Форум игрового портала ceriel.ru http://ceriel.ru/forums/ |
|
Основные сетевые атаки, краткое описание http://ceriel.ru/forums/viewtopic.php?f=40&t=38 |
Страница 1 из 1 |
Автор: | Sheeper [ 14:22:46, 3 июн 2014 ] |
Заголовок сообщения: | Основные сетевые атаки, краткое описание |
Фрагментация данных При передачи пакета данных протокола IP по сети может осуществляться деление этого пакета на несколько фрагментов. В последствии, при достижении адресата, пакет восстанавливается из этих фрагментов. Злоумышленник может инициировать посылку большого числа фрагментов, что приводит к переполнению программных буферов на приемной стороне и, в ряде случаев, к аварийному завершению системы. Ping flood Появился он потому, что программа "ping", предназначенная для оценки качества линии, имеет ключ для "агрессивного" тестирования. В этом режиме запросы посылаются с максимально возможной скоростью и программа позволяет оценить, как работает сеть при максимальной нагрузке. Данная атака требует от злоумышленника доступа к быстрым каналам в Internet. Вспомним, как работает ping. Программа посылает ICMP-пакет типа ECHO REQUEST, выставляя в нем время и его идентификатор. Ядро машины-получателя отвечает на подобный запрос пакетом ICMP ECHO REPLY. Получив его, ping выдает скорость прохождения пакета. При стандартном режиме работы пакеты высылаются через некоторые промежутки времени, практически не нагружая сеть. Но в "агрессивном" режиме поток ICMP echo request/reply-пакетов может вызвать перегрузку небольшой линии, лишив ее способности передавать полезную информацию. Естественно, случай с ping является частным случаем более общей ситуации, связанный с перегрузкой каналов. Например, злоумышленник может посылать множество UDP-пакетов на 19-й порт машины-жертвы, и если она, следуя общепринятым правилам, имеет на 19-м UDP-порту знакогенератор, отвечающий на пакеты строчками по 80 байт. Заметим, что злоумышленник может также подделывать обратный адрес подобных пакетов, затрудняя его обнаружение. Отследить его поможет разве что скоординированная работа специалистов на промежуточных маршрутизаторах, что практически нереально. Одной из вариантов атаки - посылать ICMP echo request-пакеты с исходным адресом, указывающем на жертву, на broadcast-адреса крупных сетей. В результате каждая из машин ответит на этот фальшивый запрос, и машина-отправитель получит больше количество ответов. Посылка множество broadcast-echo requests от имени "жертвы" на broadcast-адреса крупных сетей, можно вызвать резкой заполнение канала "жертвы". Приметы затопления - резко возросшая нагрузка на сеть (или канал) и повышение количество специфических пакетов (таких, как ICMP). В качестве защиты можно порекомендовать настройку маршрутизаторов, при которых они будут фильтровать тот же ICMP трафик, превышающие некоторую заданную заранее величину (пакетов/ед. времени). Для того чтобы убедиться, что Ваши машины не могут служить источником ping flood'а, ограничьте доступ к ping. PingOfDeath или SSPing Сущность его в следующем: на машину жертвы посылается сильно фрагментированный ICMP-пакет большого размера (64KB). Реакцией Windows-систем на получение такого пакета является безоговорочное зависание, включая мышь и клавиатуру. Программа для атаки широко доступна в сети в виде исходника на C и в виде запускаемых файлов для некоторых версий Unix. Любопытно, что в отличие от WinNuke жертвой такой атаки могут стать не только Windows машины, атаке подвержены MacOS и некоторые веpсии Unix. Преимущества такого способа атаки в том, что обычно firewall пропускает ICMP пакеты, а если firewall и настроен на фильтрацию адресов отправителей, то, используя нехитрые приемы spoofing, можно обмануть и такой firewall. Недостаток PingOfDeath в том, что для одной атаки надо переслать более 64KB по сети, что делает вообще его говоря малоприменимым для широкомасштабных диверсий. UDP bomb Передаваемый пакет UDP содержит неправильный формат служебных полей. Некоторые старые версии сетевого ПО приводят при получении подобного пакета к аварийному завершению системы. SYN flood Затопление SYN -пакетами - самый известный способ "забить" информационный канал. Вспомним, как работает TCP/IP в случае входящих соединений. Система отвечает на пришедший C-SYN - пакет S-SYN/C-ACK -пакетом, переводит сессию в состояние SYN_RECEIVED и заносит ее в очередь. Если в течении заданного времени от клиента не придет S-ACK , соединение удаляется из очереди, в противном случае соединение переводится в состояние ESTABLISHED. Рассмотрим случай, когда очередь входных соединений уже заполнена, а система получает SYN -пакет, приглашающий к установке соединения. По RFC он будет молча проигнорирован. Затопление SYN -пакетами основано на переполнении очереди сервера, после чего сервер перестает отвечать на запросы пользователей. Самая известная атака такого рода - атака на Panix, нью-йоркского провайдера. Panix не работал в течение 2-х недель. В различных системах работа с очередью реализована по разному. Так, в BSD-системах, каждый порт имеет свою собственную очередь размером в 16 элементов. В системах SunOS, напротив, такого разделения и нет и система просто располагает большой общей очередью. Соответственно, для того, что бы заблокировать, к примеру, WWW-порт на BSD достаточно 16 SYN-пакетов, а для Solaris 2.5 их количество будет гораздо больше. После истечение некоторого времени (зависит от реализации) система удаляет запросы из очереди. Однако ничего не мешает злоумышленнику послать новую порцию запросов. Таким образом, даже находясь на соединение 2400 bps, злоумышленник может посылать каждые полторы минуты по 20-30 пакетов на FreeBSD-сервер, поддерживая его в нерабочем состоянии (естественно, эта ошибка была скорректирована в последних версиях FreeBSD). Как обычно, злоумышленник может воспользоваться случайными обратными IP-адресами при формировании пакетов, что затрудняет его обнаружение и фильтрацию его трафика. Детектирование несложно - большое количество соединений в состоянии SYN_RECEIVED, игнорирование попыток соединится с данным портом. В качестве защиты можно порекомендовать патчи, которые реализуют автоматическое "прорежение" очереди, например, на основе алгоритма Early Random Drop. Для того, что бы узнать, если к Вашей системе защита от SYN-затопления, обратитесь к поставщику системы. Другой вариант защиты - настроить firewall так, что бы все входящие TCP/IP-соединения устанавливал он сам, и только после этого перебрасывал их внутрь сети на заданную машину. Это позволит Вам ограничить syn-затопление и не пропустить его внутрь сети. Эта атака относится к атакам запрещения обслуживания, результатом которой является невозможность предоставления услуг. Атака обычно направлена на определённую, конкретную службу, например telnet или ftp. Она заключается в передаче пакетов установления соединения на порт, соответствующий атакуемой службе. При получении запроса система выделяет ресурсы для нового соединения, после чего пытается ответить на запрос (послать "SYN-ACK") по недоступному адресу. По умолчанию NT версий 3.5-4.0 будет пытаться повторить подтверждение 5 раз - через 3, 6, 12, 24 и 48 секунд. После этого еще 96 секунд система может ожидать ответ, и только после этого освободит ресурсы, выделенные для будущего соединения. Общее время занятости ресурсов - 189 секунд. Smurf Атака smurf заключается в передаче в сеть широковещательных ICMP запросов от имени компьютера-жертвы. В результате компьютеры, принявшие такие широковещательные пакеты, отвечают компьютеру-жертве, что приводит к существенному снижение пропускной способности канала связи и, в ряде случаев, к полной изоляции атакуемой сети. Атака smurf исключительно эффективна и широко распространена. Противодействие: для распознавания данной атаки необходимо анализировать загрузку канала и определять причины снижения пропускной способности. Land Атака Land использует уязвимости реализаций стека TCP/IP в некоторых ОС. Она заключается в передаче на открытый порт компьютера-жертвы TCP-пакета с установленным флагом SYN, причем исходный адрес и порт такого пакета соответственно равны адресу и порту атакуемого компьютера. Это приводит к тому, что компьютер-жертва пытается установить соединение сам с собой, в результате чего сильно возрастает загрузка процессора и может произойти "зависание" или перезагрузка. Данная атака весьма эффективна на некоторых моделях маршрутизаторов фирмы Cisco Systems, причем успешное применение атаки к маршрутизатору может вывести из строя всю сеть организации. Противодействие: защититься от данной атаки можно, например, установив фильтр пакетов между внутренней сетью и Internet, задав на нём правило фильтрации, указывающее подавлять пакеты, пришедшие из Internet, но с исходными IP адресами компьютеров внутренней сети. DNS flood DNS flooding - это атака, направленная на сервера имён Internet. Она заключается в передаче большого числа DNS запросов и приводит к тому, что у пользователей нет возможности обращаться к сервису имен и, следовательно, обеспечивается невозможность работы обычных пользователей. Противодействие: для выявления данной атаки необходимо анализировать загрузку DNS сервера и выявлять источники запросов. DNS spoofing Результатом данной атаки является внесение навязываемого соответствия между IP адресом и доменным именем в кэш DNS-сервера. В результате успешного проведения такой атаки все пользователи DNS севера получат неверную информацию о доменных именах и IP адресах. Данная атака характеризуется большим количеством DNS пакетов с одним и тем же доменным именем. Это связано с необходимостью подбора некоторых параметров DNS обмена. Противодействие: для выявления такой атаки необходимо анализировать содержимое DNS трафика. IP spoofing (syslog) Большое количество атак в сети Internet связано с подменой исходного IP адреса. К таким атакам относится и syslog spoofing, которая заключается в передаче на компьютер жертву сообщения от имени другого компьютера внутренней сети. Поскольку протокол syslog используется для ведения системных журналов, путем передачи ложных сообщений на компьютер-жертву можно навязать информацию или замести следы несанкционированного доступа. Противодействие: выявление атак, связанных с подменой IP адресов, возможно при контроле получения на одном из интерфейсов пакета с исходным адресом этого же интерфейса или при контроле получения на внешнем интерфейсе пакетов с IP адресами внутренней сети. Навязывание пакетов Злоумышленник отправляет в сеть пакеты с ложным обратным адресом. С помощью этой атаки злоумышленник может переключать на свой компьютер соединения, установленные между другими компьютерами. При этом права доступа злоумышленника становятся равными правам того пользователя, чье соединение с сервером было переключено на компьютер злоумышленника. Sniffing Сниффинг - это прослушивание канала (возможно только в сегменте локальной сети). Практически все сетевые карты поддерживают возможность перехвата пакетов, передаваемых по общему каналу локальной сети. При этом рабочая станция может принимать пакеты, адресованные другим компьютерам того же сегмента сети. Таким образом, весь информационный обмен в сегменте сети становится доступным злоумышленнику. Для успешной реализации этой атаки компьютер злоумышленника должен располагаться в том же сегменте локальной сети, что и атакуемый компьютер. WinNuke Hаpяду с обычными данными, пересылаемыми по TCP-соединению, стандарт предусматривает также передачу сpочных (Out Of Band) данных. Hа уровне форматов пакетов TCP это выражается в ненулевом urgent pointer. У большинства PC с установленным Windows присутствует сетевой протокол NetBIOS, который использует для своих нужд 3 IP-поpта: 137, 138, 139. Как выяснилось, если соединиться с Windows машиной в 139 порт и послать туда несколько байт OutOfBand данных, то реализация NetBIOS-а, не зная что делать с этими данными, попpосту подвешивает или перезагружает машину. Для Windows 95 это обычно выглядит как синий текстовый экpан, сообщающий об ошибке в драйвере TCP/IP и невозможность работы с сетью до перезагрузки ОC. NT 4.0 без сервис паков перезагружается, NT 4.0 со вторым сеpвис паком выпадает в синий экpан. IP Hijacking Метод является комбинацией 'подслушивания' и IP-spoofing'а. Необходимые условия - злоумышленник должен иметь доступ к машине, находящейся на пути сетевого потока и обладать достаточными правами на ней для генерации и перехвата IP-пакетов. Напомним, что при передаче данных постоянно используются sequence number и acknowledge number (оба поля находятся в IP-заголовке). Исходя из их значения, сервер и клиент проверяют корректность передачи пакетов. Существует возможность ввести соединение в "десинхронизированное состояние", когда присылаемые сервером sequence number и acknowledge number не будут совпадать с ожидаемым значением клиента, и наоборот. В данном случае злоумышленник, "прослушивая" линию, может взять на себя функции посредника, генерируя корректные пакеты для клиента и сервера и перехватывая их ответы. Метод позволяет полностью обойти такие системы защиты, как, например, одноразовые пароли, поскольку злоумышленник начинает работу уже после того, как произойдет авторизация пользователя. Есть два способа рассинхронизировать соединение. Ранняя десинхронизация. Соединение десинхронизируется на стадии его установки. Злоумышленник прослушивает сегмент сети, по которому будут проходить пакеты интересующей его сессии. Дождавшись пакета S-SYN от сервера, злоумышленник высылает серверу пакет типа RST (сброс), конечно, с корректным sequence number, и, немедленно, вслед за ним фальшивый C-SYN-пакет от имени клиента Сервер сбрасывает первую сессию и открывает новую, на том же порту, но уже с новым sequence number, после чего посылает клиенту новый S-SYN-пакет. Клиент игнорирует S-SYN-пакет, однако злоумышленник, прослушивающий линию, высылает серверу S-ACK-пакет от имени клиента. Итак, клиент и сервер находятся в состоянии ESTABLISHED, однако сессия десинхронизирована. Естественно, 100% срабатывания у этой схемы нет, например, она не застрахована от того, что по дороге не потеряются какие-то пакеты, посланные злоумышленником. Для корректной обработки этих ситуаций программа должна быть усложнена. Десинхронизация нулевыми данными. В данном случае злоумышленник прослушивает сессию и в какой-то момент посылает серверу пакет с "нулевыми" данными, т.е. такими, которые фактически будут проигнорированы на уровне прикладной программы и не видны клиенту (например, для telnet это может быть данные типа IAC NOP IAC NOP IAC NOP...). Аналогичный пакет посылается клиенту. Очевидно, что после этого сессия переходит в десинхронизированное состояние. ACK-буря Одна из проблем IP Hijacking заключается в том, что любой пакет, высланный в момент, когда сессия находится в десинхронизированном состоянии вызывает так называемый ACK-бурю. Например, пакет выслан сервером, и для клиента он является неприемлемым, поэтому тот отвечает ACK-пакетом. В ответ на этот неприемлемый уже для сервера пакет клиент вновь получает ответ. И так до бесконечности. К счастью современные сети строятся по технологиям, когда допускается потеря отдельных пакетов. Поскольку ACK-пакеты не несут данных, повторных передачи не происходит и "буря стихает". Как показали опыты, чем сильнее ACK-буря, тем быстрее она "утихомиривает" себя - на 10MB ethernet это происходит за доли секунды. На ненадежных соединениях типа SLIP - ненамного больше. Детектирование и защита Есть несколько путей. Например, можно реализовать TCP/IP-стек, который будут контролировать переход в десинхронизированное состояние, обмениваясь информацией о sequence number/acknowledge number. Однако в данном случае мы не застрахованы от злоумышленника, меняющего и эти значения. Поэтому более надежным способом является анализ загруженности сети, отслеживание возникающих ACK-бурь. Это можно реализовать при помощи конкретных средств контроля за сетью. Если злоумышленник не потрудиться поддерживать десинхронизированное соединение до его закрытия или не станет фильтровать вывод своих команд, это также будет сразу замечено пользователем. К сожалению, подавляющее большинство просто откроют новую сессию, не обращаясь к администратору. Стопроцентную защиту от данной атаки обеспечивает, как всегда, шифрование TCP/IP-трафика (на уровне приложений - secure shell) или на уровне протокола - IPsec). Это исключает возможность модификации сетевого потока. Для защиты почтовых сообщений может применяться PGP. Следует заметить, что метод также не срабатывает на некоторых конкретных реализациях TCP/IP. Так, несмотря на [rfc...], который требует молчаливого закрытия сессии в ответ на RST-пакет, некоторые системы генерируют встречный RST-пакет. Это делает невозможным раннюю десинхронизацию. Сканирование TCP портов Сканирование портов представляет собой известный метод распознавания конфигурации компьютера и доступных сервисов. Существует несколько методов TCP сканирования, часть из них называется скрытными (stealth), поскольку они используют уязвимости реализаций стека TCP/IP в большинстве современных ОС и не обнаруживаются стандартными средствами. Противодействие: противодействие можно осуществлять, например, передавая TCP пакеты с установленным флагом RST от имени сканируемого компьютера на компьютер злоумышленника. Сканирование UDP портов Другой вид сканирования портов основывается на использовании протокола UDP и заключается в следующем: на сканируемый компьютер передаётся UDP пакет, адресованный к порту, который проверяется на предмет доступности. Если порт недоступен то в ответ приходит ICMP сообщение о недоступности (destination port unreachable), в противном случае ответа нет. Данный вид сканирования достаточно эффективен. Он позволяет за короткое время сканировать все порты на компьютере-жертве. Противодействие: противодействовать сканированию данного рода возможно путём передачи сообщений о недоступности порта на компьютер злоумышленника. Stealth-сканирование Метод основан на некорректном сетевом коде, поэтому нельзя поручиться что он будет нормально работать в какой-либо конкретной обстановке. Используются TCP-пакеты с установленными ACK- и FIN-флагами. Их надо использовать, т.к. если такой пакет послать в порт при не открытом соединении, всегда возвратиться пакет с флагом RST. Существует несколько методов, использующих этот принцип: Послать FIN-пакет. Если принимающий хост возвращает RST, значит порт неактивен, если RST не возвращается, значит порт активен. Данный метод работает в большинстве операционных систем. Послать ACK-пакет. Если TTL возвращаемых пакетов меньше, чем в остальных полученных RST-пакетах, или если размер окна больше нуля, то скорее всего порт активен. Пассивное сканирование Сканирование часто применяется злоумышленниками для того, чтобы выяснить, на каких TCP-портах работают демоны, отвечающие на запросы из сети. Обычная программа-сканер последовательно открывает соединения с различными портами. В случае, когда соединение устанавливается, программа сбрасывает его, сообщая номер порта злоумышленнику. Данный способ легко детектируются по сообщениям демонов, удивленных мгновенно прерванным после установки соединением, или с помощью использования специальных программ. Лучшие из таких программ обладают некоторыми попытками внести элементы искусственного элемента в отслеживание попыток соединения с различными портами. Однако злоумышленник может воспользоваться другим методом - пассивным сканированием (английский термин "passive scan"). При его использовании злоумышленник посылает TCP/IP SYN-пакет на все порты подряд (или по какому-то заданному алгоритму). Для TCP-портов, принимающих соединения извне, будет возвращен SYN/ACK-пакет, как приглашение продолжить 3-way handshake. Остальные вернут RST-пакеты. Проанализировав данные ответ, злоумышленник может быстро понять, на каких портах работают программа. В ответ на SYN/ACK-пакеты он может также ответить RST-пакетами, показывая, что процесс установки соединения продолжен не будет (в общем случае RST-пакетами автоматический ответит TCP/IP-реализация злоумышленника, если он не предпримет специальных мер). Метод не детектируется предыдущими способами, поскольку реальное TCP/IP-соединение не устанавливается. Однако (в зависимости от поведения злоумышленника) можно отслеживать резко возросшее количество сессий, находящихся в состоянии SYN_RECEIVED. (при условии, что злоумышленник не посылает в ответ RST) прием от клиента RST-пакета в ответ на SYN/ACK. К сожалению, при достаточно умном поведении злоумышленника (например, сканирование с низкой скоростью или проверка лишь конкретных портов) детектировать пассивное сканирование невозможно, поскольку оно ничем не отличается от обычных попыток установить соединение. В качестве защиты можно лишь посоветовать закрыть на firewall все сервисы, доступ к которым не требуется извне. Denial of service (DOS) Класс атак, приводящих к отказу в обслуживание. Во время таких атак происходит повышенный расход ресурсов процессора и уменьшение канала пропускной возможности канала связи, что может привести в сильному замедлению работы всей компьютерной системы, отдельных задач либо вообще к полному останову задач пользователя. Пример. Вы пошли в магазин за хлебом, а там два часа назад хулиганы побили все стекла и весь персонал занят их уборкой; возле входа в магазин выстроилась огромная очередь пенсионеров т.е. шанса пройти без очереди когда магазин откроется - нет. К DOS атакам относятся Floods, ICMP flooding, Identification flooding и другие. Hack Класс атак, используемые для исследования операционных систем, приложений или протоколов с целью последующего анализа полученной информации на предмет наличия уязвимостей, например, Portsscan, который можно также отнести к малоэффективной DOS-атаке. Выявленные уязвимости могут быть использованы хакером для осуществления несанкционированного доступа к системе либо для подбора наиболее эффективной DOS-атаки. Floods Перевод с английского на русский - "затопление". Во время floods атак происходит посылка большого количества на атакуемую систему ICMP (чаще всего) либо UDP пакетов, которые не несут полезной информации (мусор). В результате происходит уменьшение полосы пропускания канала и загрузка компьютерной системы анализом пришедших бесполезных пакетов и генерацией на них ответов. ICMP flooding (flood ping) Перевод с английского на русский - "поток пингов". Во время этой атаки происходит посылка компьютерной системе жертвы большого количества запросов эха ICMP (пинг системы). В результате происходит уменьшение полосы пропускания канала и загрузка компьютерной системы анализом пришедших пакетов и генерацией на них ответов. Примечание: В мирных целях пинг используется администраторами и пользователями для проверки работоспособности основных частей транспортной системы вычислительной сети, оценить работу сети при максимальной нагрузке. Программа посылает ICMP-пакет типа ECHO REQUEST, выставляя в нем время и его идентификатор. Ядро машины-получателя отвечает на подобный запрос пакетом ICMP ECHO REPLY. Получив его, ping выдает скорость прохождения пакета. При стандартном режиме работы пакеты высылаются через некоторые промежутки времени, практически не нагружая сеть. Identification flooding (identd) Запрос идентификации системы. Эта атака очень похожа на ICMP flooding, отличается только тем, что происходит запрос информации о компьютерной системе (TCP порт 113). Атака более эффективна т.к. анализ этих запросов и генерирование на них ответов забирают больше процессорного времени, чем при пингах. Unreachable (dest_unreach, ICMP type 3) Эта атака заключается в том, что компьютерной системе посылается сообщение ICMP type 3, которое сообщает, что порт назначения недоступен тем самым обманывая систему и вынуждая ее разорвать соединение т.к. она будет "думать" что пакеты не доходят. ICMP type 3 может посылаться клиентской машине, которая затем произведет отключение либо посылаться серверу и инициатором отключения станет он. Посылку ICMP type 3 осуществляет хакер Boink (Bonk, Teardrop, new Tear/Tear2) При передачи пакета данных протокола IP по сети может осуществляться деление этого пакета на несколько фрагментов. В последствии, при достижении адресата, пакет восстанавливается из этих фрагментов. Хакер может инициировать посылку большого числа фрагментов, что приводит к переполнению программных буферов на приемной стороне и, в ряде случаев, к аварийному завершению системы. Количество реализаций этой атаки достаточно велико. На компьютер жертвы передается несколько фрагментированных IP пакетов, которые при сборке образуют один пакет размером более 64К (максимальный размер IP пакета равен 64К минус длина заголовка). Данная атака была эффективна против компьютеров с ОС Windows. При получении такого пакета Windows NT, не имеющая специального патча icmp-fix, "зависает" или аварийно завершается. Другие варианты подобных атак используют неправильные смещения в IP фрагментах, что приводит к некорректному выделению памяти, переполнению буферов и, в конечном итоге, к сбоям в работе систем. Pong Floods атаки, перечисленные выше, но в качестве обратного действительного IP-адреса отправителя ( хакера ) используется поддельный. Тем сам затрудняется обнаружение хакера. Puke Осуществляется посылка хакером атакуемому хосту пакета ICMP unreachable error (неизвестная ошибка удаленной системы), что в свою очередь вызывает отключение хоста от сервера (обычно IRC). Fuzzy Пакет IP содержит поле, определяющее какой протокол следующего уровня(TCP, UDP, ICMP) использует данные из Internet. Хакеры могут использовать нестандартное значение данного поля для передачи данных, которые не будут фиксироваться стандартными средствами контроля информационных потоков. Dummy DNS Внедрение в сеть Internet ложного DNS-сервера путем перехвата DNS-запроса. Для реализации атаки хакеру необходимо перехватить DNS-запрос, извлечь из него номер UDP-порта отправителя запроса, двухбайтовое значение ID идентификатора DNS-запроса и искомое имя и, затем, послать ложный DNS-ответ на извлеченный из DNS-запроса UDP-порт, в котором указать в качестве искомого IP-адреса настоящий IP-адрес ложного DNS-сервера. Это позволит в дальнейшем полностью перехватить и активно воздействовать на информацию, циркулирующую между "обманутым" хостом и сервером. Необходимым условием осуществления данного варианта атаки является перехват DNS-запроса. Это возможно только в том случае, если атакующий находится либо на пути основного трафика либо в сегменте настоящего DNS-сервера. Выполнение одного из этих условий местонахождения хакера в сети делает подобную удаленную атаку трудно осуществимой на практике (попасть в сегмент DNS-сервера и тем более в межсегментный канал связи атакующему скорее всего не удастся). Однако в случае выполнения этих условий возможно осуществить межсегментную удаленную атаку на сеть Internet. Dummy DNS for host Внедрение в сеть Internet ложного сервера путем создания направленного "шторма" ложных DNS-ответов на атакуемый хост. В этом случае хакер осуществляет постоянную передачу на атакуемый хост заранее подготовленного ложного DNS-ответа от имени настоящего DNSсервера без приема DNS-запроса. Другими словами, атакующий создает в сети Internet направленный "шторм" ложных DNS-ответов. Это возможно, так как обычно для передачи DNS-запроса используется протокол UDP, в котором отсутствуют средства идентификации пакетов. Единственными критериями, предъявляемыми сетевой ОС хоста к полученному от DNS-сервера ответу, является во-первых, совпадение IP-адреса отправителя ответа с IP-адресом DNS-сервера, во-вторых, чтобы в DNS-ответе было указано то же имя, что и в DNS-запросе, в-третьих, DNS-ответ должен быть направлен на тот же UDPпорт, с которого был послан DNS-запрос (в данном случае это первая проблема для атакующего), и, в-четвертых, в DNS-ответе поле идентификатор запроса в заголовке DNS (ID) должно содержать то же значение, что и в переданном DNS-запросе (а это вторая проблема). Предполагаем, что атакующий не имеет возможности перехватить DNS-запрос, то основную проблему для него представляет номер UDP-порта, с которого был послан запрос. Но номер порта отправителя принимает ограниченный набор значений, поэтому атакующему достаточно действовать простым перебором, направляя ложные ответы на соответствующий перечень портов. На первый взгляд второй проблемой может быть двухбайтовый идентификатор DNS-запроса, но в данном случае он либо равен единице, либо имеет значение близкое к нулю (один запрос - ID увеличивается на 1). Поэтому для осуществления данной удаленной атаки атакующему необходимо выбрать интересующий его хост (А), маршрут к которому требуется изменить так, чтобы он проходил через ложный сервер - хост атакующего. Это достигается постоянной передачей (направленным "штормом") атакующим ложных DNS-ответов на атакуемый хост от имени настоящего DNS-сервера на соответствующие UDP-порты. В этих ложных DNS ответах указывается в качестве IP-адреса хоста А IP-адрес атакующего. Далее атака развивается по следующей схеме. Как только цель атаки (атакуемый хост) обратиться по имени к хосту А, то от данного хоста в сеть будет передан DNS-запрос, который атакующий никогда не получит, но этого ему и не требуется, так как на хост сразу же поступит постоянно передаваемый ложный DNS-ответ, который и будет воспринят ОС атакуемого хоста как настоящий ответ от DNS-сервера. Атака состоялась и теперь атакуемый хост будет передавать все пакеты, предназначенные для А, на IP-адрес хоста атакующего, который, в свою очередь, будет переправлять их на А, имея возможность воздействовать (менять, модифицировать, анализировать и др) на перехваченную информацию. Таким образом, реализация данной удаленной атаки, использующей пробелы в безопасности службы DNS, позволяет из любой точки сети Internet нарушить маршрутизацию между двумя заданными объектами. То есть данная удаленная атака осуществляется межсегментно по отношению к цели атаки и угрожает безопасности любого хоста Internet, использующего обычную службу DNS. Dummy DNS for server Внедрение в сеть Internet ложного сервера путем создания направленного "шторма" ложных DNS - ответов на атакуемый DNS - сервер. Из схемы удаленного DNS-поиска следует, что в том случае, если указанное в запросе имя DNS-сервер не обнаружил в своей базе имен, то запрос отсылается сервером на один из корневых DNS-серверов, адреса которых содержатся в файле настроек сервера root.cache. То есть, в том случае, если DNS-сервер не имеет сведений о запрашиваемом хосте, то он пересылает запрос далее, а значит, теперь сам DNS-сервер является инициатором удаленного DNS-поиска. Поэтому ничто не мешает атакующему, действуя методами Dummy DNS for host, направить свою атаку на DNS-сервер. То есть, в качестве цели атаки теперь будет выступать не хост, а DNS-сервер и ложные DNS-ответы будут направляться атакующим от имени корневого DNSсервера на атакуемый DNS-сервер. При этом важно учитывать следующую особенность работы DNS-сервера. Для ускорения работы каждый DNS-сервер кэширует в области памяти свою таблицу соответствия имен и IP-адресов хостов. В том числе в кэш заносится динамически изменяемая информация об именах и IP-адресах хостов, найденных в процессе функционирования DNSсервера. То есть, если DNS-сервер, получив запрос, не находит у себя в кэш-таблице соответствующей записи, он пересылает ответ на следующий сервер и, получив ответ, заносит найденные сведения в кэш-таблицу в память. Таким образом, при получении следующего запроса DNS-серверу уже не требуется вести удаленный поиск, так как необходимые сведения уже находятся у него в кэш-таблице. Из анализа описанной схемы удаленного DNS-поиска становится очевидно, что в том случае, если в ответ на запрос от DNS-сервера атакующий направит ложный DNS-ответ (или в случае "шторма" ложных ответов будет вести их постоянную передачу), то в кэш-таблице сервера появится соответствующая запись с ложными сведениями и, в дальнейшем, все хосты, обратившиеся к данному DNS-серверу, будут дезинформированы и при обращении к хосту, маршрут к которому атакующий решил изменить, связь с ним будет осуществляться через хост атакующего. И с течением времени эта ложная информация, попавшая в кэш DNS-сервера, будет распространяться на соседние DNS-серверы высших уровней, а, следовательно, все больше хостов в Internet будут дезинформированы и атакованы.Очевидно, что в том случае, если атакующий не может перехватить DNS-запрос от DNS-сервера, то для реализации атаки ему необходим "шторм" ложных DNS-ответов, направленный на DNS-сервер. При этом возникает следующая основная проблема, отличная от проблемы подбора портов в случае атаки, направленной на хост. Как уже отмечалось ранее DNS-сервер, посылая запрос на другой DNS-сервер, идентифицирует этот запрос двухбайтовым значением (ID). Это значение увеличивается на единицу с каждым передаваемым запросом. Узнать атакующему это текущее значение идентификатора DNS-запроса не представляется возможным. Поэтому, ничего кроме перебора 216 возможных значений ID предложить что-либо достаточно сложно. Зато исчезает проблема перебора портов, так как все DNS-запросы передаются DNS-сервером на 53 порт. Следующая проблема, являющаяся условием осуществления этой удаленной атаки на DNS-сервер при направленном "шторме" ложных DNS-ответов состоит в том, что атака будет иметь успех, только в том случае, если DNS-сервер пошлет запрос на поиск определенного имени (которое содержится в ложном DNS-ответе). DNS-сервер посылает этот столь необходимый и желанный для атакующего запрос в том случае, если на него придет DNS-запрос от какого-либо хоста на поиск данного имени и этого имени ни окажется в кэш-таблице DNS-сервера. В принципе этот запрос может прийти когда угодно и атакующему может быть придется ждать результатов атаки сколь угодно долго. Однако ни что не мешает атакующему, не дожидаясь никого, самому послать на атакуемый DNS-сервер подобный DNS-запрос и спровоцировать DNS-сервер на поиск указанного в запросе имени. Тогда эта атака с большой вероятностью будет иметь успех практически сразу же после начала ее осуществления. Syslog spoofing Заключается в передаче на компьютер жертву сообщения от имени другого компьютера внутренней сети. Поскольку протокол syslog используется для ведения системных журналов, путем передачи ложных сообщений на компьютер-жертву можно навязать информацию или замести следы несанкционированного доступа. Host spoofing Атака основана на протоколе ICMP, одной из функцией которого является информирование хостов о смене текущего маршрутизатора. Данное управляющее сообщение носит название redirect. Существует возможность посылки с любого хоста в сегменте сети ложного redirect-сообщения от имени маршрутизатора на атакуемый хост. В результате у хоста изменяется текущая таблица маршрутизации и, в дальнейшем, весь сетевой трафик данного хоста будет проходить, например, через хост, отославший ложное redirectсообщение. Таким образом возможно осуществить активное навязывание ложного маршрута внутри одного сегмента сети Internet. Dummy ARP server В сети Internet каждый хост имеет уникальный IPадрес, на который поступают все сообщения из глобальной сети. Однако протокол IP это не столько сетевой, сколько межсетевой протокол обмена, предназначенный для связи между объектами в глобальной сети. На канальном уровне пакеты адресуются по аппаратным адресам сетевых карт. В сети Internet для взаимно однозначного соответствия IP и Ethernet адресов используется протокол ARP (Address Resolution Protocol). Первоначально хост может не иметь информации о Ethernet-адресах других хостов, находящихся с ним в одном сегменте, в том числе и о Ethernet-адресе маршрутизатора. Соответственно, при первом обращении к сетевым ресурсам хост отправляет широковещательный ARP-запрос, который получат все станции в данном сегменте сети. Получив данный запрос, маршрутизатор отправляет на запросивший хост ARP-ответ, в котором сообщает свой Ethernet-адрес. Данная схема работы позволяет хакеру послать ложный ARP-ответ, в котором объявить себя искомым хостом, (например, маршрутизатором), и, в дальнейшем, активно контролировать весь сетевой трафик "обманутого" хоста. Traffic analysis (sniffing) Прослушивание канала. Практически все сетевые карты поддерживают возможность перехвата пакетов, передаваемых по общему каналу локальной сети. При этом рабочая станция может принимать пакеты, адресованные другим компьютерам того же сегмента сети. Таким образом, весь информационный обмен в сегменте сети становится доступным хакеру, что поможет в дальнейшем ему подобрать/придумать другие типы атак против Вас. Для успешной реализации этой атаки компьютер хакера должен располагаться в том же сегменте локальной сети, что и атакуемый компьютер. Brute Force Атака используемая хакерами в тех случаях, когда доступ к системе либо информации закрыт паролем, а уязвимостей не удалось обнаружить. Осуществляется простым перебором всех возможных либо наиболее часто встречающихся паролей. Во втором случае brute force достаточно часто называют "атакой по словарю". 30. Back Orifice (NetBus, Masters of Paradise и др) ПО, используемое для удаленного администрирования (управления) системой. Подобные программы после установки обычно занимаю какой-нибудь порт, например, 31337, и находятся в ожидание соединения. Хакеры сканирует Интернет в поиске инфицированного хоста. В случае обнаружения они могут получить достаточно полный контроль над системой, а именно: получать любые документы, пароли информацию о владельце; следить за тем, что Вы набираете на клавиатуре; удалять, создавать, изменять и перемещать файлы; управлять CD-ROM-ом; использовать Вашу систему для осуществления атак на другие системы, так что подозрение в совершение их падет на Вас. Представьте себя, какие могут быть последствия для Вас если хакер будет использовать Вашу систему для кражи денег у других людей либо для противоправных действий против гос.структур. BackOrifice может внедряться в другие программы, приложения, при запуске которых происходит инфицирование системы. Spam Рассылка по электронной почте сообщений какого-либо характера без согласия на это получателя. Периодически повторяющийся спамминг может нарушить работу пользователей из-за перегрузки сервера электронной почты; вызвать переполнение почтовых ящиков, что приведет к невозможности получения и отправки обычных сообщений; увеличит время нахождения получателя "на линии", а это дополни тельные денежные расходы. Virus Программа, будучи однажды запущена, способная самопроизвольно создавать свои копии, обладающие такими же способностями. Вирусы могут искажать, модифицировать и уничтожать данные. Будучи подключенным к сети Интернет вирус можно "подцепить" путем скачивания какой-либо зараженной программы и последующего ее запуска у себя на ПК; получить по электронной почте инфицированной программы либо в качестве присоединенного исполняемого кода при просмотре сообщения; просмотреть интернет-браузером www-страничку, содержащую вирус; кто-либо закачает вирус на Ваш накопитель. Trojan horse Троянский конь, по греческому преданию, огромный деревянный конь, в котором спрятались ахейские воины, осаждавшие Трою. Троянцы, не подозревая хитрости, ввезли его в Трою. Ночью ахейцы вышли из коня и впустили в город остальное войско. Выражение "Троянский конь" стало нарицательным (дар врагу с целью его погубить). Возвращаясь из прошлого к компьютерам и хакерам - "Троянским конем" стали называть любую функциональную возможность в программе, специально встроенную для того, чтобы обойти системный контроль секретности. Эта возможность может быть самоликвидируемой, что делает невозможным ее обнаружение, или же может постоянно реализовываться, но существовать скрыто. Для хакера обычно не составляет большого труда "заселить" Вам на ПК какую-либо версию программы, содержащие функцию "троянский конь". Хакер пишет программу, предназначенную, например, для выполнения какой-нибудь интересной либо полезной функции: запуска игры, оптимизации работы операционной системы или для увеличения скорости доступа в сеть Интернет. В программе спрятаны инструкции для прочтения файлов паролей и отсылки их на адрес электронной почты хакера, или выполнения другой скрытой операции. Затем хакер посылает Вам эту программу по электронной почте либо выкладывает ее для скачивания на общедоступный www-сервер, подгружает программу в BBS и внимание, это важно! - надеется, что пользователь запустит программу. Для того чтобы это произошло, хакер рассказывает в описание на программу очень ярко ее необходимость и превосходство над другим подобным ПО, например, пишет так (эта программа позволит Вам увеличить скорость доступа в Интернет на 300% - такого еще не было). Также функция "Троянский конь" может встраиваться в вирус, заражение которым Вашей ПЭВМ приведет к активизации этой функции. Программа с функцией "троянский конь" может также подделывать системное приглашение ввода логина и пароля. Неопытный пользователь не сможет отличить фальшивое приглашение запроса логина и пароля от настоящего, введет логин и пароль - тем самым отдаст их хакеру. Описать все возможные способы обмана пользователя не представляется возможным, т.к. хакеры придумывают постоянно что-то новенькое, ранее неиспользуемое. (c) 2008 Svin |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |