On 26/07/2024 21:45, Mirek wrote:
>> Dalej: i co to niby da. Masz adres. Pewnie byś go i tak wyczaił gapiąc
>> się w tcpdumpa, będąc w środku. No ale jak się dostaniesz do miejsca,
>> gdzie ten adres będzie użyteczny? Brakuje elementu układanki.
> Tobie brakuje pokory.

A nie przypadkiem hasła do VPNa?

> Skąd wiesz gdzie jest atakujący, co chce zaatakować i ile ma czasu?

Wiesz, że heby ma wewnętrzny IP 172.16.3.2. Zapytałeś nawet o jego
zewnętrzny IP jak prawdziwy hacker a on jak ostatni frajer podał w
wyniku manipulacji zaawansowaną socjotechniką. Masz wręcz nadmiar
informacji. Nie wiem ile będziesz siedział i ile masz czasu.

Nie wiem ile będą siedzieć ruscy i ile mają czasu. Ale bardziej stawiam
na ruskich.

> Nie każde urządzenie będzie siało pakietami jak Windows i możesz sobie
> czekać wieki zanim się samo odezwie.

Zakładasz że w sieci jest kompletna cisza? No nie jest. Urządzenia się
komunikują na różne sposoby, inaczej sieć była by zbędna. Do wykrycia
adresacji, którą tak strasznie starasz się utajnić, wystarczy jeden
pakiet tcp/udp lecący na broadcast. Daje on również możliwośc podszycia
się pod hosta, choć to nie jest specjalnie użyteczne. W sieciach
opartych o switche nawet nie trzeba broadcastu, tylko wystarczy
przepełnić pamięc switcha i masz adresację na tacy. W sieciach z VPNem,
czesto VPN daje adresację i nawet adresację do innych częsci sieci jako
tabelę routingu.

> Szukając go aktywnie narażasz się
> na wykrycie.

Tak i nie. W zasadzie nie. W sieciach przemysłowych nie znajdziesz
takich samych produktów placebo jak w sieciach korporacyjnych, do
chronienia przed hackierami. Przynajmniej nie są w większości.
Znajdziesz tam za to dużo konwerterów Ethernet<>RS485 nie chronionych
hasłem, bo po ch...

Możesz być całkowicie pasywny i wtedy nikt Cie nie wykryje, jak drut
ethernet z kilkoma szpilkami. A przecież cały probem w tym wątku to
wykrycie JEDNEGO pakietu udp/tcp aby ten cały cyrk z ukrywaniem
adresacji przestał mieć sens.

Tylko o czym my mówimy. Nie jesteśmy w sieci.

No chyba, że te skradzione urządzenia jednak miały coś na kształt VPNa.
To wtedy grubo.

> Z drugiej strony urządzeń mogą być setki i każde siać pakietami.

Może. Wszak nie wiemy jak jest, prawda?

Cechą charakterystyczną sieci "za VPNem" jest często pofolgowanie sobie,
w końcu są w częsci "bezpiecznej", wiec nie ma co przesadzać z
bezpieczeństwem.

> Po za tym sieci intranet też mogą mieć segmenty - co jeśli atakujący
> jest w jednym segmencie a chce zaatakować urządzenie będące w innym?

Może niech sobie poobserwuje jak te "segmenty" działają. Pasywne
ogladanie ruchu w LANie daje czasem ciekawe informacje.

> Podsumowując -
> 1.znajomość adresacji może pomóc w ataku.

Niespacjalnie. Masz mój adres w mojej sieci i nic to nie pomoże w ataku.

> 2.można sobie wymyślić taki scenariusz, w którym znajomość (wcześniej)
> adresacji będzie niezbędna do przeprowadzenia ataku.

Można. Ale jeśli tak, to oznacza, że adresacja jest częscią
zabezpieczeń, a wiec zawracamy koło do mojego pytania: czy nieznana
adresacja jest częścią zabezpieczeń? Bo ja mam kila typów do zgadnięcia...