатывая пакеты, он не вываливает все их содержимое на экран и не показывает потоки данных, как это делает, например, tcpdump. Dsniff аккуратненько вырезает из потоков протоколы верхнего уровня, такие как FTP и HTTP, ICQ... выхватывая из пакетов пароли и выписывая их на экран. Поэтому запускать dsniff рекомендуется так:

C:\dsniff\> dsniff.exe > dsniff.log_

А уже затем разглядывать dsniff.log.

Dsniff можно найти у автора его win32 порта по адресу http://www.datanerds.net/~mike/. Есть как в исходниках, так и в уже откомпилированном состоянии. Последнее есть в разделе "Binary Packages".


Snort for win32 + Snort winPanel: лучше меньше, да больше

Снорт, как и dsnif, является консольным приложением, но, тем не менее, обладает специальной надстройкой над интерфейсом командной строки: специальной Snort-панелью, которая выглядит как обычное win32 гуевое приложение и позволяет стартовать/прибивать snort в фоновом режиме, указывать ему дополнительные настройки.

В принципе, то же самое можно вполне сделать и с помощью командной строки, но ряд дополнительный функций делают панельку вполне приличной ее заменой.

Самое интересное в snort'e это возможность фильтров и правил, по которым раскидываются пакеты. Снорт может создавать для каждого обнаруженного компьютера в сети свой собственный каталог, куда будут помещаться логи пакетов, приходящие данному хосту или исходящие от него.

Кроме того, Snort можно использовать в составе более крупных проектов. Например, систем обнаружения вторжений.

Snort можно утянуть с http://www.securityfocus.com/, он лежит в разделе "Tools", либо опять же у http://www.datanerds.net/~mike/ в разделе "Binary Packages". Там же можно взять и Snort-Panel.


Незачто.

Ответить

Номер ответа: 11
Автор ответа:
 Sharp


Лидер форума

ICQ: 216865379 

Вопросов: 106
Ответов: 9979
 Web-сайт: sharpc.livejournal.com
 Профиль | | #11
Добавлено: 04.09.05 12:30
Мне нужны статьи по использованию WinPCap в VB6, а не стандартные ксакеповские восторги по поводу перспектив использования анализаторов пакетов в скрипткиддисовых целях

Ответить

Номер ответа: 12
Автор ответа:
 LamerOnLine



ICQ: 334781088 

Вопросов: 108
Ответов: 2822
 Профиль | | #12 Добавлено: 05.09.05 13:34
Дык к нему полно доков на его сайте. Качай и юзай. Какая икс разница VB, Delphi или C. Там все АПИ. Только вот прямые декларации функций жутко тупят, приходится через CallWindowProc юзать.
А еще есть PacketX - активикса для VB, в руки.
Если не идет на ХР - может версию WPCap обновить? Странно, у меня то вроде шло. Он вроде к оси то и не привязан никак.

Ответить

Номер ответа: 13
Автор ответа:
 Sharp


Лидер форума

ICQ: 216865379 

Вопросов: 106
Ответов: 9979
 Web-сайт: sharpc.livejournal.com
 Профиль | | #13
Добавлено: 06.09.05 00:31
Не, PacketX это не наш метод.
А статья именно про VB6 мне нужна явно не для того, чтобы разобраться, а для того, чтобы знать, стОит ли таковую писать.

Ответить

Страница: 1 |

Поиск по форуму



© Copyright 2002-2011 VBNet.RU | Пишите нам