W2 Rodzaje atakow, Studia, bezieczeństwo sieci
[ Pobierz całość w formacie PDF ]
Rodzaje ataków hakerskich 1 Typy moliwych ataków ...............................................................................................2 2 Atak fizyczny .................................................................................................................2 3 Sniffing ..........................................................................................................................2 3.1 Sniffing w sieci z przełcznikami ........................................................................3 3.1.1 MAC flooding .................................................................................................3 3.1.2 ARP spoofing ................................................................................................4 3.1.3 Duplikacja adresu fizycznego ......................................................................4 4 Zabezpieczenia przed sniffingiem ..............................................................................5 4.1 Wykorzystanie błdów w implementacji stosu TCP/IP .....................................6 4.2 Test DNS ...............................................................................................................6 4.3 Opónienia ............................................................................................................6 4.4 Przesłuchanie podejrzanego hosta ....................................................................7 4.5 Wykorzystanie source routing’u ..........................................................................7 4.6 Wykrywanie snifferów uywajcych ARP spoofing ...........................................8 4.7 Lokalne wykrywanie snifferów .............................................................................8 5 Przechwytywanie hasła .............................................................................................10 5.1 Przechwytywanie hasła w nieszyfrowanych protokołach ...............................11 5.2 Przechwytywanie hasła z wykorzystaniem "koni trojaskich" ........................11 6 Atak przez zalanie ......................................................................................................12 7 Ldowanie na serwerze ............................................................................................12 8 Proba o echo ............................................................................................................13 9 Ping Of Death .............................................................................................................13 10 DoS (Denial of Service) .........................................................................................13 11 DDoS (Distributed Denial of Service) ...................................................................14 11.1 Opis sieci DDoS .................................................................................................14 11.2 Niebezpieczny DDoS .........................................................................................14 11.3 Strategia ataku ....................................................................................................16 11.4 Atak na serwer Yahoo w 1999r .........................................................................18 12 DRDoS ....................................................................................................................18 1 Typy mo liwych ataków przerwanie (ang. interruption) - uniemo liwienie korzystania z zasobów sieci modyfikacja (ang. modification) - wprowadzenie zmian przez osoby nieuprawnione przychwycenie (ang. interception) - uzyskanie dost pu do zasobów przez osoby nieuprawnione podrobienie (ang. fabrication) - wprowadzenie fałszywych danych do systemu komputerowego 2 Atak fizyczny Jednym z najprostszych rodzajów ataku jest atak fizyczny. Umo liwia on całkowite unieruchomienie systemu informatycznego firmy, np. przez wył czenie zasilania serwera czy te odł czenie kabla sieciowego. Mo liwe jest ograniczenie takich ataków przez wprowadzenie odpowiedniej polityki bezpiecze stwa fizycznego, czyli wszelkich obostrze zwi zanych z dost pem do budynku, komputerów i innego wyposa enia systemu komputerowego, a tak e do no ników (np. dysków, ta m, ł czy komunikacyjnych). 3 Sniffing Ethernet jest technologi o logicznej topologii magistrali (topologia logiczna to po polsku opis tego, jak podró uje sieci sygnał w odró nieniu od topologii fizycznej, czyli tego jak fizycznie wygl da uło enie kabelków – medium transmisyjnego), zatem ka da wysłana w sie ramka trafia do ka dego urz dzenia znajduj cego si w danym segmencie, czy ci lej – w domenie kolizyjnej. Gdy mamy do czynienia z fizyczn topologi gwiazdy (wszystkie komputery podł czone do huba) to znaczy to tyle, e ten rozsyła przychodz c ramk na wszystkie swoje porty. Zadaniem koncentratora (huba) umieszczonego w centralnym punkcie rozdzielczym sieci jest wzmacnianie otrzymanego sygnału i przekazywanie go na wszystkie swoje porty. W komputerze natomiast karta sieciowa sprawdza czy ramka zaadresowana jest do tego urz dzenia. Je eli tak to przekazywana jest w gór stosu protokołów do dalszej obróbki. Dalej sprawa jest oczywista – chc c podsłuchiwa ruch sieciowy, powinni my zmusi nasz kart sieciow do zaprzestania sprawdzania czy jej adres jest zgodny z docelowym adresem przeznaczenia odbieranych ramek. Wi kszo kart umo liwia proste przestawienie w tryb realizuj cy to zadanie – zwany trybem mieszanym. Dalej to ju kwestia napisania odpowiedniego oprogramowania, które umo liwi nam analiz odebranych przez kart informacji. Oczywi cie to stosunkowo najłatwiejsza technika sniffingu. Mo na bowiem podsłuchiwa ruch w sieci innymi sposobami – za pomoc specjalizowanego sprz tu, który podł czymy do medium gdzie po drodze mi dzy nadawc a odbiorc . Mo emy zreszt unikn fizycznego wpinania si w sie opieraj c si na pomiarach fal elektromagnetycznych, które powstaj w s siedztwie przewodu, którym płynie pr d. Oczywi cie wymaga to odpowiedniego, do kosztownego sprz tu. Sniffing, czyli podsłuchiwanie, jest obecnie jedn z najbardziej rozpowszechnionych metod penetracji systemów komputerowych. Za pomoc tej metody mo na przechwyci wszystkie hasła, które nie s przekazywane zakodowanym kanałem. Wykorzystywana tu jest podstawowa słabo protokołu TCP/IP, któr jest jawno transmitowanych danych. Sniffing klasyfikowany jest jako atak pasywny, to znaczy nie wprowadzaj cy zmian w sieci, dlatego te jest bardzo trudny do wykrycia. Karta sieciowa (NIC - Network Interface Card) w normalnym trybie pracy filtruje wszystkie ramki nieskierowane na jej adres MAC. Wi kszo kart NIC mo na jednak programowo przeł czy w tryb promiscuous, w którym karta b dzie przekazywa do wy szych warstw wszystkie ramki. Pozwala to na podsłuchiwanie ruchu w ramach swojego segmentu sieci - t wła ciwo sieci ethernetowych wykorzystuj sniffery. Je li program taki umie ci si na routerze, uzyskuje si dost p do całego ruchu przez niego przechodz cego. Poniewa wi kszo komunikacji sieciowej przesyłana jest otwartym tekstem, istnieje bardzo du e niebezpiecze stwo wycieku poufnych informacji t drog . Powszechnie wykorzystywanymi protokołami, które w aden sposób nie zabezpieczaj transmisji s : HTTP, FTP, TELNET, POP3, NNTP, IMAP, SMTP czy SQL *NET8 (Oracle). Na ogół dost pne s bezpieczne alternatywy dla wymienionych protokołów, które wykorzystuj algorytmy kryptograficzne w celu zapewnienia poufno ci, spójno ci oraz integralno ci informacji. Gdy brak bezpiecznego odpowiednika lub s trudno ci z jego wdro eniem, istnieje mo liwo tunelowania ruchu w szyfrowanym strumieniu (np. programem stunnel). Do podsłuchiwania sieci u ywa si tak zwanych snifferów. S to programy zainstalowane na zwykłych komputerach klasy PC, sk d zbieraj dane z całej podsieci, do której jest podł czony komputer. Najbardziej podatne na ten atak s komputery znajduj ce si w sieci typu Ethernet. 3.1 Sniffing w sieci z przeł cznikami Zastosowanie przeł czników drugiej warstwy uniemo liwia oczywi cie stosowanie klasycznych metod sniffingu. Istniej jednak metody pozwalaj ce na podsłuch informacji równie w sieciach przeł czanych. Przeł cznik (switch) jest urz dzeniem drugiej warstwy modelu referencyjnego ISO/OSI. Od koncentratora (huba) ró ni si , z grubsza rzecz bior c, tym, e potrafi nauczy si adresów MAC urz dze podł czonych do swoich poszczególnych portów i przekazywa nadchodz ce ramki tylko do tego portu, do którego podł czone jest urz dzenie o odpowiednim adresie fizycznym. Switch ma wbudowan pami , w której przechowuje tablic adresów przypisanych do poszczególnych portów. Je eli na którym z portów switcha pojawia si ramka, switch odczytuje adres jej nadawcy i umieszcza w tablicy adresów jako adres przypisany do danego portu. Oczywi cie dopóki przeł cznik nie nauczy si , jakie adresy odpowiadaj któremu portowi, rozsyła ramki zaadresowane do nieznanego urz dzenia na wszystkie swoje porty - zupełnie jak hub. Pojemno pami ci przeznaczonej na adresy wynosi zazwyczaj od dwóch do o miu kilobajtów (w zale no ci od modelu switcha) co, bior c pod uwag fakt, e adres MAC ma długo 6 bajtów, pozwala na zapami tanie kilkuset adresów. Oczywi cie standardowe switche maj zazwyczaj kilkana cie portów, natomiast wi ksza pami jest potrzebna w przypadku ł czenia ich ze sob w sieci o topologii drzewa. Zastosowanie przeł czników drugiej warstwy uniemo liwia oczywi cie stosowanie klasycznych metod sniffingu (polegaj one na przestawieniu karty sieciowej w tryb promiscuous, to jest taki, w którym karta ignoruje adres odbiorcy zapisany w ramce i przetwarza wszystkie ramki, które pojawi si w medium). Powód jest prosty - do interfejsu komputera dochodz tylko ramki przeznaczone dla niego i ramki rozgłoszeniowe (po angielsku broadcast - mówimy, e switch rozdziela domeny kolizyjne, nie rozdziela natomiast domen rozgłoszeniowych). Istniej jednak metody pozwalaj ce na podsłuch informacji równie w sieciach przeł czanych. 3.1.1 MAC flooding Pierwsz i - uprzedzaj c fakty - najmniej skuteczn metod jest MAC flooding, czyli zalewanie switcha du liczb ramek ze sfałszowanym adresem ródłowym (nadawcy). Oczywi cie po pewnym czasie dochodzi do przepełnienia tablicy adresów. Nie umiej c prawidłowo nauczy si nowych adresów pochodz cych od rzeczywi cie działaj cych w sieci komputerów switch zaczyna rozsyła nadchodz ce ramki zaadresowane do nieznanych mu adresatów na wszystkie swoje porty. W przypadku porz dnych switchy mo na w ten sposób co najwy ej zafloodowa port, z którego jest prowadzony atak, albowiem ka dy z portów ma przydzielony osobny fragment tablicy adresów. Ta sze i starsze modele przeł czników maj współdzielon pami dla wszystkich portów, zatem zalewanie jednego z nich ko czy si w miar szybk zamian switcha w huba. Dalej mo na ju stosowa metody podsłuchu znane z klasycznego ethernetu. Oczywi cie przeł cznik co pewien czas od wie a informacje (inaczej nie mogliby my nawet przepi działaj cego komputera z portu do portu), wi c proces zalewania musi by prowadzony w sposób ci gły, przy wykorzystaniu do wydajnego komputera, a i to nie gwarantuje odebrania stu procent podsłuchanych wiadomo ci. W ko cu ka da wiadomo (nawet ta, któr udało si podsłucha ) niesie w sobie informacje o swoim nadawcy, a ta informacja powoduje przypisanie w switchu adresu ródłowego do którego z portów. Potrzeba pewnego czasu aby napływaj ce z floodingu ramki wyparły t informacj z pami ci przeł cznika. Równie od rozpocz cia zalewania do wypełnienia tablic switcha musi upłyn nieco czasu. 3.1.2 ARP spoofing Drug metod podsłuchiwania ramek w sieci przeł czanej jest ARP spoofing. Metoda ta polega na wysłaniu fałszywej ramki ARP Reply, z której komputery w sieci czerpi informacj na temat odwzorowania adresów logicznych (IP) na adresy fizyczne (MAC). Na broadcastowe zapytanie klienta o adres IP (dajmy na to bramy do Internetu) odpowiada komputer u yty do ataku (rzecz jasna odpowiada podaj c nieprawdziw informacj , z której wynika, ze fizyczny adres bramy to adres jego karty sieciowej). Dalej komunikacja odbywa si ju na linii pirat - klient. Ten ostatni przekonany jest oczywi cie, ze wysyła ramki pod wła ciwy adres (fizyczny), a jedyne, o co ten pierwszy musi zadba , to przekazywanie zawartych w nich pakietów tam gdzie trzeba (do rzeczywistej bramy). Komputer pirata działa tu wi c jak swoisty pseudorouter drugiej warstwy. Mamy tu pełn analogie do ataków typu Ma In The Middle stosowanych w warstwach wy szych (przez fałszowanie odpowiedzi dnsowych). 3.1.3 Duplikacja adresu fizycznego Oczywi cie mo na posun si jeszcze dalej i podł czy do dwóch portów switcha dwa komputery o identycznych adresach fizycznych. Najprostszym w realizacji sposobem osi gni cia takiego efektu jest programowa zmiana adresu MAC interfejsu sieciowego. Opcj te umo liwia wiele kart sieciowych (z kartami opartymi na RTL8139D wł cznie) i systemów operacyjnych (z Windows 2000, XP i oczywi cie Linuksem). Nie jest to metoda do ko ca pozbawiona wad i oczywi cie mo na zamiast tego podsyła po prostu odpowiednio spreparowane ramki, nie zmieniaj c rzeczywistego adresu komputera u ytego do ataku. Z punktu widzenia switcha jest to równowa ne sytuacji, w której do dwóch portów jest przył czone to samo urz dzenie. W normalnej sieci takie sytuacje raczej nie maj miejsca (wyj wszy do rzadki przypadek p tli mostowej). Mo e si jednak zdarzy , e kto wła nie zajmuje si przepinaniem komputerów z portu do portu, switch wi c przez pewien czas b dzie przesyłał ramki na oba porty. Poniewa tak si składa, e wi kszo transmisji w sieci ma charakter dialogu, kiedy na jednym z portów pojawi si ramka z odpowiedzi (zawieraj ca odpowiedni adres MAC) - wpis dotycz cy drugiego portu zostanie usuni ty a transmisja na - zaniechana. Aby zatem utrzyma switcha w stanie nie wiadomo ci nale y co jaki czas podsyła mu ramk z zespoofowanym adresem MAC. Je eli wykorzystali my programow zmian adresu karty najpro ciej to osi gn cho by uruchamiaj c w tle pinga na dowolny adres. Oczywi cie tego typu kombinacja pozwala jedynie na przechwycenie informacji docieraj cych do jednej strony dialogu (tej, której MAC jest na ladowany) ale mo e to okaza si wystarczaj ce do na przykład przechwycenia haseł. Je eli nie - nale y postara si o drugi komputer, drug kart sieciow , albo spoofowa naraz oba adresy, z tym, e tu ju nie b dziemy mogli si posłu y standardow programow zmian MAC adresu karty w Windows. Nie trzeba dodawa , e adres logiczny (IP) komputera u ytego do ataku powinien by inny ni adres logiczny komputera, pod który ten si podszywa, albo przynajmniej nale y na nim wył czy obsług odpowiedniej cz ci protokołów, w przeciwnym bowiem razie mo e doj do ró nych dziwnych sytuacji, na przykład klient zamiast nawi za poł czenie z komputerem podsłuchiwanym nawi e je z podsłuchuj cym 4 Zabezpieczenia przed sniffingiem Zastosowanie mechanizmów szyfruj cych zmniejsza efektywno snifferów. Mimo i bezpieczne protokoły s dost pne, spora liczba u ytkowników o nich nie wie lub z nich nie korzysta. Ze snifferem walczy mo na na kilka sposobów. Po pierwsze - spróbowa go wykry (lokalnie albo zdalnie) i odinstalowa . Druga metoda polega na generowaniu takiego ruchu sieciowego, aby umkn ł on uwadze programu podsłuchuj cego. Po trzecie mo na tak zaprojektowa topologi sieci oraz schemat adresowania logicznego, aby utrudni podsłuchiwanie. Wykrycie sniffera to zadanie nieproste, ale wykonalne. Przede wszystkim nale y zlokalizowa w sieci maszyn , na której sniffer si znajduje, a nast pnie znale sniffera w systemie, co nie zawsze jest łatwe. Zdalna detekcja snifferów jest wprawdzie trudna, ale mo liwa dzi ki kilku efektom ubocznym ich działania. Nie wszystkie sniffery s programami pasywnymi, a zmiany, jakie wprowadzaj w systemie - przez wł czenie trybu promiscuous - daj si zdalnie wykry . Program Neped (Network Promiscuous Ethernet Detector) wykorzystuje bł d w implementacji stosu TCP/IP j dra Linuksa. Po odebraniu ramki z warstwy fizycznej na podstawie poprawnego adresu MAC, stosy takie przekazuj do warstwy wy szej (ł cza danych i wy ej) wszystkie pakiety zawieraj ce poprawny adres IP maszyny. Podczas normalnej pracy działanie takie sprawdza si bardzo dobrze - na poziomie karty NIC sprawdzany jest adres MAC komputera, a warstwa sieciowa kontroluje ju tylko adres logiczny (np. IP). Natomiast karta przeł czona w tryb promiscuous przekazuje wy ej wszystkie ramki, a nie tylko te skierowane do maszyny. Je li nało y si na to sprawdzanie przez wy sz warstw wył cznie adresu logicznego, to sytuacj tak mo na zdalnie wykry . Wystarczy wysyła na nieistniej cy w sieci adres MAC pakiet zawieraj cy poprawny adres logiczny, który wywołuje reakcje zdalnego hosta. Neped wysyła do wybranej maszyny ramk ARP request, w której odwzorowanie adresu IP na adres MAC ródła podane jest prawidłowo. Poprawny jest równie adres IP testowanego [ Pobierz całość w formacie PDF ] |