Удаленные атаки на хосты Internet

реклама
Удаленные атаки
на хосты Internet
Рассмотренные типы атак:







Анализ сетевого трафика
Ложный ARP-сервер в сети Internet
Ложный DNS-сервер в сети Internet
Навязывание хосту ложного маршрута с
использованием протокола ICMP
Подмена одного из субъектов TCPсоединения в сети Internet
Направленный шторм ложных TCP-запросов
на создание соединения
Атаки, использующие ошибки реализации
сетевых служб
Анализ сетевого трафика
Особенностью протоколов FTP и TELNET
является то, что пароли и идентификаторы
пользователей передаются по сети в открытом,
незашифрованном виде. Анализ
осуществляется с помощью специальной
программы-анализатора пакетов (sniffer),
перехватывающей все пакеты, передаваемые
по сегменту сети.
Схема осуществления анализа
сетевого трафика
ХОСТ 1
ХОСТ 1
МАРШРУТИЗАТОР 1
МАРШРУТИЗАТОР 2
ХОСТ 2
ХОСТ 2
ПРОСЛУШИВАНИЕ
КАНАЛА
ХОСТ N
АТАКУЮЩИЙ
ХОСТ
ХОСТ М
Ложный ARP-сервер в сети Internet
Функциональная схема:



Ожидание ARP-запроса.
При получении такого запроса - передача по сети
на запросивший хост ложного ARP-ответа, где
указывается адрес сетевого адаптера атакующей
станции (ложного ARP-сервера) или тот Ethernetадрес, на котором будет принимать пакеты ложный
ARP-сервер. Совершенно необязательно указывать
в ложном ARP-ответе свой настоящий Ethernetадрес, так как при работе непосредственно с
сетевым адаптером его можно запрограммировать
на прием пакетов на любой Ethernet-адрес.
Прием, анализ, воздействие на пакеты обмена и
передача их между взаимодействующими хостами.
Атакующий прослушивает
канал, ожидая передачу
ARP-запроса
МАРШРУТИЗАТОР
Internet
ХОСТ 1
ХОСТ 2
ХОСТ N
АТАКУЮЩИЙ
ХОСТ
Хост передает ARP-запрос
1. ФАЗА ОЖИДАНИЯ ARP - ЗАПРОСА.
Перехватив ARP-запрос,
атакующий передает
ложный ARP-ответ
МАРШРУТИЗАТОР
Internet
ХОСТ 1
ХОСТ N
ХОСТ 2
АТАКУЮЩИЙ
ХОСТ
2. ФАЗА АТАКИ.
Связь хоста 1 с
маршрутизатором
происходит через ложный
ARP-сервер
МАРШРУТИЗАТОР
Internet
ХОСТ 1
ХОСТ 2
ХОСТ N
ЛОЖНЫЙ
ARP-СЕРВЕР
3. ФАЗА ПРИЕМА, АНАЛИЗА, ВОЗДЕЙСТВИЯ И ПЕРЕДАЧИ
ИНФОРМАЦИИ НА ЛОЖНОМ ARP – СЕРВЕРЕ.
Из анализа механизмов адресации, описанных
выше, становится ясно: так как поисковый ARP
запрос кроме атакующего получит и
маршрутизатор, то в его таблице окажется
соответствующая запись об IP- и Ethernetадресе атакуемого хоста. Следовательно,
когда на маршрутизатор придет пакет,
направленный на IP-адрес атакуемого хоста, он
будет передан не на ложный ARP-сервер, а
непосредственно на хост. При этом схема
передачи пакетов в этом случае будет
следующая:



Атакованный хост передает пакеты на
ложный ARP-сервер.
Ложный ARP-сервер посылает
принятые от атакованного хоста
пакеты на маршрутизатор.
Маршрутизатор, в случае получения
ответа на запрос, адресует его
непосредственно на атакованный хост,
минуя ложный ARP-сервер.
В режиме "полуперехвата"
маршрут пакетов образует петлю:
МАРШРУТИЗАТОР
Связь хоста 1 с
маршрутизатором
происходит через
ложный ARP-сервер
ХОСТ 2
ХОСТ 1
ЛОЖНЫЙ
ARP-СЕРВЕР
Internet
ХОСТ N

В заключение отметим, что, во-первых,
причина успеха данной удаленной атаки
кроется не столько в Internet, сколько в
широковещательной среде Ethernet, а
во-вторых, эта атака является
внутрисегментной и представляет для
вас угрозу только в том случае, если
атакующий находится внутри вашего
сегмента сети.
Ложный DNS-сервер в сети Internet
Обобщенная схема работы ложного DNS-сервера:




Ожидание DNS-запроса.
Извлечение из полученного сообщения необходимых
сведений и передача по сети на запросивший хост
ложного DNS-ответа от имени (с IP-адреса) настоящего
DNS-сервера с указанием в этом ответе IP-адреса
ложного DNS-сервера.
В случае получения пакета от хоста - изменение в IPзаголовке пакета его IP-адреса на IP-адрес ложного DNSсервера и передача пакета на сервер (то есть ложный
DNS-сервер ведет работу с сервером от своего имени).
В случае получения пакета от сервера - изменение в IPзаголовке пакета его IP-адреса на IP-адрес ложного DNSсервера и передача пакета на хост (для хоста ложный
DNS-сервер и есть настоящий сервер).
Функциональная схема ложного DNS-сервера
СЕРВЕР
TOP.SECRET.COM
1. ФАЗА ОЖИДАНИЯ АТАКУЮЩИМ
DNS – ЗАПРОСА (ОН НАХОДИТСЯ
ЛИБО НА ХА 1, ЛИБО НА ХА 2).
МАРШРУТИЗАТОР
МАРШРУТИЗАТОР
ХОСТ 1
ХОСТ 2
ХОСТ
АТАКУЮЩЕГО 1
(ХА 1)
МАРШРУТИЗАТОР
ХОСТ
АТАКУЮЩЕГО 2
(ХА 2)
DNS СЕРВЕР
2. ФАЗА ПЕРЕДАЧИ АТАКУЮЩИМ
ЛОЖНОГО DNS – ОТВЕТА.
МАРШРУТИЗАТОР
СЕРВЕР
TOP.SECRET.COM
МАРШРУТИЗАТОР
DNS-запрос
Ложный DNS-ответ
ХОСТ 1
ХОСТ 2
ХОСТ
АТАКУЮЩЕГО 1
(ХА 1)
МАРШРУТИЗАТОР
Ложный DNS-ответ
ХОСТ
АТАКУЮЩЕГО 2
(ХА 2)
DNS СЕРВЕР
Функциональная схема ложного DNS-сервера
(продолжение)
3. ФАЗА ПРИЕМА, АНАЛИЗА,
ФОЗДЕЙСТВИЯ И ПЕРЕДАЧИ
ПЕРЕХВАЧЕННОЙ ИНФОРМАЦИИ НА
ЛОЖНОМ СЕРВЕРЕ.
МАРШРУТИЗАТОР
ХОСТ 1
МАРШРУТИЗАТОР
СЕРВЕР
TOP.SECRET.COM
МАРШРУТИЗАТОР
ХОСТ 2
ХОСТ
АТАКУЮЩЕГО 1
(ХА 1)
ХОСТ
АТАКУЮЩЕГО 2
(ХА 2)
DNS СЕРВЕР
Рассмотрим функциональную схему
предложенной удаленной атаки на службу DNS:



Постоянная передача кракером ложных DNS-ответов на
различные UDP-порты атакуемого хоста и, возможно, с
различными ID от имени (с IP-адреса) настоящего DNSсервера с указанием имени интересующего хоста и его
ложного IP-адреса, которым будет являться IP-адрес ложного
сервера - хоста атакующего.
В случае получения пакета от хоста - изменение в IPзаголовке пакета его IP-адреса на IP-адрес атакующего и
передача пакета на сервер (то есть ложный сервер ведет
работу с сервером от своего имени - со своего IP-адреса).
В случае получения пакета от сервера - изменение в IPзаголовке пакета его IP-адреса на IP-адрес ложного сервера и
передача пакета на хост (для хоста ложный сервер и есть
настоящий сервер).
Внедрение в Internet ложного сервера путем создания
направленного шторма ложных DNS-ответов на
атакуемый хост:
1. АТАКУЮЩИЙ СОЗДАЕТ
НАПРАВЛЕННЫЙ ШТОРМ ЛОЖНЫХ
DNS – ОТВЕТОВ НА ХОСТ 1.
СЕРВЕР
TOP.SECRET.COM
МАРШРУТИЗАТОР
МАРШРУТИЗАТОР
ХОСТ 1
ХОСТ 2
МАРШРУТИЗАТОР
DNSСЕРВЕР
Шторм ложных DNS-ответов
от имени DNS-сервера
ЛОЖНЫЙ СЕРВЕР
TOP.SECRET.COM
(ХОСТ АТАКУЮЩЕГО)
2. ХОСТ 1 ПОСЫЛАЕТ DNS – ЗАПРОС
И НЕМЕДЛЕННО ПОЛУЧАЕТ
ЛОЖНЫЙ DNS – ОТВЕТ.
СЕРВЕР
TOP.SECRET.COM
МАРШРУТИЗАТОР
DNS-ЗАПРОС
МАРШРУТИЗАТОР
МАРШРУТИЗАТОР
DNSСЕРВЕР
ХОСТ 1
ЛОЖНЫЙ СЕРВЕР
TOP.SECRET.COM
(ХОСТ АТАКУЮЩЕГО)
ХОСТ 2
3. ФАЗА ПРИЕМА, АНАЛИЗА,
ВОЗДЕЙСТВИЯ И ПЕРЕДАЧИ
ПЕРЕХВАЧЕННОЙ ИНФОРМАЦИИ
НА ЛОЖНОМ СЕРВЕРЕ.
МАРШРУТИЗАТОР
МАРШРУТИЗАТОР
ХОСТ 2
СЕРВЕР
TOP.SECRET.COM
МАРШРУТИЗАТОР
DNSСЕРВЕР
ХОСТ 1
Шторм ложных DNS-ответов
от имени DNS-сервера
ЛОЖНЫЙ СЕРВЕР
TOP.SECRET.COM
(ХОСТ АТАКУЮЩЕГО)
Перехват DNS-запроса или создание
направленного шторма ложных DNSответов на DNS-сервер
ХОСТ
TOP.SECRET.COM
МАРШРУТИЗАТОР
МАРШРУТИЗАТОР
DNS-СЕРВЕР
Направленный шторм
ложных DNS-ответов от
имени корневого
DNS-сервера
DNS-запрос
на поиск
Top.secret.com
1. АТАКУЮЩИЙ СОЗДАЕТ НАПРАВЛЕННЫЙ ШТОРМ
DNS – ОТВЕТОВ ОТ ИМЕНИ ОДНОГО ИЗ КОРНЕВЫХ
DNS – СЕРВЕРОВ И ПРИ ЭТОМ ПРОВОЦИРУЕТ АТАКУЕМЫЙ
DNS – СЕРВЕР, ПОСЫЛАЯ DNS – ЗАПРОС.
МАРШРУТИЗАТОР
ХОСТ
АТАКУЮЩЕГО
КОРНЕВОЙ
DNS-СЕРВЕР
ХОСТ
TOP.SECRET.COM
МАРШРУТИЗАТОР
DNS-ЗАПРОС
МАРШРУТИЗАТОР
МАРШРУТИЗАТОР
Направленный шторм
ложных DNS-ответов от
имени корневого
DNS-сервера
DNS-СЕРВЕР
2. DNS – СЕРВЕР ПЕРЕДАЕТ DNS – ЗАПРОС НА PRIMARY
DNS – СЕРВЕР И НЕМЕДЛЕННО ПОЛУЧАЕТ ЛОЖНЫЙ
DNS – ОТВЕТ ОТ АТАКУЮЩЕГО.
ХОСТ
АТАКУЮЩЕГО
DNS – ЗАПРОС НА ПОИСК
TOP.SECRET.COM
КЭШ – ТАБЛИЦА
DNS – СЕРВЕРА
TOP.SECRET.COM
IP – АДРЕС
АТАКУЮЩЕГО
КОРНЕВОЙ
DNS-СЕРВЕР
Internet
DNS – ОТВЕТ С ЛОЖНЫМИ
СВЕДЕНИЯМИ О ХОСТЕ
TOP.SECRET.COM
...
DNS - СЕРВЕР
3. КЭШ – ТАБЛИЦА DNS – СЕРВЕРА СОДЕРЖИТ ИНФОРМАЦИЮ О
СООТВЕТСТВИИ ИМЕНИ TOP.SERVER.COM IP – АДРЕСУ ХОСТА АТАКУЮЩЕГО.
Внедрение в распределенную ВС ложного
объекта путем навязывания ложного
маршрута
Рассмотрим функциональную схему:





Передача на атакуемый хост ложного ICMPсообщения Redirect Datagrams for the Host.
Если пришел ARP-запрос от атакуемого хоста, то
посылается ARP-ответ.
Если пришел пакет от атакуемого хоста, то он
переправляется на настоящий маршрутизатор.
Если пришел пакет от маршрутизатора, то он
переправляется на атакуемый хост.
При приеме пакета возможно воздействие на
информацию по схеме "ложный объект РВС".
Внутрисегментное навязывание хосту
ложного маршрута при использовании
протокола ICMP
Ложное сообщение ICMP Redirect о наилучшем
МАРШРУТИЗАТОР
маршруте к хосту top.secret.com
Internet
ХОСТ 1
ХОСТ 2
1. ФАЗА ПЕРЕДАЧИ ЛОЖНОГО
СООБЩЕНИЯ ICMP REDIRECT
ОТ ИМЕНИ МАРШРУТИЗАТОРА.
АТАКУЮЩИЙ
ХОСТ
МАРШРУТИЗАТОР
Хост 1 передает пакеты,
предназначенные
top.secret.com на хост
атакующего
ХОСТ 1
МАРШРУТИЗАТОР
Атакующий от имени Хоста 1
передает пакеты на
top.secret.com
АТАКУЮЩИЙ
ХОСТ
2. ФАЗА ПРИЕМА, АНАЛИЗА, ВОЗДЕЙСТВИЯ И ПЕРЕДАЧИ ПЕРЕХВАЧЕННОЙ
ИНФОРМАЦИИ НА ЛОЖНОМ СЕРВЕРЕ.
СЕРВЕР
TOP.SECRET.COM
Межсегментное навязывание хосту ложного
маршрута при использовании протокола ICMP,
приводящее к отказу в обслуживании
Ложное сообщение
ICMP Redirect
МАРШРУТИЗАТОР 1
ХОСТ 1
МАРШРУТИЗАТОР 2
ХОСТ
АТАКУЮЩЕГО
ХОСТ 2
1. ПЕРЕДАЧА АТАКУЮЩИМ НА ХОСТ 1 ЛОЖНОГО СООБЩЕНИЯ ICMP REDIRECT ОТ
ИМЕНИ МАРШРУТИЗАТОРА 1.
ТАБЛИЦА
МАРШРУТИЗАЦИИ
TOP.SECRET.COM
GATEWAY = ХОСТ 2
ХОСТ 1
Пакеты на
top.secret.com
направляются на
несуществующий
маршрутизатор
(Хост 2), а
следовательно,
связь с
top.secret.com
нарушается
МАРШРУТИЗАТОР 2
Internet
ХОСТ 2
2. ДЕЗИНФОРМАЦИЯ ХОСТА 1. ЕГО ТАБЛИЦА МАРШРУТИЗАЦИИ СОДЕРЖИТ
ИНФОРМАЦИЮ О ЛОЖНОМ МАРШРУТЕ К ХОСТУ TOP.SECRET.COM.
Направленный шторм ложных TCPзапросов на создание соединения
Нарушение работоспособности хоста в Internet, использующее
направленный шторм ложных TCP-запросов на создание соединения:
заключается в передаче на объект атаки как можно большего числа
ложных TCP-запросов на создание соединения от имени любого
хоста в Сети
МАРШРУТИЗАТОР
МАРШРУТИЗАТОР
SYN. ISS
АТАКУЮЩЕГО
ХОСТ А
НАПРАВЛЕННЫЙ ШТОРМ ЛОЖНЫХ
TCP - ЗАПРОСОВ
ХОСТ АТАКУЮЩЕГО
Вывод:
Причины успеха удаленных атак в сети Internet :
 Отсутствие выделенного канала связи между объектами сети
Internet
 Недостаточные идентификация и аутентификация
 Взаимодействие в сети Internet объектов без установления
виртуального канала
 Использование нестойких алгоритмов идентификации объектов
при создании виртуального TCP-соединения
 Невозможность контроля за виртуальными каналами связи
 Отсутствие возможности контроля за маршрутом сообщений
 Отсутствие полной информации об объектах Internet
 Отсутствие криптозащиты сообщений
В заключение хотелось бы заметить, что все описанные выше
причины, по которым возможна успешная реализация угроз
безопасности РВС, делают сеть Internet небезопасной. А следовательно,
все пользователи Сети могут быть атакованы в любой момент.
Список литературы:
“Атака на Internet” И.Д. Медведовский, П. В. Семьянов,
Д. Г. Леонов, Издательство: ДМК
“Защита информации и безопасность компьютерных
систем”
Домарев В.В., ДиаСофт – 1999.
Скачать