Net Secure
Сетевая безопасность

Статьи раздела

все статьи

  • Безопасность сетей - методы хакерских атак (Часть 3)
    2008-12-02 15:08:33

  • Безопасность сетей - методы хакерских атак (Часть 2)
    2008-12-02 15:09:38

  • Безопасность сетей - категории атак
    2008-12-02 15:10:38

  • Безопасность сетей - методы хакерских атак
    2008-12-09 00:00:00

  • Понятие " Информационная безопасность".
    2010-12-01 12:26:14

  • Роль Политики безопасности
    2011-01-26 11:16:37

  • Службы информационной безопасности
    2011-04-12 11:04:12

  • Политика безопасности Часть 1
    2011-04-12 14:06:24

  • Политика безопасности Часть 2
    2011-04-12 14:18:19

  • Политика безопасности Часть 3
    2011-04-12 14:29:55

  • Управление рисками
    2011-08-16 16:10:41

  • Обеспечение информационной безопасности - Оценка стоимости
    2011-12-08 08:58:42

  • Обеспечение информационной безопасности - Физическая безопасность
    2011-12-08 09:11:31

  • Обеспечение информационной безопасности - Разработка политики и реализация
    2011-12-08 09:30:18

  • Обеспечение информационной безопасности - Проведение аудита
    2011-12-08 09:44:48

  • Рекомендации по обеспечению сетевой безопасности - Административная безопасность
    2011-12-09 10:55:22

  • Рекомендации по обеспечению сетевой безопасности - Техническая безопасность
    2011-12-09 11:57:07

  • Рекомендации по обеспечению сетевой безопасности - Использование стандарта ISO 17799
    2011-12-09 12:04:25

  • Межсетевые экраны
    2011-12-14 12:46:22

  • Виртуальные частные сети
    2011-12-23 11:42:00

  • Развертывание узловых сетей VPN
    2011-12-23 11:54:23

  • Понятие стандартных технологий функционирования VPN
    2011-12-23 12:10:56

  • Типы систем VPN
    2011-12-23 12:22:24

  • Trusteer Rapport на страже безопасности систем ДБО
    2012-08-28 13:05:56

  • Новости


    Все новости

    Aтака WannaCry больше всего затронула Windows 7

    | 2017-05-23 12:09:00 |

    Исследователи безопасности сообщают о том, что большинство компьютеров, пострадавших от эпидемии WannaCry,...


    Эксплоиты для Android используют уязвимость Dirty COW

    | 2016-10-26 09:44:24 |

    Dirty COW – уязвимость ядра Linux, была публично раскрыта на прошлой неделе. Эксперты предупреждают,...


    Что ожидать в 2016 году - Лаборатория Касперского

    | 2015-12-16 13:07:13 |

    В уходящем 2015 году произошло немало значимых киберсобытий, некоторые из которых получили по-настоящему...


    ESET NOD32 защитит информационную систему компании «СТС Медиа»

    | 2015-10-16 13:36:04 |

    Международная компания ESET объявляет о начале сотрудничества с «СТС Медиа», ведущей независимой медиакомпанией...


    Компания SAP оперативно закрыла критичную уязвимость в SAP HANA

    | 2015-10-16 13:27:05 |

    Компания Digital Security, предупреждает о выявлении опасных уязвимостей в SAP HANA, инновационном...


     

    Безопасность сетей - методы хакерских атак | 2008-12-09 00:00:00

    Автор: Э. Мэйволд

    Описание любых вопросов о информационной безопасности не возможно без описания хакеров и методах их работы. Данный термин " хакер" используется в значении - человек, взламывающий компьютеры.

    Хакеры это знающие, технически грамотные люди, которые имеют четкое представление о работе компьютеров и сетей, понимают как протоколы используются для выполнения системных операций. Мотивация в работе хакеров может быть различная, от желания привлечь к себе внимание и до самой обычной алчности.

    Современные методы хакерских атак

    Многие современные атаки выполняются так называемыми методом "скрипт киддиз" (script kiddies). Злоумыщленники просто ищут в Интернете сценарии эксплойтов и запускают их против всех систем, которые только можно найти. Данные простые способы атак не требуют специальных знаний или инструкций.

    Однако существуют и другие методы, основанные на более глубоком понимании работы компьютеров, сетей и атакуемых систем. В этой статье мы опишем такие методы.

    Прослушивание сетей

    Прослушивание, или снифинг (sniffing) -метод, используемый хакерами/крэкерами для сбора паролей и другой системной информации. Для работы сетевой интерфейс компьютера устанавливается в режим прослушивания смешанного трафика (promiscuous mode), т. е. сетевой адаптер будет перехватывать все пакеты, перемещающиеся по сети, а не только пакеты, адресованные данному адаптеру. Сниферы такого типа хорошо работают в сетях с разделяемой пропускной способностью с сетевыми концентраторами - хабами.

    Сейчас найти концентратор - это очень большая проблема - в основном используются сетевые коммутаторы, соответственно эффективность снифинга стала снижаться. В коммутируемой среде не применяется режим широковещательной передачи, вместо этого пакеты отправляются непосредственно к системе-получателю. Однако коммутаторы не являются защитными устройствами. Это обычные сетевые устройства, следовательно, обеспечиваемая ими безопасность скорее побочный продукт их сетевого назначения, чем элемент конструкции. Есть и снифер, специально разработанный для коммутируемой среды

    Для прослушивания трафика в коммутируемой среде необходимо выполнить одно из условий:

    • "убедить" коммутатор в том, что трафик, представляющий интерес, должен быть направлен к сниферу;
    • заставить коммутатор отправлять весь трафик ко всем портам.

    При выполнении одного из условий снифер сможет считывать интересующий трафик и, таким образом, обеспечивать хакера искомой информацией.

    Перенаправление трафика

    Коммутатор направляет трафик к портам на основании адреса доступа к среде передачи данных (Media Access Control) - MAC-адреса - для кадра, передаваемого по сети Ethernet. Каждый сетевой интерфейс имеет уникальный MAC-адрес, и коммутатор "знает" о том, какие адреса находятся на какому порту. Следовательно, при передаче кадра с определенным MAC-адресом получателя коммутатор направляет этот кадр к порту, к которому приписан данный MAC-адрес.

    Ниже приведены методы, с помощью которых можно заставить коммутатор направлять сетевой трафик к сниферу:

    • ARP-спуфинг;
    • дублирование MAC-адресов;
    • имитация доменного имени.

    ARP-спуфинг (ARP-spoofing). ARP - это протокол преобразования адресов (Address Resolution Protocol), используемый для получения MAC-адреса, связанного с определенным IP-адресом. Работает он следующим образом: при передаче трафика система-отправитель посылает ARP-запрос по IP-адресу получателя. Система-получатель отвечает на этот запрос передачей своего MAC-адреса, который будет использоваться системой-отправителем для прямой передачи трафика.

    Если снифер захватит трафик, представляющий для него интерес, то он ответит на ARP-запрос вместо реальной системы-получателя и предоставит собственный MAC-адрес. В результате система-отправитель будет посылать трафик на снифер.

    Для обеспечения эффективности данного процесса необходимо переадресовывать весь трафик на снифер вместо реального места назначения. Если этого не сделать, то появится вероятность возникновения отказа в доступе к сети.

    Примечание

    ARP-спуфинг работает только в подсетях (отдельно взятом сегменте сети), поскольку ARP-сообщения не маршрутизируются. Снифер должен размещаться в том же самом сегменте локальной сети, где находятся системы отправителя и получателя.

    Дублирование MAC-адресов. Дублирование MAC-адреса системы-получателя является еще одним способом "убедить" коммутатор посылать трафик на снифер. Для этого хакеру нужно изменить MAC-адрес на снифере и разместиться в том же сегменте локальной сети.

    Примечание

    Для выполнения ARP-спуфинга снифер должен располагаться в той же самой локальной подсети, что и обе системы (отправитель и получатель), чтобы иметь возможность дублирования MAC-адресов.

    Имитация доменного имени. Существует третий способ заставить коммутатор отправлять весь трафик на снифер: нужно "обмануть" систему-отправителя, чтобы она использовала для передачи данных реальный MAC-адрес снифера. Это осуществляется с помощью имитации доменного имени.

    При выполнении этой атаки снифер перехватывает DNS-запросы от системы-отправителя и отвечает на них. Вместо IP-адреса систем, к которым был послан запрос, система-отправитель получает IP-адрес снифера и отправляет весь трафик к нему. Далее снифер должен перенаправить этот трафик реальному получателю. Мы видим, что в этом случае атака имитации доменного имени превращается в атаку перехвата.

    Для обеспечения успеха данной атаки сниферу необходимо просматривать все DNS-запросы и отвечать на них до того, как это сделает реальный получатель. Поэтому снифер должен располагаться на маршруте следования трафика от системы-отправителя к DNS- серверу , а еще лучше - в той же локальной подсети, что и отправитель.

    Примечание

    Снифер мог бы просматривать запросы, отправляемые через интернет, но чем дальше он от системы-отправителя, тем сложнее гарантировать, что он первым ответит на них.

    Отправка всего трафика ко всем портам

    Вместо всего вышеперечисленного хакер может заставить коммутатор работать в качестве хаба (концентратора). Каждый коммутатор использует определенный объем памяти для хранения таблицы соответствий между MAC-адресом и физическим портом коммутатора. Эта память имеет ограниченный объем. В случае ее переполнения некоторые коммутаторы могут ошибочно выдавать состояние "открытый". Это значит, что коммутатор прекратит передачу трафика по определенным MAC-адресам и начнет пересылать весь трафик ко всем портам. В результате коммутатор станет работать подобно концентратору (хабу).

    Выполнение атак

    Теперь давайте рассмотрим, что требуется для выполнения вышеперечисленных атак. В случае ARP-спуфинга, дублирования MAC-адресов или MAC-флудинга необходимо напрямую подключиться к атакуемому коммутатору. Такое подключение требуется и для имитации доменного имени.

    Вывод - хакер должен установить систему на локальном коммутаторе. Для этого он входит в систему через известную уязвимость, и инсталлирует необходимое для снифинга программное обеспечение. В другом варианте хакер уже находится внутри организации (он ее служащий или подрядчик). В этом случае он использует свой законный доступ в локальную сеть, что позволяет ему связаться с коммутатором.

    Имитация IP-адреса

    Как уже говорилось, правильность IP-адресов в пакетах, передаваемых по сети, не проверяется. Следовательно, хакер может изменить адрес отправителя так, чтобы казалось, будто пакет прибывает с любого адреса. Сложность заключается в том, что возвращаемые пакеты (SYN ACK-пакеты в TCP-соединении) не смогут вернуться к системе-отправителю. Следовательно, попытка имитации IP-адреса (IP-спуфинг) для установки TCP-соединения связана с серьезными трудностями. Кроме того, в TCP-заголовке содержится порядковый номер, используемый для подтверждения приема пакета. Исходный порядковый номер (initial sequence number, ISN) для каждого нового соединения выбирается псевдо-случайным образом.

    Подробные сведения об атаке имитации IP-адреса

    На рисунке показано выполнение атаки имитации IP-адреса. 1 - идентификация цели. 2. - определение величины приращения исходного порядкового номера (ISN). Это можно сделать, выполняя серию легальных подключений к целевой системе и отмечая возвращаемые ISN (при этом хакер рискует "засветить" свой реальный IP-адрес).

    Выполнение имитации IP-адреса


    3 - gосле определения величины приращения ISN посылаетcя пакет TCP SYN-пакет с измененным IP-адресом отправителя. 4 - система ответит TCP SYN ACK-пакетом, который будет передан по этому подложному адресу и до хакера, следовательно, не дойдет. SYN ACK-пакет содержит исходный порядковый номер целевой системы. Для завершения процесса установки подключения данный ISN необходимо подтвердить отправкой заключительного TCP ACK-пакета. Хакер подсчитывает приблизительный ISN (основываясь на величине приращения, которую он выяснил заранее) и отправляет ACK-пакет, содержащий подложный IP-адрес отправителя и подтверждение ISN.

    Если все это будет правильно выполнено, хакер закроет легальное подключение к целевой системе. Он сможет посылать команды и информацию к системе, но не будет получать ответы.

    Имитация IP-адреса - пример из практики

    Ясно, что подобная атака, нацеленная на службу электронной почты или веб-службу, много не даст. То же самое справедливо и для атак "грубой силы" с помощью командной строки telnet. А что можно сказать про службы, использующие IP-адрес отправителя, такие как rlogin или rsh?

    При настройке служб rlogin или rsh IP-адрес отправителя является важным компонентом, поскольку он определяет, кому разрешено использование этих служб. Удаленные хосты, допущенные к таким соединениям, называются доверенными. При использовании имитации IP-адреса доверенной системы можно успешно взломать целевую систему.

    При обнаружении системы, имеющей доверительные отношения с другой системой и находящейся в сети, к которой можно подключиться, имитация IP-адреса позволит хакеру получить доступ в эту систему. Однако есть еще одна проблема, которую он должен решить. Целевая система в ответ на подложные пакеты будет отправлять данные доверенной системе. В соответствии со спецификацией TCP доверенная система может ответить перезагрузкой или пакетом сброса (RST-пакетом), поскольку она не имеет сведений о подключении. Хакер не должен допустить этого и обычно выполняет DоS-атаку против доверенной системы.

    При подключении к службе rlogin хакер может зарегистрироваться как пользователь доверенной системы (неплохим вариантом будет учетная запись root, имеющаяся во всех Unix-системах). Позже он обеспечит себе более удобный способ входа в систему. (При подключении с помощью имитации IP-адреса хакер не получает ответы целевой системы на свои действия.) Он может настроить целевую систему для разрешения доступа с помощью rlogin с удаленной системы или добавить учетную запись для своего личного использования

    Практическая реализация атаки имитации IP-адреса


    >> Далее (Часть 2) >>

     

     


    Распечатать данную страницу




    Всего просмотров этой страницы: 4221. Сегодня: 2
    Главная | Cтатистика | | Новости | Ссылки
    © 2011 NSecure.RU All Rights Reserved