Удаленные атаки на хосты Internet Рассмотренные типы атак: Анализ сетевого трафика Ложный ARP-сервер в сети Internet Ложный DNS-сервер в сети Internet Навязывание хосту ложного маршрута с использованием протокола ICMP Подмена одного из субъектов TCPсоединения в сети Internet Направленный шторм ложных TCP-запросов на создание соединения Атаки, использующие ошибки реализации сетевых служб Анализ сетевого трафика Особенностью протоколов FTP и TELNET является то, что пароли и идентификаторы пользователей передаются по сети в открытом, незашифрованном виде. Анализ осуществляется с помощью специальной программы-анализатора пакетов (sniffer), перехватывающей все пакеты, передаваемые по сегменту сети. Схема осуществления анализа сетевого трафика ХОСТ 1 ХОСТ 1 МАРШРУТИЗАТОР 1 МАРШРУТИЗАТОР 2 ХОСТ 2 ХОСТ 2 ПРОСЛУШИВАНИЕ КАНАЛА ХОСТ N АТАКУЮЩИЙ ХОСТ ХОСТ М Ложный ARP-сервер в сети Internet Функциональная схема: Ожидание ARP-запроса. При получении такого запроса - передача по сети на запросивший хост ложного ARP-ответа, где указывается адрес сетевого адаптера атакующей станции (ложного ARP-сервера) или тот Ethernetадрес, на котором будет принимать пакеты ложный ARP-сервер. Совершенно необязательно указывать в ложном ARP-ответе свой настоящий Ethernetадрес, так как при работе непосредственно с сетевым адаптером его можно запрограммировать на прием пакетов на любой Ethernet-адрес. Прием, анализ, воздействие на пакеты обмена и передача их между взаимодействующими хостами. Атакующий прослушивает канал, ожидая передачу ARP-запроса МАРШРУТИЗАТОР Internet ХОСТ 1 ХОСТ 2 ХОСТ N АТАКУЮЩИЙ ХОСТ Хост передает ARP-запрос 1. ФАЗА ОЖИДАНИЯ ARP - ЗАПРОСА. Перехватив ARP-запрос, атакующий передает ложный ARP-ответ МАРШРУТИЗАТОР Internet ХОСТ 1 ХОСТ N ХОСТ 2 АТАКУЮЩИЙ ХОСТ 2. ФАЗА АТАКИ. Связь хоста 1 с маршрутизатором происходит через ложный ARP-сервер МАРШРУТИЗАТОР Internet ХОСТ 1 ХОСТ 2 ХОСТ N ЛОЖНЫЙ ARP-СЕРВЕР 3. ФАЗА ПРИЕМА, АНАЛИЗА, ВОЗДЕЙСТВИЯ И ПЕРЕДАЧИ ИНФОРМАЦИИ НА ЛОЖНОМ ARP – СЕРВЕРЕ. Из анализа механизмов адресации, описанных выше, становится ясно: так как поисковый ARP запрос кроме атакующего получит и маршрутизатор, то в его таблице окажется соответствующая запись об IP- и Ethernetадресе атакуемого хоста. Следовательно, когда на маршрутизатор придет пакет, направленный на IP-адрес атакуемого хоста, он будет передан не на ложный ARP-сервер, а непосредственно на хост. При этом схема передачи пакетов в этом случае будет следующая: Атакованный хост передает пакеты на ложный ARP-сервер. Ложный ARP-сервер посылает принятые от атакованного хоста пакеты на маршрутизатор. Маршрутизатор, в случае получения ответа на запрос, адресует его непосредственно на атакованный хост, минуя ложный ARP-сервер. В режиме "полуперехвата" маршрут пакетов образует петлю: МАРШРУТИЗАТОР Связь хоста 1 с маршрутизатором происходит через ложный ARP-сервер ХОСТ 2 ХОСТ 1 ЛОЖНЫЙ ARP-СЕРВЕР Internet ХОСТ N В заключение отметим, что, во-первых, причина успеха данной удаленной атаки кроется не столько в Internet, сколько в широковещательной среде Ethernet, а во-вторых, эта атака является внутрисегментной и представляет для вас угрозу только в том случае, если атакующий находится внутри вашего сегмента сети. Ложный DNS-сервер в сети Internet Обобщенная схема работы ложного DNS-сервера: Ожидание DNS-запроса. Извлечение из полученного сообщения необходимых сведений и передача по сети на запросивший хост ложного DNS-ответа от имени (с IP-адреса) настоящего DNS-сервера с указанием в этом ответе IP-адреса ложного DNS-сервера. В случае получения пакета от хоста - изменение в IPзаголовке пакета его IP-адреса на IP-адрес ложного DNSсервера и передача пакета на сервер (то есть ложный DNS-сервер ведет работу с сервером от своего имени). В случае получения пакета от сервера - изменение в IPзаголовке пакета его IP-адреса на IP-адрес ложного DNSсервера и передача пакета на хост (для хоста ложный DNS-сервер и есть настоящий сервер). Функциональная схема ложного DNS-сервера СЕРВЕР TOP.SECRET.COM 1. ФАЗА ОЖИДАНИЯ АТАКУЮЩИМ DNS – ЗАПРОСА (ОН НАХОДИТСЯ ЛИБО НА ХА 1, ЛИБО НА ХА 2). МАРШРУТИЗАТОР МАРШРУТИЗАТОР ХОСТ 1 ХОСТ 2 ХОСТ АТАКУЮЩЕГО 1 (ХА 1) МАРШРУТИЗАТОР ХОСТ АТАКУЮЩЕГО 2 (ХА 2) DNS СЕРВЕР 2. ФАЗА ПЕРЕДАЧИ АТАКУЮЩИМ ЛОЖНОГО DNS – ОТВЕТА. МАРШРУТИЗАТОР СЕРВЕР TOP.SECRET.COM МАРШРУТИЗАТОР DNS-запрос Ложный DNS-ответ ХОСТ 1 ХОСТ 2 ХОСТ АТАКУЮЩЕГО 1 (ХА 1) МАРШРУТИЗАТОР Ложный DNS-ответ ХОСТ АТАКУЮЩЕГО 2 (ХА 2) DNS СЕРВЕР Функциональная схема ложного DNS-сервера (продолжение) 3. ФАЗА ПРИЕМА, АНАЛИЗА, ФОЗДЕЙСТВИЯ И ПЕРЕДАЧИ ПЕРЕХВАЧЕННОЙ ИНФОРМАЦИИ НА ЛОЖНОМ СЕРВЕРЕ. МАРШРУТИЗАТОР ХОСТ 1 МАРШРУТИЗАТОР СЕРВЕР TOP.SECRET.COM МАРШРУТИЗАТОР ХОСТ 2 ХОСТ АТАКУЮЩЕГО 1 (ХА 1) ХОСТ АТАКУЮЩЕГО 2 (ХА 2) DNS СЕРВЕР Рассмотрим функциональную схему предложенной удаленной атаки на службу DNS: Постоянная передача кракером ложных DNS-ответов на различные UDP-порты атакуемого хоста и, возможно, с различными ID от имени (с IP-адреса) настоящего DNSсервера с указанием имени интересующего хоста и его ложного IP-адреса, которым будет являться IP-адрес ложного сервера - хоста атакующего. В случае получения пакета от хоста - изменение в IPзаголовке пакета его IP-адреса на IP-адрес атакующего и передача пакета на сервер (то есть ложный сервер ведет работу с сервером от своего имени - со своего IP-адреса). В случае получения пакета от сервера - изменение в IPзаголовке пакета его IP-адреса на IP-адрес ложного сервера и передача пакета на хост (для хоста ложный сервер и есть настоящий сервер). Внедрение в Internet ложного сервера путем создания направленного шторма ложных DNS-ответов на атакуемый хост: 1. АТАКУЮЩИЙ СОЗДАЕТ НАПРАВЛЕННЫЙ ШТОРМ ЛОЖНЫХ DNS – ОТВЕТОВ НА ХОСТ 1. СЕРВЕР TOP.SECRET.COM МАРШРУТИЗАТОР МАРШРУТИЗАТОР ХОСТ 1 ХОСТ 2 МАРШРУТИЗАТОР DNSСЕРВЕР Шторм ложных DNS-ответов от имени DNS-сервера ЛОЖНЫЙ СЕРВЕР TOP.SECRET.COM (ХОСТ АТАКУЮЩЕГО) 2. ХОСТ 1 ПОСЫЛАЕТ DNS – ЗАПРОС И НЕМЕДЛЕННО ПОЛУЧАЕТ ЛОЖНЫЙ DNS – ОТВЕТ. СЕРВЕР TOP.SECRET.COM МАРШРУТИЗАТОР DNS-ЗАПРОС МАРШРУТИЗАТОР МАРШРУТИЗАТОР DNSСЕРВЕР ХОСТ 1 ЛОЖНЫЙ СЕРВЕР TOP.SECRET.COM (ХОСТ АТАКУЮЩЕГО) ХОСТ 2 3. ФАЗА ПРИЕМА, АНАЛИЗА, ВОЗДЕЙСТВИЯ И ПЕРЕДАЧИ ПЕРЕХВАЧЕННОЙ ИНФОРМАЦИИ НА ЛОЖНОМ СЕРВЕРЕ. МАРШРУТИЗАТОР МАРШРУТИЗАТОР ХОСТ 2 СЕРВЕР TOP.SECRET.COM МАРШРУТИЗАТОР DNSСЕРВЕР ХОСТ 1 Шторм ложных DNS-ответов от имени DNS-сервера ЛОЖНЫЙ СЕРВЕР TOP.SECRET.COM (ХОСТ АТАКУЮЩЕГО) Перехват DNS-запроса или создание направленного шторма ложных DNSответов на DNS-сервер ХОСТ TOP.SECRET.COM МАРШРУТИЗАТОР МАРШРУТИЗАТОР DNS-СЕРВЕР Направленный шторм ложных DNS-ответов от имени корневого DNS-сервера DNS-запрос на поиск Top.secret.com 1. АТАКУЮЩИЙ СОЗДАЕТ НАПРАВЛЕННЫЙ ШТОРМ DNS – ОТВЕТОВ ОТ ИМЕНИ ОДНОГО ИЗ КОРНЕВЫХ DNS – СЕРВЕРОВ И ПРИ ЭТОМ ПРОВОЦИРУЕТ АТАКУЕМЫЙ DNS – СЕРВЕР, ПОСЫЛАЯ DNS – ЗАПРОС. МАРШРУТИЗАТОР ХОСТ АТАКУЮЩЕГО КОРНЕВОЙ DNS-СЕРВЕР ХОСТ TOP.SECRET.COM МАРШРУТИЗАТОР DNS-ЗАПРОС МАРШРУТИЗАТОР МАРШРУТИЗАТОР Направленный шторм ложных DNS-ответов от имени корневого DNS-сервера DNS-СЕРВЕР 2. DNS – СЕРВЕР ПЕРЕДАЕТ DNS – ЗАПРОС НА PRIMARY DNS – СЕРВЕР И НЕМЕДЛЕННО ПОЛУЧАЕТ ЛОЖНЫЙ DNS – ОТВЕТ ОТ АТАКУЮЩЕГО. ХОСТ АТАКУЮЩЕГО DNS – ЗАПРОС НА ПОИСК TOP.SECRET.COM КЭШ – ТАБЛИЦА DNS – СЕРВЕРА TOP.SECRET.COM IP – АДРЕС АТАКУЮЩЕГО КОРНЕВОЙ DNS-СЕРВЕР Internet DNS – ОТВЕТ С ЛОЖНЫМИ СВЕДЕНИЯМИ О ХОСТЕ TOP.SECRET.COM ... DNS - СЕРВЕР 3. КЭШ – ТАБЛИЦА DNS – СЕРВЕРА СОДЕРЖИТ ИНФОРМАЦИЮ О СООТВЕТСТВИИ ИМЕНИ TOP.SERVER.COM IP – АДРЕСУ ХОСТА АТАКУЮЩЕГО. Внедрение в распределенную ВС ложного объекта путем навязывания ложного маршрута Рассмотрим функциональную схему: Передача на атакуемый хост ложного ICMPсообщения Redirect Datagrams for the Host. Если пришел ARP-запрос от атакуемого хоста, то посылается ARP-ответ. Если пришел пакет от атакуемого хоста, то он переправляется на настоящий маршрутизатор. Если пришел пакет от маршрутизатора, то он переправляется на атакуемый хост. При приеме пакета возможно воздействие на информацию по схеме "ложный объект РВС". Внутрисегментное навязывание хосту ложного маршрута при использовании протокола ICMP Ложное сообщение ICMP Redirect о наилучшем МАРШРУТИЗАТОР маршруте к хосту top.secret.com Internet ХОСТ 1 ХОСТ 2 1. ФАЗА ПЕРЕДАЧИ ЛОЖНОГО СООБЩЕНИЯ ICMP REDIRECT ОТ ИМЕНИ МАРШРУТИЗАТОРА. АТАКУЮЩИЙ ХОСТ МАРШРУТИЗАТОР Хост 1 передает пакеты, предназначенные top.secret.com на хост атакующего ХОСТ 1 МАРШРУТИЗАТОР Атакующий от имени Хоста 1 передает пакеты на top.secret.com АТАКУЮЩИЙ ХОСТ 2. ФАЗА ПРИЕМА, АНАЛИЗА, ВОЗДЕЙСТВИЯ И ПЕРЕДАЧИ ПЕРЕХВАЧЕННОЙ ИНФОРМАЦИИ НА ЛОЖНОМ СЕРВЕРЕ. СЕРВЕР TOP.SECRET.COM Межсегментное навязывание хосту ложного маршрута при использовании протокола ICMP, приводящее к отказу в обслуживании Ложное сообщение ICMP Redirect МАРШРУТИЗАТОР 1 ХОСТ 1 МАРШРУТИЗАТОР 2 ХОСТ АТАКУЮЩЕГО ХОСТ 2 1. ПЕРЕДАЧА АТАКУЮЩИМ НА ХОСТ 1 ЛОЖНОГО СООБЩЕНИЯ ICMP REDIRECT ОТ ИМЕНИ МАРШРУТИЗАТОРА 1. ТАБЛИЦА МАРШРУТИЗАЦИИ TOP.SECRET.COM GATEWAY = ХОСТ 2 ХОСТ 1 Пакеты на top.secret.com направляются на несуществующий маршрутизатор (Хост 2), а следовательно, связь с top.secret.com нарушается МАРШРУТИЗАТОР 2 Internet ХОСТ 2 2. ДЕЗИНФОРМАЦИЯ ХОСТА 1. ЕГО ТАБЛИЦА МАРШРУТИЗАЦИИ СОДЕРЖИТ ИНФОРМАЦИЮ О ЛОЖНОМ МАРШРУТЕ К ХОСТУ TOP.SECRET.COM. Направленный шторм ложных TCPзапросов на создание соединения Нарушение работоспособности хоста в Internet, использующее направленный шторм ложных TCP-запросов на создание соединения: заключается в передаче на объект атаки как можно большего числа ложных TCP-запросов на создание соединения от имени любого хоста в Сети МАРШРУТИЗАТОР МАРШРУТИЗАТОР SYN. ISS АТАКУЮЩЕГО ХОСТ А НАПРАВЛЕННЫЙ ШТОРМ ЛОЖНЫХ TCP - ЗАПРОСОВ ХОСТ АТАКУЮЩЕГО Вывод: Причины успеха удаленных атак в сети Internet : Отсутствие выделенного канала связи между объектами сети Internet Недостаточные идентификация и аутентификация Взаимодействие в сети Internet объектов без установления виртуального канала Использование нестойких алгоритмов идентификации объектов при создании виртуального TCP-соединения Невозможность контроля за виртуальными каналами связи Отсутствие возможности контроля за маршрутом сообщений Отсутствие полной информации об объектах Internet Отсутствие криптозащиты сообщений В заключение хотелось бы заметить, что все описанные выше причины, по которым возможна успешная реализация угроз безопасности РВС, делают сеть Internet небезопасной. А следовательно, все пользователи Сети могут быть атакованы в любой момент. Список литературы: “Атака на Internet” И.Д. Медведовский, П. В. Семьянов, Д. Г. Леонов, Издательство: ДМК “Защита информации и безопасность компьютерных систем” Домарев В.В., ДиаСофт – 1999.