This page has been robot translated, sorry for typos if any. Original content here.

Netzwerkangriffe und noch etwas anderes

Einführung in Netzwerkangriffe

Kurze Beschreibung der Netzwerkangriffe

Datenfragmentierung

Fragmentierte IP-Übertragung

Ping-Flooding-Angriff

PingOfDeath oder SSPing

UDP-Bombe

SYN-Flutung

Benutzerdefinierte IP-gekapselte Protokolle

TFTP verwenden

Schlumpfangriff

Land angreifen

Einführung eines falschen Servers in das Internet durch die Erzeugung eines gezielten "Sturms" falscher DNS-Antworten auf den angegriffenen Host

Einführen eines falschen Servers in das Internet durch Abfangen einer DNS-Abfrage oder Erzeugen eines gerichteten "Sturms" falscher DNS-Antworten auf den angegriffenen DNS-Server

Einführung eines falschen DNS-Servers im Internet durch Abfangen einer DNS-Abfrage

DNS-Flooding-Angriff

Spoofing von DNS-Angriffen

IP-Spoofing-Angriff

Imposante Pakete

Sniffing - Abhören des Kanals (nur im lokalen Netzwerksegment möglich)

Paketerfassung auf dem Router

Auferlegen einer falschen Route zu einem Host mithilfe von ICMP

Winnuke

Falscher ARP-Server

Vorhersage der TCP-Sequenznummer (IP-Spoofing)

Lokaler Sturm

IP-Hijacking

Angriffe erkennen und abwehren

Scan-Methoden

ARP verwenden

Netzwerkscan über DNS

UDP-Bombe

TCP-Port-Scan

UDP-Port-Scan

Stealth-Scan

Passiver Scan

Systemansagen und die Gefahr der darin enthaltenen Informationen

Ein paar Tipps zur Recherche im Netzwerk

Einige andere Möglichkeiten, um Informationen zu erhalten

Lücken und administrative Fehler in Windows NT

Spam

So schützen Sie das Mail-System vor Spammern

Wie funktionieren Spammer?

Löcher IIS, WWW, FTP

Einführung in Netzwerkangriffe

Das wachsende Interesse an TCP / IP-Netzwerken ist auf das rasante Wachstum des Internets zurückzuführen. Dabei müssen Sie jedoch überlegen, wie Sie Ihre Informationsressourcen vor Angriffen von einem externen Netzwerk schützen können. Wenn Sie mit dem Internet verbunden sind, kann Ihr System angegriffen werden. IP-Protokolle bilden die Grundlage für den Aufbau von Intranet-Netzwerken und des globalen Internets. Obwohl TCP / IP vom US-Verteidigungsministerium finanziert wurde, ist TCP / IP nicht vollständig sicher und ermöglicht die in diesem Kapitel beschriebenen verschiedenen Arten von Angriffen. Um solche Angriffe auszuführen, muss ein potenzieller Angreifer die Kontrolle über mindestens eines der mit dem Internet verbundenen Systeme haben. Ein Ansatz zur Analyse von Bedrohungen für die Sicherheit von Computersystemen besteht in der Zuordnung zu einer separaten Klasse von Bedrohungen, die nur Computernetzwerken eigen sind. Wir werden diese Bedrohungsklasse - die Klasse der Remote-Angriffe - nennen. Dieser Klassifizierungsansatz erscheint aufgrund der grundlegenden Merkmale beim Aufbau von Netzwerkbetriebssystemen legitim. Das Hauptmerkmal eines Netzwerkbetriebssystems besteht darin, dass seine Komponenten räumlich verteilt sind und die Kommunikation zwischen ihnen physisch über spezielle Netzwerkverbindungen (Koaxialkabel, Twisted Pair, Glasfaser usw.) und programmgesteuert über den Nachrichtenmechanismus erfolgt. In diesem Fall werden alle Steuernachrichten und Daten, die von einer Komponente des Netzwerkbetriebssystems an eine andere Komponente gesendet werden, über Netzwerkverbindungen in Form von Austauschpaketen übertragen. Diese Funktion ist der Hauptgrund für die Entstehung einer neuen Bedrohungsklasse - Remote-Angriffe. Bei dieser Art von Angriff interagiert der Angreifer mit dem Empfänger der Informationen, dem Absender und / oder den Zwischensystemen und ändert und / oder filtert möglicherweise den Inhalt von TCP / IP-Paketen. Diese Art von Angriffen scheint häufig technisch schwierig zu sein, für einen guten Programmierer ist es jedoch nicht schwierig, die entsprechenden Tools zu implementieren. Die Fähigkeit, beliebige IP-Pakete zu generieren, ist ein zentraler Punkt für die Implementierung aktiver Angriffe. Remote-Angriffe können nach Art der Auswirkung klassifiziert werden: aktiv oder passiv. Aktive Angriffe können in zwei Teile unterteilt werden. Im ersten Fall unternimmt der Angreifer bestimmte Schritte, um den Netzwerkstrom abzufangen und zu ändern, oder versucht, sich als ein anderes System auszugeben. Im zweiten Fall wird das TCP / IP-Protokoll verwendet, um das Opfersystem herunterzufahren. Bei passiven Angriffen erkennen sich Angreifer in keiner Weise selbst und interagieren nicht direkt mit anderen Systemen. Tatsächlich kommt es darauf an, die verfügbaren Daten oder Kommunikationssitzungen zu überwachen. Obwohl passive Angriffe die Netzwerksicherheitsrichtlinien verletzen können. Die Idee, einen Angriff zu erkennen, ist einfach: Ein bestimmter Netzwerkverkehr entspricht jedem Angriff. Daher können Sie mit der Verkehrsanalyse den Angriff bestimmen und die „Spuren“ des Angreifers erkennen, d. H. Bestimmen Sie die IP-Adressen, von denen die Informationsauswirkung ausgeführt wurde. Die Erkennung von Angriffen erfolgt somit nach der Methode der Überwachung des Informationsflusses, die durch die Analyse des Netzwerkverkehrs erreicht wird.

Kurze Beschreibung der Netzwerkangriffe

Es sollte beachtet werden, dass grobe Methoden wie das Pingen großer Pakete oder das SYN-Flooding jeden Internetcomputer oder jedes Subnetz unabhängig von der Konfiguration überfordern können.

Datenfragmentierung

Wenn ein IP-Protokolldatenpaket über das Netzwerk übertragen wird, kann dieses Paket in mehrere Fragmente unterteilt werden. Anschließend wird bei Erreichen des Ziels das Paket aus diesen Fragmenten wiederhergestellt. Ein Angreifer kann das Senden einer großen Anzahl von Fragmenten initiieren, was zu einem Überlauf der Software-Puffer auf der Empfangsseite und in einigen Fällen zum Systemabsturz führt.

Übertragung fragmentierter IP-Pakete mit einem Gesamtvolumen von mehr als 64 KB

Die Anzahl der Angriffsimplementierungen, bei denen IP-Pakete fragmentiert werden können, ist recht hoch. Es werden mehrere fragmentierte IP-Pakete an den Computer des Opfers übertragen, die bei der Zusammenstellung ein Paket bilden, das größer als 64 KB ist (die maximale Größe des IP-Pakets beträgt 64 KB abzüglich der Länge des Headers). Dieser Angriff war wirksam gegen Computer, auf denen Windows ausgeführt wird. Bei Erhalt eines solchen Pakets friert Windows NT ein oder stürzt ab, das keinen speziellen icmp-fix-Patch besitzt. Andere Varianten solcher Angriffe verwenden falsche Offsets in IP-Fragmenten, was zu falscher Speicherzuordnung, Pufferüberläufen und letztendlich zu Systemfehlern führt.

Gegenmaßnahmen: Um solche Angriffe zu erkennen, ist es erforderlich, die Zusammenstellung von Paketen im laufenden Betrieb durchzuführen und zu analysieren, was die Hardwareanforderungen erheblich erhöht.

Ping-Flooding-Angriff

Er erschien, weil das "Ping" -Programm, mit dem die Qualität der Leitung beurteilt werden soll, den Schlüssel zu "aggressiven" Tests besitzt. In diesem Modus werden Anforderungen so schnell wie möglich gesendet, und mit dem Programm können Sie bewerten, wie das Netzwerk bei maximaler Auslastung funktioniert. Für diesen Angriff muss ein Angreifer auf schnelle Kanäle im Internet zugreifen. Denken Sie daran, wie Ping funktioniert. Das Programm sendet ein ICMP-Paket vom Typ ECHO REQUEST, in dem die Uhrzeit und deren Kennung eingestellt sind. Der Kernel des empfangenden Rechners antwortet auf eine ähnliche Anfrage mit dem ICMP-ECHO-REPLY-Paket. Nach dem Empfang gibt Ping die Geschwindigkeit des Pakets an. In der Standardbetriebsart werden Pakete in bestimmten Intervallen praktisch ohne Belastung des Netzwerks gesendet. Im "aggressiven" Modus kann der ICMP-Echo-Anforderungs- / Antwortpaketstrom eine kleine Leitung überlasten und sie der Fähigkeit berauben, nützliche Informationen zu übertragen. Natürlich ist der Fall von Ping ein Sonderfall einer allgemeineren Situation im Zusammenhang mit einer Kanalüberlastung. Zum Beispiel kann ein Angreifer viele UDP-Pakete an den 19. Port des Opfers senden. Wenn er den allgemein anerkannten Regeln folgt, verfügt er über einen Zeichengenerator am 19. UDP-Port, der auf Pakete mit Zeilen von 80 Byte antwortet. Beachten Sie, dass ein Angreifer auch die Rücksprungadresse solcher Pakete fälschen kann, was die Erkennung erschwert. Nur die koordinierte Arbeit von Spezialisten auf Zwischenroutern hilft dabei, dies zu verfolgen, was fast unmöglich ist. Eine der Angriffsoptionen besteht darin, ICMP-Echoanforderungspakete mit der Quelladresse an das Opfer zu senden, um Adressen großer Netzwerke zu senden. Infolgedessen antwortet jede Maschine auf diese gefälschte Anfrage, und die sendende Maschine erhält mehr Antworten. Wenn Sie viele Broadcast-Echo-Anfragen im Namen des "Opfers" an die Broadcast-Adressen großer Netzwerke senden, kann dies zu einer starken Auslastung des Kanals "Opfer" führen. Anzeichen für eine Überflutung sind ein starker Anstieg der Netzwerk- (oder Kanal-) Auslastung und ein Anstieg der Anzahl spezifischer Pakete (wie ICMP). Zum Schutz wird empfohlen, Router zu konfigurieren, in denen derselbe ICMP-Verkehr gefiltert wird, der einen vordefinierten Wert (Pakete / Zeiteinheit) überschreitet. Beschränken Sie den Zugriff auf Ping, um sicherzustellen, dass Ihre Computer nicht als Quelle für Ping-Flut fungieren können.

PingOfDeath oder SSPing

Die Essenz lautet wie folgt: Ein stark fragmentiertes ICMP-Paket von großer Größe (64 KB) wird an den Computer des Opfers gesendet. Die Reaktion von Windows-Systemen, ein solches Paket zu erhalten, ist ein bedingungsloser Stillstand, einschließlich einer Maus und einer Tastatur. Das Angriffsprogramm ist im Netzwerk als Quelle in C und als ausführbare Datei für einige Unix-Versionen weit verbreitet. Es ist merkwürdig, dass im Gegensatz zu WinNuke nicht nur Windows-Computer Opfer eines solchen Angriffs werden können, sondern auch MacOS und einige Unix-Versionen. Die Vorteile dieser Angriffsmethode liegen darin, dass die Firewall normalerweise ICMP-Pakete weiterleitet. Wenn die Firewall so konfiguriert ist, dass sie die Adressen der Absender filtert, können Sie mithilfe einfacher Spoofing-Techniken auch eine solche Firewall täuschen. Der Nachteil von PingOfDeath ist, dass Sie für einen Angriff mehr als 64 KB über das Netzwerk senden müssen, was es im Allgemeinen für Sabotage in großem Maßstab ungeeignet macht.

UDP-Bombe

Das übertragene UDP-Paket enthält das falsche Dienstfeldformat. Einige ältere Versionen der Netzwerksoftware führen beim Empfang eines solchen Pakets zu einem Absturz.

SYN-Flutung

Das Fluten von SYN-Paketen ist der bekannteste Weg, einen Informationskanal zu "verstopfen". Erinnern Sie sich, wie TCP / IP bei eingehenden Verbindungen funktioniert. Das System beantwortet das eingehende C-SYN-Paket S-SYN / C-ACK-Paket, versetzt die Sitzung in den Status SYN_RECEIVED und stellt sie in die Warteschlange. Wenn die S-ACK nicht innerhalb der angegebenen Zeit vom Client empfangen wird, wird die Verbindung aus der Warteschlange entfernt, andernfalls wird die Verbindung in den Zustand ESTABLISHED versetzt. Stellen Sie sich den Fall vor, dass die Warteschlange der Eingabeverbindungen bereits voll ist und das System ein SYN-Paket empfängt, das Sie auffordert, eine Verbindung herzustellen. Per RFC wird es unbemerkt ignoriert. Das Fluten von SYN-Paketen basiert auf dem Überlauf der Serverwarteschlange. Danach reagiert der Server nicht mehr auf Benutzeranforderungen. Der bekannteste Angriff dieser Art ist der Angriff auf Panix, einen New Yorker Anbieter. Panix hat 2 Wochen nicht funktioniert. In verschiedenen Systemen wird die Arbeit mit der Warteschlange unterschiedlich implementiert. In BSD-Systemen hat jeder Port eine eigene Warteschlange mit 16 Elementen. In SunOS-Systemen gibt es dagegen keine solche Trennung, und das System verfügt lediglich über eine große gemeinsame Warteschlange. Um beispielsweise den WWW-Port auf dem BSD zu blockieren, sind dementsprechend 16 SYN-Pakete ausreichend, und für Solaris 2.5 ist ihre Anzahl viel größer. Nach einiger Zeit (abhängig von der Implementierung) entfernt das System Anforderungen aus der Warteschlange. Nichts hindert den Angreifer jedoch daran, einen neuen Stapel von Anforderungen zu senden. Selbst bei einer Verbindung mit 2400 Bit / s kann ein Angreifer alle 1,5 Minuten 20 bis 30 Pakete an den FreeBSD-Server senden, sodass dieser nicht mehr funktioniert (natürlich wurde dieser Fehler in den neuesten Versionen von FreeBSD behoben). Wie üblich kann ein Angreifer beim Generieren von Paketen zufällige zurückgegebene IP-Adressen ausnutzen, was es schwierig macht, seinen Datenverkehr zu erkennen und zu filtern. Die Erkennung ist einfach: Eine große Anzahl von Verbindungen befindet sich im Status SYN_RECEIVED. Versuche, eine Verbindung zu diesem Port herzustellen, werden ignoriert. Als Schutz können wir Patches empfehlen, die ein automatisches "Ausdünnen" der Warteschlange implementieren, beispielsweise basierend auf dem Early Random Drop-Algorithmus. Um herauszufinden, ob Ihr System gegen SYN-Überflutung geschützt ist, wenden Sie sich an Ihren Systemlieferanten. Eine weitere Schutzoption besteht darin, die Firewall so zu konfigurieren, dass alle eingehenden TCP / IP-Verbindungen hergestellt und erst dann innerhalb des Netzwerks auf den angegebenen Computer übertragen werden. Auf diese Weise können Sie das Syn-Flooding begrenzen und dürfen es nicht in das Netzwerk gelangen. Dieser Angriff bezieht sich auf Denial-of-Service-Angriffe, die dazu führen, dass keine Dienste bereitgestellt werden können. Der Angriff richtet sich in der Regel an einen bestimmten Dienst, z. B. Telnet oder FTP. Es besteht darin, Verbindungsaufbau-Pakete an den Port zu senden, der dem angegriffenen Dienst entspricht. Nach Erhalt der Anforderung weist das System Ressourcen für die neue Verbindung zu, und versucht anschließend, auf die Anforderung zu antworten ("SYN-ACK" senden), und zwar an eine Adresse, auf die nicht zugegriffen werden kann. Standardmäßig versuchen die NT-Versionen 3.5-4.0, die Bestätigung fünfmal zu wiederholen - nach 3, 6, 12, 24 und 48 Sekunden. Danach kann das System weitere 96 Sekunden auf eine Antwort warten. Erst danach werden die für die zukünftige Verbindung zugewiesenen Ressourcen freigegeben. Die Gesamtzeit für Ressourcen beträgt 189 Sekunden.

Benutzerdefinierte IP-gekapselte Protokolle

Das IP-Paket enthält ein Feld, das das Protokoll für das gekapselte Paket (TCP, UDP, ICMP) definiert. Angreifer können den nicht standardmäßigen Wert dieses Felds verwenden, um Daten zu übertragen, die nicht standardmäßig zur Steuerung des Informationsflusses aufgezeichnet werden.

TFTP verwenden

Dieses Protokoll enthält keine Authentifizierungsmechanismen, weshalb es für Angreifer attraktiv ist.

Schlumpfangriff

Der Schlumpfangriff umfasst das Senden von ICMP-Broadcast-Anforderungen an das Netzwerk im Namen des Computers des Opfers. Infolgedessen reagieren Computer, die solche Rundsendungspakete empfangen, auf den Computer des Opfers, was zu einer signifikanten Verringerung der Bandbreite des Kommunikationskanals und in einigen Fällen zu einer vollständigen Isolierung des angegriffenen Netzwerks führt. Der Schlumpfangriff ist außerordentlich wirksam und weit verbreitet. Gegenmaßnahme: Um diesen Angriff zu erkennen, ist es erforderlich, die Kanallast zu analysieren und die Gründe für die Verringerung des Durchsatzes zu ermitteln.

Land angreifen

Der Land-Angriff nutzt die Sicherheitslücken bei der Implementierung von TCP / IP-Stacks in einigen Betriebssystemen aus. Es besteht darin, ein TCP-Paket mit dem SYN-Flag zu übertragen, das auf den offenen Port des betroffenen Computers gesetzt ist, wobei die Quelladresse und der Port eines solchen Pakets der Adresse und dem Port des angegriffenen Computers entsprechen. Dies führt dazu, dass der Computer des Opfers versucht, eine Verbindung mit sich selbst herzustellen, wodurch die Prozessorlast stark zunimmt und ein „Einfrieren“ oder Neustart erfolgen kann. Dieser Angriff ist bei einigen Modellen von Cisco Systems-Routern sehr effektiv, und die erfolgreiche Anwendung eines Angriffs auf einen Router kann das gesamte Netzwerk der Organisation beschädigen. Gegenmaßnahme: Sie können sich vor diesem Angriff schützen, indem Sie beispielsweise einen Paketfilter zwischen dem internen Netzwerk und dem Internet installieren und eine Filterregel festlegen, um aus dem Internet kommende Pakete zu unterdrücken, jedoch mit den Quell-IP-Adressen der Computer im internen Netzwerk.

Einführung eines falschen Servers in das Internet durch die Erzeugung eines gezielten "Sturms" falscher DNS-Antworten auf den angegriffenen Host

Eine andere Ausführungsform eines an den DNS-Dienst gerichteten Fernangriffs basiert auf dem zweiten Typ eines typischen Fernangriffs "gefälschtes Flugzeugobjekt". In diesem Fall sendet der Angreifer im Namen des realen DNS-Servers ständig eine vorbereitete falsche DNS-Antwort an den angegriffenen Host, ohne eine DNS-Abfrage zu erhalten. Mit anderen Worten, der Angreifer erzeugt einen gerichteten „Sturm“ falscher DNS-Antworten im Internet. Dies ist möglich, da UDP normalerweise zur Übertragung der DNS-Abfrage verwendet wird, für die keine Tools zur Paketidentifizierung vorhanden sind. Das einzige Kriterium, das das Betriebssystem des Host-Netzwerks für die vom DNS-Server empfangene Antwort darstellt, ist zum einen, dass die IP-Adresse des Absenders der IP-Adresse des DNS-Servers entspricht, und zum anderen, dass der DNS-Name denselben Namen enthalten sollte. Wie bei der DNS-Abfrage sollte die DNS-Antwort drittens an denselben UDP-Port gerichtet sein, von dem aus die DNS-Abfrage gesendet wurde (in diesem Fall ist dies das erste Problem für den Angreifer), und viertens an DNS -antwort Das Feld für die Anforderungskennung im DNS-Header (ID) sollte denselben Wert enthalten wie in der übertragenen DNS-Abfrage (und dies ist das zweite Problem). In diesem Fall ist das Hauptproblem für den Angreifer die UDP-Portnummer, von der die Abfrage gesendet wurde, da er die DNS-Abfrage nicht abfangen kann. Die Portnummer des Absenders akzeptiert jedoch nur eine begrenzte Anzahl von Werten (1023?). Daher reicht es für einen Angreifer aus, einfach Gewalt anzuwenden und falsche Antworten an die entsprechende Liste von Ports zu senden. Auf den ersten Blick mag das zweite Problem die Doppelbyte-Kennung der DNS-Abfrage sein, in diesem Fall ist sie jedoch entweder gleich Eins oder hat einen Wert nahe Null (eine Abfrage - die ID wird um 1 erhöht). Um diesen Remote-Angriff auszuführen, muss der Angreifer daher den Host (A) auswählen, der ihn interessiert, und die Route, zu der Sie wechseln möchten, damit er über einen falschen Server - den Host des Angreifers - geleitet wird. Dies wird durch ständige Übermittlung (von einem "Sturm" geleitet) falscher DNS-Antworten an den angegriffenen Host im Namen des realen DNS-Servers an die entsprechenden UDP-Ports an den Angreifer erreicht. In diesen falschen DNS-Antworten wird die IP-Adresse des Angreifers als Host-IP-Adresse A angegeben. Als nächstes entwickelt sich der Angriff wie folgt. Sobald das Ziel des Angriffs (der angegriffene Host) namentlich an Host A adressiert ist, wird von diesem Host eine DNS-Anfrage an das Netzwerk gesendet, die der Angreifer niemals erhält, die jedoch nicht erforderlich ist, da der Host sofort ein ständig gesendetes Falsch empfängt Die DNS-Antwort, die vom Betriebssystem des angegriffenen Hosts als echte Antwort vom DNS-Server wahrgenommen wird. Der Angriff fand statt und nun überträgt der angegriffene Host alle für A bestimmten Pakete an die IP-Adresse des Hosts des Angreifers, der sie wiederum an A weiterleitet und auf die abgefangenen Informationen gemäß dem Schema "Distributed Distributed Aircraft False Structure" reagiert. Betrachten Sie das Funktionsdiagramm des vorgeschlagenen Remoteangriffs auf den DNS-Dienst: • ständige Übermittlung falscher DNS-Antworten an den angegriffenen Host an verschiedene UDP-Ports und möglicherweise mit unterschiedlichen IDs im Namen des realen DNS-Servers (von der IP-Adresse) mit dem Namen des betreffenden Hosts und dessen falscher IP-Adresse ist die IP-Adresse des falschen Servers - der Host des Angreifers; • Wenn Sie ein Paket vom Host empfangen, ändern Sie die IP-Adresse des Pakets im IP-Header des Pakets in die IP-Adresse des Angreifers und senden Sie das Paket an den Server (dh der falsche Server arbeitet in seinem Namen mit dem Server zusammen - von seiner IP-Adresse). • Wenn Sie ein Paket vom Server empfangen, ändern Sie die IP-Adresse des Pakets im IP-Header des Pakets in die IP-Adresse des falschen Servers und übertragen Sie das Paket zum Host (für den Host ist der falsche Server der echte Server). Die Implementierung dieses Remoteangriffs, der die Sicherheitslücken von DNS ausnutzt, ermöglicht es Ihnen, das Routing zwischen zwei bestimmten Objekten von einer beliebigen Stelle im Internet aus zu unterbrechen. Das heißt, dieser Remote-Angriff wird segmentübergreifend in Bezug auf das Ziel des Angriffs ausgeführt und bedroht die Sicherheit aller Internet-Hosts, die den normalen DNS-Dienst verwenden.

Einführen eines falschen Servers in das Internet durch Abfangen einer DNS-Abfrage oder Erzeugen eines gerichteten "Sturms" falscher DNS-Antworten auf den angegriffenen DNS-Server

Aus dem Remote-DNS-Suchschema folgt, dass, wenn der DNS-Server den in der Abfrage angegebenen Namen nicht in seiner Namensdatenbank gefunden hat, die Abfrage vom Server an einen der Stamm-DNS-Server gesendet wird, deren Adressen in der Einstellungsdatei des Servers root.cache enthalten sind . Das heißt, für den Fall, dass der DNS-Server keine Informationen über den angeforderten Host hat, leitet er die Anforderung weiter. Dies bedeutet, dass der DNS-Server jetzt selbst der Initiator der Remote-DNS-Suche ist. Daher hindert nichts den Angreifer mit den im vorherigen Absatz beschriebenen Methoden daran, seinen Angriff an den DNS-Server zu senden. Das heißt, das Ziel des Angriffs ist jetzt nicht der Host, sondern der DNS-Server und falsche DNS-Antworten werden vom Angreifer im Namen des Stamm-DNS-Servers an den angegriffenen DNS-Server gesendet. Es ist wichtig, die folgende Funktion des DNS-Servers zu berücksichtigen. Um den Betrieb zu beschleunigen, speichert jeder DNS-Server im Speicherbereich eine eigene Tabelle mit Hostnamen und IP-Adressen. In den Cache werden dynamisch ändernde Informationen zu den Namen und IP-Adressen von Hosts eingegeben, die während des Betriebs des DNS-Servers gefunden wurden. Das heißt, wenn der DNS-Server, der die Anfrage erhalten hat, den entsprechenden Eintrag in seiner Cache-Tabelle nicht findet, leitet er die Antwort an den nächsten Server weiter und speichert beim Empfang der Antwort die in der Cache-Tabelle gefundenen Informationen im Speicher. Wenn die nächste Anforderung eingeht, muss der DNS-Server daher keine Fernsuche mehr durchführen, da sich die erforderlichen Informationen bereits in seiner Cache-Tabelle befinden. Aus der Analyse des soeben im Detail beschriebenen Schemas der Remote-DNS-Suche geht hervor, dass der Angreifer eine falsche DNS-Antwort als Antwort auf eine Anforderung vom DNS-Server sendet (oder im Fall eines „Sturms“ falscher Antworten diese ständig überträgt). Dann wird ein entsprechender Eintrag mit falschen Informationen in der Cache-Tabelle des Servers angezeigt, und in Zukunft werden alle Hosts, die auf diesen DNS-Server zugreifen, falsch informiert. Wenn der Angreifer auf den Host zugreift, erfolgt die Kommunikation mit ihm über den Host des Angreifers nach den Schemata e "falsches Objekt der Sonne." Und im Laufe der Zeit werden diese falschen Informationen, die in den Cache des DNS-Servers gelangen, an benachbarte übergeordnete DNS-Server verteilt, und daher werden immer mehr Hosts im Internet falsch informiert und angegriffen. Wenn der Angreifer die DNS-Abfrage vom DNS-Server nicht abfangen kann, benötigt er offensichtlich einen „Sturm“ falscher DNS-Antworten, die an den DNS-Server gerichtet sind, um den Angriff durchzuführen. In diesem Fall tritt das folgende Hauptproblem auf, das sich vom Problem der Portauswahl bei einem auf den Host gerichteten Angriff unterscheidet. Wie bereits erwähnt, identifiziert der DNS-Server diese Anforderung durch Senden einer Anforderung an einen anderen DNS-Server mit einem Doppelbyte-Wert (ID). Dieser Wert wird bei jeder gesendeten Anfrage um eins erhöht. Der Angreifer kann den aktuellen Wert der DNS-Abfrage-ID nicht ermitteln. Daher ist es ziemlich schwierig, etwas anderes als die Aufzählung von 2 16 möglichen ID-Werten anzubieten. Das Problem der Port-Aufzählung verschwindet jedoch, da alle DNS-Abfragen vom DNS-Server an Port 53 übertragen werden. Das nächste Problem, das die Bedingung für diesen Remoteangriff auf den DNS-Server mit einem gerichteten "Sturm" falscher DNS-Antworten ist, besteht darin, dass der Angriff nur dann erfolgreich ist, wenn der DNS-Server eine Anforderung zur Suche nach einem bestimmten Namen sendet (der enthält) in einer falschen DNS-Antwort). Der DNS-Server sendet diese Anforderung, die für den Angreifer so notwendig und wünschenswert ist, wenn er von einem Host eine DNS-Anforderung zur Suche nach diesem Namen erhält und dieser Name nicht in der Cache-Tabelle des DNS-Servers angezeigt wird. Grundsätzlich kann diese Aufforderung jederzeit erfolgen, und der Angreifer muss möglicherweise so lange wie gewünscht auf die Ergebnisse des Angriffs warten. Nichts hindert den Angreifer jedoch daran, darauf zu warten, dass jemand eine ähnliche DNS-Abfrage an den angegriffenen DNS-Server sendet und den DNS-Server dazu veranlasst, nach dem in der Abfrage angegebenen Namen zu suchen. Dann wird dieser Angriff wahrscheinlich fast unmittelbar nach dem Beginn seiner Implementierung erfolgreich sein.

Einführung eines falschen DNS-Servers im Internet durch Abfangen einer DNS-Abfrage

In diesem Fall handelt es sich um einen Remoteangriff, der auf einem typischen Remoteangriff basiert, der mit dem Warten auf eine DNS-Suche verbunden ist. Bevor Sie sich mit dem Algorithmus für den Angriff auf den DNS-Dienst befassen, müssen Sie die folgenden Feinheiten bei der Arbeit dieses Dienstes berücksichtigen. Erstens arbeitet der DNS-Dienst standardmäßig auf der Basis des UDP-Protokolls (obwohl das TCP-Protokoll verwendet werden kann), was die Sicherheit natürlich beeinträchtigt, da das UDP-Protokoll im Gegensatz zu TCP keine Möglichkeit zur Identifizierung von Nachrichten bietet. Um von UDP zu TCP zu wechseln, muss der DNS-Serveradministrator die Dokumentation gründlich lesen. Darüber hinaus wird dieser Übergang das System etwas verlangsamen, da zum einen bei Verwendung von TCP eine virtuelle Verbindung erforderlich ist und zum anderen die endgültigen Netzwerkbetriebssysteme zuerst eine DNS-Abfrage über das UDP-Protokoll senden und wenn es zu ihnen kommt eine spezielle Antwort vom DNS-Server, dann sendet das Netzwerk-Betriebssystem eine DNS-Abfrage über TCP. Zweitens ist die nächste Feinfühligkeit, auf die Sie achten müssen, dass der Wert des Felds "Absender-Port" im UDP-Paket zuerst den Wert 1023 (?) Annimmt und dann mit jeder übertragenen DNS-Abfrage zunimmt. Drittens verhält sich der Wert des Bezeichners (ID) der DNS-Abfrage wie folgt. Wenn eine DNS-Abfrage vom Host gesendet wird, hängt ihr Wert von der jeweiligen Netzwerkanwendung ab, die die DNS-Abfrage generiert. Die Experimente des Autors haben gezeigt, dass beim Übertragen einer Anforderung von der Shell der Shell der Betriebssysteme Linux und Windows '95 (z. B. ftp nic.funet.fi) dieser Wert immer gleich eins ist. Für den Fall, dass eine DNS-Abfrage von Netscape Navigator gesendet wird, erhöht der Browser diesen Wert bei jeder neuen Abfrage um eins. Für den Fall, dass die Anfrage direkt vom DNS-Server gesendet wird, erhöht der Server diesen Identifizierungswert bei jeder neu gesendeten Anfrage um eins. All diese Feinheiten spielen im Falle eines Angriffs eine Rolle, ohne eine DNS-Abfrage abzufangen. Um einen Angriff durch Abfangen einer DNS-Abfrage zu implementieren, muss der Angreifer die DNS-Abfrage abfangen, daraus die UDP-Portnummer des Abfragesenders, den Doppelbyte-Wert der ID der DNS-Abfragekennung und den zu durchsuchenden Namen extrahieren und anschließend eine falsche DNS-Antwort an die DNS-Abfrage senden UDP-Port, an dem die echte IP-Adresse des falschen DNS-Servers als zu durchsuchende IP-Adresse angegeben wird. Dies ermöglicht es in Zukunft, den Verkehr zwischen dem "getäuschten" Host und dem Server gemäß dem Schema "RVS False Object" vollständig abzufangen und aktiv zu beeinflussen. Stellen Sie sich ein allgemeines Schema eines falschen DNS-Servers vor: • Warten auf eine DNS-Abfrage; • eine DNS-Anfrage erhalten, die erforderlichen Informationen daraus extrahiert und im Namen des realen DNS-Servers (anhand der IP-Adresse) eine falsche DNS-Antwort über das Netzwerk an den anfragenden Host gesendet hat, die die IP-Adresse des falschen DNS-Servers angibt; • Wenn Sie ein Paket vom Host empfangen, ändern Sie die IP-Adresse des Pakets im IP-Header des Pakets in die IP-Adresse des falschen DNS-Servers und senden Sie das Paket an den Server (dh, der falsche DNS-Server arbeitet in seinem Namen mit dem Server zusammen). • Wenn Sie ein Paket vom Server empfangen, ändern Sie die IP-Adresse des Pakets im IP-Header des Pakets in die IP-Adresse des falschen DNS-Servers und übertragen Sie das Paket zum Host (für den Host ist der falsche DNS-Server der echte Server). Voraussetzung für die Implementierung dieser Angriffsoption ist das Abfangen einer DNS-Abfrage. Dies ist nur möglich, wenn sich der Angreifer entweder auf dem Hauptverkehrspfad oder in einem Segment eines realen DNS-Servers befindet. Das Erfüllen einer dieser Bedingungen für den Standort des Angreifers im Netzwerk erschwert die praktische Implementierung eines solchen Remoteangriffs (es ist sehr wahrscheinlich, dass der Angreifer nicht in das Segment des DNS-Servers und darüber hinaus nicht in den Kommunikationskanal zwischen den Segmenten gelangen kann). Wenn diese Bedingungen jedoch erfüllt sind, ist es möglich, einen intersegmentären Fernangriff auf das Internet durchzuführen. Beachten Sie, dass die praktische Implementierung dieses Remote-Angriffs eine Reihe interessanter Merkmale im Betrieb des FTP-Protokolls und im Mechanismus zur Identifizierung von TCP-Paketen enthüllte. Wenn der FTP-Client auf dem Host über einen falschen DNS-Server mit dem Remote-FTP-Server verbunden ist, stellt sich heraus, dass der FTP-Client jedes Mal, wenn der Benutzer einen FTP-Anwendungsbefehl ausgibt (z. B. ls, get, put usw.) Ich habe den PORT-Befehl entwickelt, der darin bestand, die Portnummer und die IP-Adresse des Client-Hosts im Feld "TCP-Paketdaten" auf den FTP-Server zu übertragen (es ist schwer, eine spezielle Bedeutung zu finden - warum sollte die IP-Adresse des Clients jedes Mal auf den FTP-Server übertragen werden). Dies führte dazu, dass, wenn Sie die übertragene IP-Adresse im Datenfeld des TCP-Pakets auf dem falschen DNS-Server nicht ändern und dieses Paket auf die übliche Weise an den FTP-Server übertragen, das nächste Paket vom FTP-Server an den Host des FTP-Clients übertragen wird. Das Umgehen des falschen DNS-Servers und, was am interessantesten ist, dieses Paket werden als normales Paket wahrgenommen, und in Zukunft wird der falsche DNS-Server die Kontrolle über den Verkehr zwischen dem FTP-Server und dem FTP-Client verlieren! Dies liegt daran, dass ein regulärer FTP-Server keine zusätzliche Identifikation eines FTP-Clients bereitstellt, sondern alle Probleme der Paketidentifikation und -verbindung auf eine niedrigere Ebene - die TCP-Ebene - überträgt.

DNS-Flooding-Angriff

DNS-Flooding ist ein Angriff auf Internet-Nameserver. Es besteht in der Übertragung einer großen Anzahl von DNS-Abfragen und führt dazu, dass Benutzer nicht auf den Namensdienst zugreifen können und somit die Arbeitsunfähigkeit normaler Benutzer gewährleistet ist. Gegenmaßnahme: Um diesen Angriff zu identifizieren, müssen Sie die Auslastung des DNS-Servers analysieren und die Ursachen für Abfragen ermitteln.

Spoofing von DNS-Angriffen

Das Ergebnis dieses Angriffs ist die Einführung einer auferlegten Korrespondenz zwischen der IP-Adresse und dem Domänennamen im DNS-Server-Cache. Infolge des Erfolgs eines solchen Angriffs erhalten alle Benutzer des Nord-DNS falsche Informationen über Domänennamen und IP-Adressen. Dieser Angriff ist durch eine große Anzahl von DNS-Paketen mit demselben Domainnamen gekennzeichnet. Dies liegt an der Notwendigkeit, einige Parameter des DNS-Austauschs auszuwählen. Gegenmaßnahme: Um einen solchen Angriff zu erkennen, muss der Inhalt des DNS-Verkehrs analysiert werden.

IP-Spoofing-Angriff (Syslog)

Eine große Anzahl von Angriffen auf das Internet ist mit dem Ersetzen der Quell-IP-Adresse verbunden. Syslog-Spoofing bezieht sich auch auf solche Angriffe, bei denen eine Nachricht an einen Computer des Opfers im Namen eines anderen Computers im internen Netzwerk gesendet wird. Da das Syslog-Protokoll zum Verwalten von Systemprotokollen verwendet wird, können durch die Übertragung falscher Nachrichten an den Computer des Opfers Informationen auferlegt oder Spuren von nicht autorisiertem Zugriff ersetzt werden. Gegenmaßnahmen: Das Erkennen von Angriffen im Zusammenhang mit dem Ersetzen von IP-Adressen ist möglich, wenn der Empfang eines Pakets mit der Quelladresse derselben Schnittstelle auf einer der Schnittstellen gesteuert oder der Empfang von Paketen auf der externen Schnittstelle mit IP-Adressen des internen Netzwerks überwacht wird.

Imposante Pakete

Ein Angreifer sendet Pakete mit einer falschen Absenderadresse an das Netzwerk. Mit diesem Angriff kann ein Angreifer Verbindungen zwischen anderen Computern zu seinem Computer wechseln. In diesem Fall entsprechen die Zugriffsrechte des Angreifers den Rechten des Benutzers, dessen Verbindung zum Server auf den Computer des Angreifers umgeschaltet wurde.

Sniffing - Abhören des Kanals (nur im lokalen Netzwerksegment möglich)

Fast alle Netzwerkkarten unterstützen die Fähigkeit, Pakete abzufangen, die über einen gemeinsamen Kanal in einem lokalen Netzwerk übertragen werden. In diesem Fall kann die Workstation Pakete empfangen, die an andere Computer desselben Netzwerksegments gerichtet sind. Somit steht einem Angreifer der gesamte Informationsaustausch in einem Netzwerksegment zur Verfügung. Damit dieser Angriff erfolgreich ausgeführt werden kann, muss sich der Computer des Angreifers im selben Segment des lokalen Netzwerks befinden wie der angegriffene Computer.

Paketerfassung auf dem Router

Die Netzwerksoftware des Routers hat Zugriff auf alle über diesen Router übertragenen Netzwerkpakete, wodurch die Paketerfassung ermöglicht wird. Um diesen Angriff ausführen zu können, muss ein Angreifer über privilegierten Zugriff auf mindestens einen Netzwerkrouter verfügen. Da viele Pakete normalerweise über einen Router übertragen werden, ist deren vollständiges Abfangen fast unmöglich. Einzelne Pakete können jedoch durchaus abgefangen und für die nachfolgende Analyse durch einen Angreifer gespeichert werden. Das effektivste Abfangen von FTP-Paketen, die Benutzerkennwörter sowie E-Mails enthalten.

Auferlegen einer falschen Route zu einem Host mithilfe von ICMP

Im Internet gibt es ICMP (Internet Control Message Protocol). Eine der Funktionen besteht darin, die Hosts über die Änderung des aktuellen Routers zu informieren. Diese Steuernachricht wird als Umleitung bezeichnet. Es besteht die Möglichkeit, von jedem Host im Netzwerksegment eine falsche Umleitungsnachricht im Namen des Routers an den angegriffenen Host zu senden. Infolgedessen ändert der Host die aktuelle Routingtabelle und anschließend wird der gesamte Netzwerkverkehr dieses Hosts durchlaufen, z. B. den Host, der die falsche Umleitungsnachricht gesendet hat. Somit ist es möglich, eine falsche Route innerhalb eines einzelnen Segments des Internets aktiv aufzuerlegen.

Winnuke

Der Standard ermöglicht neben den üblichen Daten, die über eine TCP-Verbindung gesendet werden, auch die Übertragung dringender Daten (Out-of-Band). In Bezug auf TCP-Paketformate wird dies in einen dringenden Zeiger ungleich Null übersetzt. Die meisten Windows-PCs verfügen über ein NetBIOS-Netzwerkprotokoll, das drei IP-Ports für seine Anforderungen verwendet: 137, 138, 139. Wenn Sie an 139 Ports eine Verbindung zu einem Windows-Computer herstellen und dort einige Bytes OutOfBand-Daten senden, erfolgt die NetBIOS-Implementierung Wenn Sie nicht wissen, was Sie mit diesen Daten tun sollen, wird die Maschine einfach angehalten oder neu geladen. Unter Windows 95 sieht dies normalerweise wie ein blauer Textbildschirm aus, der einen Fehler im TCP / IP-Treiber und die Unfähigkeit meldet, mit dem Netzwerk zu arbeiten, bis das Betriebssystem neu gestartet wird. NT 4.0 ohne Service Packs wird neu gestartet, NT 4.0 mit einem zweiten Service Pack fällt in den Bluescreen. Ein ähnliches Senden von Daten an 135 und einige andere Ports führt zu einer erheblichen Belastung des RPCSS.EXE-Prozessors. Auf NTWS führt dies zu einer deutlichen Verlangsamung, NTS ist praktisch eingefroren.

Falscher ARP-Server

Im Internet hat jeder Host eine eindeutige IP-Adresse, die alle Nachrichten vom globalen Netzwerk empfängt. IP ist jedoch weniger ein Netzwerkprotokoll als ein Netzwerkaustauschprotokoll für die Kommunikation zwischen Objekten in einem globalen Netzwerk. Auf der Verbindungsschicht werden Pakete an die Hardwareadressen der Netzwerkkarten adressiert. Das Internet verwendet ARP (Address Resolution Protocol) für eine Eins-zu-Eins-Korrespondenz zwischen IP- und Ethernet-Adressen. Anfänglich verfügt ein Host möglicherweise nicht über Informationen zu den Ethernet-Adressen anderer Hosts, die sich im selben Segment befinden, einschließlich der Ethernet-Adresse des Routers. Dementsprechend sendet der Host beim ersten Zugriff auf Netzwerkressourcen eine Broadcast-ARP-Anfrage, die von allen Stationen in diesem Netzwerksegment empfangen wird. Nach dem Empfang dieser Anforderung sendet der Router eine ARP-Antwort an den anfordernden Host, in der er seine Ethernet-Adresse meldet. Mit diesem Arbeitsschema kann ein Angreifer eine falsche ARP-Antwort senden, in der er sich als gewünschter Host (z. B. Router) deklariert und in Zukunft den gesamten Netzwerkverkehr des "betrogenen" Hosts aktiv überwacht.

Vorhersage der TCP-Sequenznummer (IP-Spoofing)

In diesem Fall besteht das Ziel des Angreifers darin, sich als ein anderes System auszugeben, dem das Opfersystem beispielsweise „vertraut“. Die Methode wird auch für andere Zwecke verwendet, z. B. um das SMTP des Opfers zum Versenden gefälschter E-Mails zu verwenden. Eine TCP-Verbindung wird in drei Schritten hergestellt: Der Client wählt die Sequenznummer aus und übergibt sie an den Server (nennen wir sie C-SYN). Als Antwort darauf sendet der Server ein Datenpaket mit Bestätigung (C-ACK) und der eigenen Sequenznummer (S-SYN) des Servers an den Client ) Nun muss der Client eine Bestätigung senden (S-ACK). Danach gilt die Verbindung als hergestellt und der Datenaustausch beginnt. Gleichzeitig enthält jedes Paket ein Feld für die Sequenznummer und die Bestätigungsnummer im Header. Diese Zahlen nehmen während des Datenaustauschs zu und ermöglichen es Ihnen, die Richtigkeit der Übertragung zu kontrollieren. Angenommen, ein Angreifer kann vorhersagen, welche Sequenznummer (S-SYN gemäß Schema) vom Server gesendet wird. Dies kann basierend auf der Kenntnis einer bestimmten TCP / IP-Implementierung erfolgen. In 4.3BSD beispielsweise erhöht sich der Wert der Sequenznummer, die beim Festlegen des nächsten Werts verwendet wird, jede Sekunde um 125000. Durch das Senden eines Pakets an den Server erhält der Angreifer eine Antwort und kann diese (mit wenigen Versuchen und angepasst an die Verbindungsgeschwindigkeit) vorhersagen Sequenznummer für die nächste Verbindung. Wenn die TCP / IP-Implementierung zur Ermittlung der Sequenznummer einen speziellen Algorithmus verwendet, kann dieser ermittelt werden, indem mehrere Dutzend Pakete an den Server gesendet und deren Antworten analysiert werden. Nehmen wir also an, dass System A System B vertraut, sodass der Benutzer von System B "rlogin A" ausführen und auf A landen kann, ohne ein Kennwort einzugeben. Angenommen, der Angreifer befindet sich auf System C. System A fungiert als Server, System B und C als Clients. Die erste Aufgabe des Angreifers besteht darin, System B in einen Zustand zu versetzen, in dem es nicht auf Netzwerkanforderungen reagieren kann. Dies kann auf verschiedene Arten erfolgen. Im einfachsten Fall müssen Sie nur warten, bis System B neu gestartet wurde. Ein paar Minuten, in denen es nicht funktioniert, sollten ausreichen. Danach kann der Angreifer versuchen, sich als System B auszugeben, um (zumindest für kurze Zeit) Zugriff auf System A zu erhalten. Der Angreifer sendet mehrere IP-Pakete, die die Verbindung zu System A initiieren, um den aktuellen Status der Sequenznummer des Servers zu ermitteln. Der Angreifer sendet ein IP-Paket, in dem die Adresse von System B bereits als Rücksprungadresse angegeben ist. System A antwortet mit einem Sequenznummernpaket, das an System B gesendet wird. System B wird es jedoch niemals empfangen (es ist deaktiviert), da es sich übrigens um einen Angreifer handelt. Auf der Grundlage einer früheren Analyse schätzt er jedoch, welche Sequenznummer an System B gesendet wurde. Der Angreifer bestätigt den „Empfang“ des Pakets von A, indem er ein Paket mit dem angeblichen S-ACK im Namen von B sendet (beachten Sie, dass der Angreifer die Sequenz bestimmen muss, wenn sich die Systeme in einem Segment befinden Anzahl reicht aus, um das von System A) gesendete Paket abzufangen. Wenn der Angreifer Glück hatte und die Server-Sequenznummer korrekt erraten wurde, wird die Verbindung als hergestellt betrachtet. Jetzt kann der Angreifer ein weiteres gefälschtes IP-Paket senden, das bereits Daten enthält. Wenn der Angriff beispielsweise auf rsh gerichtet war, kann er Befehle zum Erstellen einer .rhosts-Datei oder zum Senden von / etc / passwd per E-Mail an einen Angreifer enthalten. Gegenmaßnahme: Pakete mit internen Adressen, die von außen kommen, dienen als einfachstes IP-Spoofing-Signal. Die Router-Software kann den Administrator benachrichtigen. Schmeicheln Sie sich jedoch nicht - ein Angriff kann auch von Ihrem Netzwerk aus erfolgen. Bei Verwendung intelligenterer Mittel zur Überwachung des Netzwerks kann der Administrator (im automatischen Modus) Pakete von Systemen überwachen, auf die nicht zugegriffen werden kann. Was hindert einen Angreifer jedoch daran, den Betrieb von System B als Antwort auf ICMP-Pakete zu simulieren? Welche Methoden zum Schutz vor IP-Spoofing gibt es? Erstens ist es möglich, die Sequenznummer (ein Schlüsselelement des Angriffs) zu erschweren oder unmöglich zu machen. Beispielsweise können Sie die Änderungsrate der Sequenznummer auf dem Server erhöhen oder den Erhöhungskoeffizienten der Sequenznummer zufällig auswählen (vorzugsweise unter Verwendung eines kryptografisch robusten Algorithmus zum Generieren von Zufallszahlen). Wenn das Netzwerk eine Firewall (oder einen anderen Filter von IP-Paketen) verwendet, sollten Sie Regeln hinzufügen, nach denen alle Pakete, die von außen ankommen und Rücksendeadressen aus unserem Adressraum haben, nicht im Netzwerk zugelassen werden dürfen. Darüber hinaus sollte das Vertrauen der Maschinen ineinander minimiert werden. Idealerweise sollte es keine Möglichkeit geben, direkt zu einem benachbarten Netzwerkcomputer zu gelangen, indem Sie Superuser-Rechte für einen dieser Computer erwerben. Dies erspart Ihnen natürlich nicht die Nutzung von Diensten, für die keine Autorisierung erforderlich ist, z. B. IRC (ein Angreifer kann sich als willkürlicher Internetcomputer ausgeben und eine Reihe von Befehlen senden, um in den IRC-Kanal zu gelangen, willkürliche Nachrichten auszugeben usw.). Die Verschlüsselung des TCP / IP-Streams löst das IP-Spoofing-Problem im Allgemeinen (sofern kryptografisch starke Algorithmen verwendet werden). Um die Anzahl solcher Angriffe zu verringern, wird außerdem empfohlen, eine Firewall zu konfigurieren, die Pakete filtert, die von unserem Netzwerk nach außen gesendet werden, aber Adressen haben, die nicht zu unserem Adressraum gehören.

Lokaler Sturm

Lassen Sie uns einen kleinen Exkurs zur Implementierung von TCP / IP machen und "lokale Stürme" am Beispiel des UDP-Sturms betrachten. In der Regel unterstützen Systeme standardmäßig den Betrieb von UDP-Ports wie 7 ("Echo", das empfangene Paket wird zurückgesendet), 19 ("Zeichengenerator", eine Zeichengenerator-Zeichenfolge wird als Antwort auf das empfangene Paket an den Absender gesendet) und andere (Datum usw.). In diesem Fall kann der Angreifer ein einzelnes UDP-Paket senden, wobei 7 als Quellport und 19 als Empfänger angegeben wird und beispielsweise zwei Computer in Ihrem Netzwerk (oder sogar 127.0) als Empfänger- und Absenderadresse angegeben werden. 0,1). Nachdem das Paket empfangen wurde, antwortet der 19. Port mit einer Leitung, die zu Port 7 führt. Der siebte Port dupliziert es und sendet es erneut an 19 .. und so weiter bis ins Unendliche. Ein endloser Zyklus verschlingt die Ressourcen von Maschinen und fügt dem Kanal eine bedeutungslose Last hinzu. Natürlich hört der Sturm mit dem ersten verlorenen UDP-Paket auf. Противодействие: в качестве защиты стоит еще раз порекомендовать не пропускать в сети пакеты с внутренними адресами, но пришедшие извне. Также рекомендуется закрыть на firewall использование большинства сервисов.

IP Hijacking

Метод является комбинацией 'подслушивания' и IP-spoofing'а. Необходимые условия - злоумышленник должен иметь доступ к машине, находящейся на пути сетевого потока и обладать достаточными правами на ней для генерации и перехвата IP-пакетов. Напомним, что при передаче данных постоянно используются sequence number и acknowledge number (оба поля находятся в IP-заголовке). Исходя из их значения, сервер и клиент проверяют корректность передачи пакетов. Существует возможность ввести соединение в "десинхронизированное состояние", когда присылаемые сервером sequence number и acknowledge number не будут совпадать с ожидаемым значениеми клиента, и наоборот. В данном случае злоумышленник, "прослушивая" линию, может взять на себя функции посредника, генерируя корректные пакеты для клиента и сервера и перехватывая их ответы. Метод позволяет полностью обойти такие системы защиты, как, например, одноразовые пароли, поскольку злоумышленник начинает работу уже после того, как произойдет авторизация пользователя. Есть два способа рассинхронизировать соединение. • Ранняя десинхронизация. Соединение десинхронизируется на стадии его установки. Злоумышленник прослушивает сегмент сети, по которому будут проходить пакеты интересующей его сессии. Дождавшись пакета S-SYN от сервера, злоумышленник высылает серверу пакет типа RST (сброс), конечно, с корректным sequence number, и, немедленно, вслед за ним фальшивый C-SYN-пакет от имени клиента Сервер сбрасывает первую сессию и открывает новую, на том же порту, но уже с новым sequence number, после чего посылает клиенту новый S-SYN-пакет. Клиент игнорирует S-SYN-пакет, однако злоумышленник, прослушивающий линию, высылает серверу S-ACK-пакет от имени клиента. Итак, клиент и сервер находятся в состоянии ESTABLISHED, однако сессия десинхронизирована. Естественно, 100% срабатывания у этой схемы нет, например, она не застрахована от того, что по дороге не потеряются какие-то пакеты, посланные злоумышленником. Для корректной обработки этих ситуаций программа должна быть усложнена. • Десинхронизация нулевыми данными. В данном случае злоумышленник прослушивает сессию и в какой-то момент посылает серверу пакет с "нулевыми" данными, т.е. такими, которые фактически будут проигнорированы на уровне прикладной программы и не видны клиенту (например, для telnet это может быть данные типа IAC NOP IAC NOP IAC NOP...). Аналогичный пакет посылается клиенту. Очевидно, что после этого сессия переходит в десинхронизированное состояние. ACK-буря Одна из проблем IP Hijacking заключается в том, что любой пакет, высланный в момент, когда сессия находится в десинхронизированном состоянии вызывает так называемый ACK-бурю. Например, пакет выслан сервером, и для клиента он является неприемлимым, поэтому тот отвечает ACK-пакетом. В ответ на этот неприемлимый уже для сервера пакет клиент вновь получает ответ. И так до бесконечности. К счастью современные сети строятся по технологиям, когда допускается потеря отдельных пакетов. Поскольку ACK-пакеты не несут данных, повторных передачи не происходит и "буря стихает". Как показали опыты, чем сильнее ACK-буря, тем быстрее она "утихомиривает" себя - на 10MB ethernet это происходит за доли секунды. На ненадежных соединениях типа SLIP - ненамного больше. Детектирование и защита Есть несколько путей. Например, можно реализовать TCP/IP-стек, который будут контролировать переход в десинхронизированное состояние, обмениваясь информацией о sequence number/acknowledge number. Однако в данном случае мы не застрахованы от злоумышленника, меняющего и эти значения. Поэтому более надежным способом является анализ загруженности сети, отслеживание возникающих ACK-бурь. Это можно реализовать при помощи конкретных средств контроля за сетью. Если злоумышленник не потрудиться поддерживать десинхронизированное соединение до его закрытия или не станет фильтровать вывод своих команд, это также будет сразу замечено пользователем. К сожалению, подавляющее большинство просто откруют новую сессию, не обращаясь к администратору. Стопроцентную защиту от данной атаки обеспечивает, как всегда, шифрование TCP/IP-трафика (на уровне приложений - secure shell) или на уровн протокола - IPsec). Это исключает возможность модификации сетевого потока. Для защиты почтовых сообщений может применяться PGP. Следует заметить, что метод также не срабатывает на некоторых конкретных реализациях TCP/IP. Так, несмотря на [rfc...], который требует молчаливого закрытия сесии в ответ на RST-пакет, некоторые системы генерируют встречный RST-пакет. Это делает невозможным раннюю десинхронизацию.

Обнаружение атак и защита от них

• Для обнаружения атак можно анализировать широковещательную активность - это пакеты UDP, NBF, SAP. • Для защиты внутренней сети, подключенной к Internet'у, не стоит пропускать из внешней сети входящие пакеты, источником в которых стоит внутренний сетевой адрес. Можно разрешить проходить пакетам только на порт 80. • Ставьте фильтрацию пакетов, если необходимо (не стоит пренебрегать даже
Control Panel\Network\Protocols\Properties\Advanced в Windows NT).

Методы сканирования

ARP verwenden

Diese Art von Anforderung kann von Cyberkriminellen verwendet werden, um funktionierende Systeme in lokalen Netzwerksegmenten zu bestimmen.

Netzwerkscan mit DNS

Es ist bekannt, dass Angreifer vor Beginn eines Angriffs Ziele identifizieren, d.h. Identifizierung von Computern, die Opfer des Angriffs werden, sowie von Computern, die den Informationsaustausch mit den Opfern durchführen. Eine Möglichkeit, Ziele zu identifizieren, besteht darin, den Nameserver abzufragen und alle verfügbaren Domäneninformationen von ihm abzurufen. Gegenmaßnahme: Um einen solchen Scan zu ermitteln, müssen DNS-Abfragen (Adresse im Namen) analysiert werden, die möglicherweise von verschiedenen DNS-Servern stammen, jedoch für einen bestimmten, festgelegten Zeitraum. In diesem Fall müssen Sie überprüfen, welche Informationen in ihnen übertragen werden, und die Aufzählung der Adressen verfolgen.

UDP-Bombe

Ping Sweep Netzwerk Scan

Ping-Sweep oder Zielerkennung mit ICMP ist eine effektive Methode.

Gegenmaßnahme: Um die Ping-Prüfung von Zielen im Subnetz zu ermitteln, müssen die Quell- und Zieladressen von ICMP-Paketen analysiert werden.

TCP-Port-Scan

Port-Scanning ist eine bekannte Methode zum Erkennen von Computerkonfigurationen und verfügbaren Diensten. Es gibt verschiedene TCP-Scan-Methoden, von denen einige als Stealth bezeichnet werden, da sie die Sicherheitslücken der TCP / IP-Stack-Implementierungen in den meisten modernen Betriebssystemen ausnutzen und nicht mit Standardmitteln erkannt werden. Gegenmaßnahmen: Gegenmaßnahmen können zum Beispiel durchgeführt werden, indem TCP-Pakete mit dem für den gescannten Computer gesetzten RST-Flag an den Computer des Angreifers übertragen werden.

UDP-Ports scannen

Eine andere Art des Port-Scans basiert auf der Verwendung des UDP-Protokolls und besteht aus Folgendem: Ein an den Port gerichtetes UDP-Paket wird an den gescannten Computer übertragen und auf Verfügbarkeit überprüft. Wenn der Port nicht verfügbar ist, wird eine ICMP-Ziel-Nicht-Erreichbarkeitsnachricht zurückgegeben, andernfalls erfolgt keine Antwort. Diese Art von Scan ist sehr effektiv. Damit können Sie in kurzer Zeit alle Ports auf dem Computer des Opfers scannen. Gegenmaßnahmen: Sie können dieser Art des Scannens entgegenwirken, indem Sie Nachrichten über die Unzugänglichkeit des Ports an den Computer des Angreifers senden.

Stealth-Scan

Die Methode basiert auf falschem Netzwerkcode. Sie können daher nicht sicher sein, ob sie in einer bestimmten Situation ordnungsgemäß funktioniert. Es werden TCP-Pakete mit gesetzten ACK- und FIN-Flags verwendet. Sie müssen verwendet werden, weil Wenn ein solches Paket mit einer offenen Verbindung an den Port gesendet wird, kehrt das Paket mit dem RST-Flag immer zurück. Es gibt mehrere Methoden, die dieses Prinzip verwenden: • Senden Sie ein FIN-Paket. Wenn der empfangende Host RST zurückgibt, ist der Port inaktiv. Wenn RST nicht zurückgegeben wird, ist der Port aktiv. Diese Methode funktioniert auf den meisten Betriebssystemen. • Senden Sie ein ACK-Paket. Wenn die TTL der zurückgegebenen Pakete geringer als die der übrigen empfangenen RST-Pakete ist oder wenn die Fenstergröße größer als Null ist, ist der Port höchstwahrscheinlich aktiv.

Passiver Scan

Das Scannen wird häufig von Cyberkriminellen verwendet, um herauszufinden, an welchen TCP-Ports die Dämonen arbeiten, die auf Anforderungen aus dem Netzwerk antworten. Ein reguläres Scannerprogramm öffnet nacheinander Verbindungen zu verschiedenen Ports. Wenn die Verbindung hergestellt ist, setzt das Programm sie zurück und teilt dem Angreifer die Portnummer mit. Diese Methode lässt sich leicht anhand der Meldungen von Dämonen erkennen, die von der sofort nach der Installation unterbrochenen Verbindung oder mithilfe spezieller Programme überrascht werden. Die besten dieser Programme versuchen, künstliche Elemente in die Nachverfolgung von Verbindungsversuchen mit verschiedenen Ports einzufügen. Ein Angreifer kann jedoch eine andere Methode verwenden - das passive Scannen (der englische Begriff ist "passiver Scan"). Bei der Verwendung sendet ein Angreifer ein TCP / IP-SYN-Paket an alle Ports in einer Reihe (oder nach einem bestimmten Algorithmus). Bei TCP-Ports, die Verbindungen von außerhalb akzeptieren, wird ein SYN / ACK-Paket als Einladung zur Fortsetzung des 3-Wege-Handshakes zurückgegeben. Der Rest gibt RST-Pakete zurück. Nach der Analyse der Antwortdaten kann ein Angreifer schnell erkennen, auf welchen Ports das Programm ausgeführt wird. In Reaktion auf SYN / ACK-Pakete kann es auch mit RST-Paketen antworten, was darauf hinweist, dass der Verbindungsaufbau nicht fortgesetzt wird (im Allgemeinen antwortet die TCP / IP-Implementierung des Angreifers automatisch mit RST-Paketen, wenn er keine besonderen Maßnahmen ergreift). Die Methode wird von den vorherigen Methoden nicht erkannt, da keine echte TCP / IP-Verbindung hergestellt wird. Sie können jedoch (abhängig vom Verhalten des Angreifers) die stark erhöhte Anzahl von Sitzungen im Status SYN_RECEIVED überwachen. (unter der Annahme, dass der Angreifer keine RST-Antwort sendet) den Empfang des RST-Pakets vom Client als Antwort auf das SYN / ACK. Leider ist es bei einem hinreichend intelligenten Verhalten des Angreifers (z. B. Scannen mit niedriger Geschwindigkeit oder Überprüfen nur bestimmter Ports) nicht möglich, ein passives Scannen zu erkennen, da es sich nicht von normalen Versuchen unterscheidet, eine Verbindung herzustellen. Zum Schutz können wir Ihnen nur raten, alle Dienste auf der Firewall zu schließen, auf die kein externer Zugriff erforderlich ist.

Aufforderung an das System und die Gefahr der darin enthaltenen Informationen

Es ist erforderlich, die "Systemansagen" zu entfernen, die von den zentralen Computern auf den RAS-Terminals für die Benutzeranmeldung angezeigt werden. Diese Anforderung hat folgende Gründe: • Die „Systemaufforderung“ enthält in der Regel Informationen, anhand derer der Angreifer den Typ und die Version des Betriebssystems des Zentralcomputers, die Art der RAS-Software usw. identifizieren kann. Solche Informationen können das Eindringen in das System erheblich vereinfachen, da der Angreifer dies kann Verwenden Sie illegale Zugriffstools, die die Schwachstellen eines bestimmten Systems ausnutzen. • "Systemabfrage" zeigt normalerweise die Zugehörigkeit eines Systems zu einer Abteilung an. In dem Fall, dass das System einer Geheimagentur oder einer Finanzstruktur angehört, kann sich das Interesse des Täters erheblich erhöhen. • In einem kürzlich durchgeführten Prozess wurde die Klage des Unternehmens gegen eine Person, die illegal in das Unternehmensnetzwerk eingetreten ist, zurückgewiesen, da diese ihre Handlungen mit der Aufschrift "Welcome to ..." (Willkommen bei ...) auf dem Fernzugriffsterminal des Zentralcomputers begründet hat.

Ein paar Tipps zur Recherche im Netzwerk

• Scannen Sie den Server nach offenen Ports und Diensten. • Versuchen Sie, den Server unter dem Namen IUSR_ <Maschinenname mit Kugeln> einzutragen. • Versuchen Sie, SAM._ aus / REPAIR zu löschen (Kennwörter von SAM werden durch den Befehl expand abgerufen). • Die Verzeichnisse / scripts und / cgi-bin, wie viele wahrscheinlich wissen, in NT können Sie alle Dateien aus diesen Verzeichnissen ausführen, daher sollten Sie den Zugriff auf diese Verzeichnisse schließen. Der Start erfolgt ungefähr mit einem solchen Befehl (wenn die ausführbare Datei in / scripts enthalten ist) über den Browser - http: //www.idahonews/scripts/getadmin.exe? Test. Sie können Administratorrechte wie folgt erhalten: Programme von / scripts werden nicht unter dem Benutzernamen des Benutzers ausgeführt, sondern über dasselbe Webkonto. Daraus können wir schließen, dass Administratorkennwörter mithilfe von PWDUMP.exe problemlos aus der Registrierung entfernt werden können. • Denken Sie daran, dass Programme von / SCRIPTS unter dem Webkonto und nicht unter dem Konto des Benutzers gestartet werden, der sie gestartet hat. Daher können Sie versuchen, Kennwörter mit PWDUMP.EXE aus der Registrierung zu sichern. Passwörter werden verschlüsselt. In diesem Fall sollten Sie die Seite als Textdatei speichern und versuchen, die Kennwörter mit dem Programm BRUTEFORCE zu dekodieren. • Unter dem Administratorkonto können Sie die Aliase in ftp und http ändern.

Einige andere Möglichkeiten, um Informationen zu erhalten

• Verwenden Sie whois oder NSLookUp, um alternative Namen zu ermitteln, um herauszufinden, wem das Netzwerk gehört. Merken Sie sich den Bereich der IP-Adressen für das anschließende Scannen. • Gehen Sie zum nächsten Router und finden Sie etwas heraus. Um den Router zu finden, müssen Sie den Pfad zu einer beliebigen IP-Adresse aus dem erkannten Bereich weiterleiten. Der nächstgelegene Router wird durch die Antwortzeit bestimmt. • Versuchen Sie, sich beim Telnet-Router anzumelden. • Führen Sie einen IP-Bereichsscanner aus, um Dienste zu erkennen, die auf dem PC ausgeführt werden.

Lücken und administrative Fehler in Windows NT

• Berücksichtigen Sie die Sicherheitsanfälligkeit, die mit einem Fehler bei der Implementierung des Systems verbunden ist. Diese Sicherheitsanfälligkeit führt zu einem Angriff namens GetAdmin . Die Sicherheitsanfälligkeit ist der NtAddAtom-Systemdienst, der die übergebenen Parameter nicht überprüft und Bit 0 auf NtGlobalFlag + 2 setzt. Öffnen Sie dazu die Datei ntoskrnl.exe und suchen Sie den Einstiegspunkt für NtAddAtom. Durch Setzen dieses Bits wird die Debugger-Berechtigungsprüfung in NtOpenProcess und NtOpenThread deaktiviert. Somit hat jeder Benutzer das Recht, einen beliebigen Prozess im System zu öffnen. Der Angriff öffnet den Winlogon-Prozess und bettet die DLL in ihn ein. Da dieser Dienst über SYSTEM-Berechtigungen verfügt, kann er einen Benutzer zur Administratorgruppe hinzufügen oder aus dieser Gruppe entfernen. Theoretisch sind andere Sicherheitsverletzungen des Systems möglich. • Eine der beliebtesten Methoden, um in das System zu gelangen, ist das Erraten von Passwörtern. Um dem entgegenzuwirken, wird ein Benutzerkonto normalerweise nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche gesperrt. Eine nette Ausnahme ist das Administratorkonto. Und wenn er das Recht hat, über das Netzwerk zuzugreifen, öffnet dies eine Lücke für das einfache Erraten des Passworts. Zum Schutz wird empfohlen, den Administratorbenutzer umzubenennen, die Kontosperrung einzurichten, den Administrator daran zu hindern, sich über das Netzwerk beim System anzumelden, die Übertragung von SMB-Paketen über TCP / IP (Ports 137, 138, 139) zu untersagen und fehlgeschlagene Anmeldungen zu protokollieren.

Spam

Spammer werden nicht nur ISPs finden, die damit beginnen, ihren E-Mail-Müll zu versenden, sondern höchstwahrscheinlich auch ein Unternehmen auswählen, wie Für einen Internetdienstanbieter ist es einfacher zu verstehen, was passiert ist, und er wird wahrscheinlich in der Lage sein, solche Nachrichten schneller zu entfernen. Durch gelegentliches Spam können legitime Benutzer aufgrund einer Überlastung des E-Mail-Servers gestört werden. Das Problem ist, dass die Verbindung zum SMTP-Server nicht so schwierig ist. Dazu müssen Sie nur 7-8 Befehle für den SMTP-Server kennen, um Ihre Nachrichten zu verteilen. Zum Schutz können Sie die Adressen eingehender Nachrichten in der Datenbank registrierter Serverbenutzer überprüfen. Befindet sich die Adresse des Absenders oder eine der von ihm angeforderten Adressen nicht in der Liste, wird keine E-Mail versendet.

So schützen Sie das Mail-System vor Spammern

• Wenn Sie die Protokolle nicht lesen, werden Spammer ungestraft vorgehen. • Programmieren Sie alle Mailserver Ihres Unternehmens bis auf einen so, dass sie nicht auf eine Anfrage zur Nachrichtenweiterleitung antworten. Der verbleibende Server muss die IP-Adressen sorgfältig filtern. • Behalten Sie alle E-Mail-Server im Bereich Ihrer Firewall, die Nachrichtenweiterleitungsanfragen annehmen können.

Wie funktionieren Spammer?

• Ziel ausgewählt - Der Spammer wählt den Domain-Namen des Unternehmens zufällig aus und errät dann den Host-Namen des SMTP-Mail-Servers. Wenn der Server E-Mails akzeptiert, fordert ihn der Spammer auf, die Nachricht an die Adressliste zu verteilen. • Der Server führt die Anforderung aus und erweckt den Eindruck, dass die Nachrichten die IP-Adresse des Unternehmens des Opfers verlassen.

Löcher IIS, WWW, FTP

• Der Absender kann seine gefälschte Adresse wie folgt hinterlassen: Der Absender kann sich selbst mit dem SMTP-Port des Rechners verbinden, für den er einen Brief senden möchte, und den Text des Briefes eingeben. • Mit dem FTP-Dienst können Sie passive Verbindungen basierend auf der vom Client angegebenen Portadresse herstellen. Dies kann von einem Angreifer verwendet werden, um gefährliche Befehle an den FTP-Dienst zu senden. Die Registrierung enthält den Schlüssel: <HKLM \ System \ CurrentControlSet \ Services \ MSFTPSVC \ Parameters> mit dem Wert <EnablePortAttack: REG_DWORD:> Stellen Sie sicher, dass der Wert auf "0" und nicht auf "1" festgelegt ist. • Wenn Sie eine Verbindung über Telnet zu Port 80 herstellen, wird der Befehl "GET ../ .." IIS stürzt ab und die Meldung "Die Anwendung exe \ inetinfo.dbg hat einen Anwendungsfehler generiert. Der Fehler trat am Datum und zur Uhrzeit auf. Die generierte Ausnahme war c0000005 unter der Adresse 53984655. • Adresse 'http://www.domain.com/scripts .. \ .. \ scriptname "ermöglicht es Ihnen, das angegebene Skript auszuführen. Standardmäßig ist der Benutzer Gast oder IUSR_WWW hat das Recht, alle Dateien in allen Verzeichnissen zu lesen. So können diese Dateien angezeigt, heruntergeladen und gestartet werden. • Die Verzeichnisse \ script \ cgi-bin sollten geschlossen sein Von diesen Verzeichnissen aus können Sie beliebige Dateien direkt im Browserfenster ausführen. • Wenn IIS eine sehr lange URL (4 bis 8 KB) anfordert, bleibt der Server hängen und antwortet nicht auf weitere Anforderungen. Das Problem ist, dass die genaue Größe der URL vom jeweiligen Server abhängt. Killer-Programme versuchen daher, ausgehend von einer grundlegenden Anforderungsgröße und einer allmählichen Vergrößerung den kritischen Punkt zu finden, an dem der Server vom Opfer hängt. • Benutzer von Outlook Express 98 müssen damit rechnen, dass Sie mit diesem Mailer auch Visual-Basic-Skripte zur Ausführung verarbeiten können, die im Brief leicht versteckt werden können. Ein ähnliches Skript hat vollen Zugriff auf das Dateisystem. Der eigentliche Schutz kann nur darin bestehen, die "Sicherheitsstufe" in Outlook auf "Maximum" zu setzen. • Wenn HTML-Tags im Chat zulässig sind, kann niemand etwas wie <img src = "http://www.mysite.com/cgi-bin/sniffer.cgi"> in Ihre Nachricht einfügen. Infolgedessen rufen alle im Chat Anwesenden (die noch nicht registriert sind), ohne es zu wissen, das Skript auf. • Beschränken Sie den Zugriff auf Port 25 nur auf bestimmte Benutzer.