This page has been robot translated, sorry for typos if any. Original content here.

Netzwerkangriffe und etwas anderes

Einführung in die Netzwerkangriffe

Kurzbeschreibungen von Netzwerkangriffen

Fragmentierung von Daten

Transfer von fragmentierten IP - Pakete

Ping Flooding - Attacke

PingOfDeath oder SSPing

UDP Bombe

SYN - Flooding

Nicht-Standard - Protokolle in IP gekapselt

Die Verwendung des TFTP - Protokoll

smurf Angriff

Landangriff

Die Einführung zum Internet - Server durch eine falsche Richtung zu schaffen „Sturm“ falsche DNS-Antworten auf die angegriffene Host

Die Einführung zum Internet - Server durch falsche DNS - Interception - eine Anforderung oder erstellen Sie eine Richtungs „Sturm“ false DNS - DNS - Antworten auf die Opfer - Server

Die Einführung des Internet - Netzwerks falschen DNS-Servers durch das Abfangen DNS-Abfrage

DNS - Angriff Überschwemmungen

DNS - Spoofing - Angriff

IP - Spoofing - Angriff

Imposant Pakete

Schnüffeln - listening Kanal (nur in dem lokalen Netzwerksegment)

Intercept - Pakete auf dem Router

Die Auferlegung einer Vielzahl von falschem Weg des ICMP - Protokoll

WinNuke

Falsch ARP - Server

Vorhersage der TCP - Sequenznummer (IP-Spoofing)

lokaler Sturm

IP - Hijacking

Intrusion Detection und Schutz gegen sie

Abtastverfahren

Mit Hilfe der ARP

Scanning - Netzwerk über DNS

UDP Bombe

Scanning TCP - Ports

UDP Port - Scan

Stealth-Scan

passiver Scan

Einladungssystem und das Risiko von Informationen in

Ein paar Tipps für Online - Forschung

Einige andere Möglichkeiten zur Beschaffung von Informationen

Löcher und Verwaltungsfehler in Windows NT

Spam

Wie das Mail - System vor Spammern schützen

Wie kann Spammer

Löcher IIS, WWW, FTP

Einführung in die Netzwerkangriffe

Gesteigertes Interesse an TCP / IP-Netzen durch das schnelle Wachstum des Internets. Doch dies wirft Fragen darüber, wie ihre Datenbestände gegen Angriffe aus dem externen Netz zu schützen. Wenn Sie mit dem Internet verbunden sind, können Sie Ihr System angegriffen werden. Familie von IP-Protokolle sind die Basis für den Aufbau von Intranets und das globale Internet. Trotz der Tatsache, dass TCP / IP-Entwicklung durch das US Department of Defense finanziert wurde, TCP / IP hat keine absolute Sicherheit und ist anfällig für verschiedene Arten von in diesem Kapitel behandelten Angriffe. Zur Durchführung eines solchen Angriffs potentieller Angreifer die Kontrolle über mindestens eines der Systeme mit dem Internet verbunden haben. Ein Ansatz zur Analyse von Bedrohungen für die Sicherheit von Computersystemen ist die Zuweisung einer eigenen Klasse von Bedrohungen, die auf ein Computer-Netzwerk einzigartig sind. Diese Klasse von Bedrohungen nennen - Klasse Remote-Attacken. Dieser Ansatz zur Klassifizierung scheint wegen der grundlegenden Merkmale in den Aufbau des Netzwerk-Betriebssystem zuständig. Das Hauptmerkmal eines Netzwerkbetriebssystems ist, dass seine Komponenten im Raum verteilt sind, und die Beziehung zwischen ihnen wird physikalisch durch ad-hoc-Netzwerk (Koaxialkabel, Twisted Pair, Glasfaser, usw.) und Software durchgeführt - von Messaging Mechanismus. In diesem Fall werden alle Steuernachrichten und Daten gesendet eine Komponente des Netzwerkbetriebssystems, wird die andere Komponente über eine Netzwerkverbindung in Form eines Austauschs von Paketen übertragen. Diese Funktion ist der Hauptgrund für die Entstehung einer neuen Klasse von Bedrohungen - Remote-Angriffe. Bei dieser Art von Angriff interagiert mit den Angreifern Empfängerinformationen, der Sender und / oder Zwischensystemen, gegebenenfalls Modifizieren und / oder Filterung Gehalt von TCP / IP-Paketen. Diese Arten von Angriffen scheinen oft technisch anspruchsvoll zu sein, zu implementieren, aber es ist leicht, geeignete Werkzeuge für einen guten Programmierer zu implementieren. Die Möglichkeit der Bildung von beliebigem IP-Paket ist ein wichtiger Punkt für die Implementierung von aktiven Angriffen. aktiv oder passiv: Remote-Angriffe können durch die Art der Exposition, eingestuft werden. Aktive Angriffe können in zwei Teile geteilt werden. Im ersten Fall wird der Angreifer Schritte, um das Netzwerk abzufangen und zu modifizieren versucht, ein anderes System zu fließen oder „vorzutäuschen“. Im zweiten Fall wird das TCP / IP-Protokoll verwendet, um inoperablen das System der Opfer zu bringen. Bei der passiven Angriffen, offenbaren sich Angreifer keine Möglichkeit, und nicht direkt in Kontakt mit den anderen Systemen kommen. In der Tat, es kommt alles auf die verfügbaren Daten oder Kommunikationssitzungen zu überwachen. Obwohl passive Angriffe können die Sicherheitsrichtlinien des Netzwerks verletzen. Die Idee, einen Angriff zu identifizieren, ist einfach: jeder Angriff auf einen bestimmten Netzwerkverkehr entspricht, so Analyse Verkehr zu ermitteln und den attack „trace“ der Angreifer zu erkennen, das heißt Ermitteln der IP-Adresse, von der Information Einfluss durchgeführt. Somit Detektion eines Angriffs durch die Steuerung des Informationsflusses durchgeführt, die durch die Analyse von Netzwerkverkehr erreicht wird.

Kurzbeschreibungen von Netzwerkangriffen

Es sei daran erinnert, dass grobe Methoden wie Ping-Pakete oder große SYN-Flooding, einer Maschine oder einem Sub-Netz Internet überwältigen können, unabhängig von der Konfiguration.

Fragmentierung von Daten

Wenn auf der Netzwerk-IP-Datenpaket-Protokoll Übertragung kann eine Unterteilung des Pakets in mehrere Fragmente sein. Anschließend wird, wenn das Ziel erreicht ist, wird das Paket von diesen Fragmenten rekonstruiert. Ein Angreifer initiieren kann eine große Anzahl von Fragmenten zu senden, was in dem Software-Pufferüberlauf auf der Empfangsseite, und in einigen Fällen kann das System zum Absturz bringen.

Übertragen fragmentierte IP - Paket c, in Höhe von insgesamt mehr als 64 KB

Die Zahl der Angriffe Implementierungen die Möglichkeit der Fragmentierung von IP-Paketen mit ausreichend groß ist. Auf das Opfer trägt mehrere fragmentierten IP-Pakete, die, wenn sie bilden eine Paketgröße von mehr als 64 K zusammengebaut (maximale Paketgröße IP 64K minus der Kopflänge). Dieser Angriff war wirksam gegen Computer von Windows. Nach dem Empfang des Pakets Windows NT hat keine spezielle Patch icmp-fix, „hängt“ und stürzt ab. Andere Ausführungsformen eines solchen Angriffs die falsche IP-Fragmente Offset verwenden, die zu einer falschen Zuordnung von Speicher führt, Pufferüberlauf und schließlich Systeme zu Fehlfunktionen kommen.

Counter: auf solche Angriffe erkennen sollte „on the fly“ durchgeführt und analysiert Paketierung werden, da sie erheblich die Hardwareanforderungen erhöhen.

Ping Flooding - Attacke

Es zeigte sich daher, dass das Programm „der Ping“, soll die Qualität der Leitung beurteilen, ist der Schlüssel zum „aggressive“ Test. In diesem Modus Anfragen werden so schnell wie möglich und erlaubt das Programm zu bewerten, wie das Netzwerk arbeitet bei maximaler Belastung gesendet. Dieser Angriff muss der Angreifer Zugriff auf den schnellen Kanäle im Internet. Es sei daran erinnert, wie der Ping. Das Programm sendet ICMP-ECHO-REQUEST-Pakettyp, es an der Zeit und seine Kennung aussetzt. Der Kern der Maschine reagiert der Empfänger auf eine solche Anforderung Paket ICMP ECHO REPLY. Nachdem es empfing, gibt die Ping-Paketübertragungsrate. Im Standardmodus werden die Pakete in Intervallen gesendet, fast ohne das Netzwerk zu überlasten. Aber in dem „aggressiven“ -Modus, der Fluss von ICMP-Echo-Request / Reply-Paket eine kleine Zeile überlasten kann, ist es seine Fähigkeit berauben nützliche Informationen zu übertragen. Natürlich ist der Fall mit Ping ein Sonderfall einer allgemeineren Situation im Zusammenhang Kanäle zu überlasten. Zum Beispiel könnte ein Angreifer mehrere Pakete senden, die auf UDP-Port 19 th Opfer-Maschine, und wenn es ist, gemäß den allgemein anerkannten Regeln, ist am 19. der UDP-Port-Decoder zum Linie 80 Byte-Pakete entspricht. Beachten Sie, dass der Angreifer die Absender-Adresse kann schmieden ist auch ein solches Paket, ist es schwierig zu erkennen, zu machen. Verfolgen Sie seine Hilfe, es sei denn koordinierte Arbeit von Spezialisten in den Zwischen-Router, die praktisch unmöglich ist. Eine der Optionen für Angriffe - ICMP-Echo-Request-Pakete mit einer Quelladresse zu senden, an das Opfer zeigt, auf den großen Netzen in Broadcast-Adresse. Als Ergebnis wird jede der Maschinen auf diese Anforderung für eine Fälschung reagieren und Machine-to-Absender erhält eine große Anzahl von Antworten. Um viele Broadcast-Echo-Anfragen im Namen der „Opfer“ in der Ausstrahlungs-Adresse großen Netzwerken kann hart Kanal zapolnenenie „Opfer“ verursachen. Zeichen Überschwemmung - dramatisch erhöhte Netzwerklast (oder Kanal) und die Menge der spezifischen Pakete (wie ICMP) erhöht wird. Als Schutz können Einstellung Router filtert empfehlen bei dem sie die gleiche ICMP-Verkehr einen vorbestimmten Wert überschreitet, im Voraus (Pakete / Einheiten. Time). Um sicherzustellen, dass Ihr Auto nicht eine Quelle der Ping-Flood-Funktionen sein kann, der Zugriff auf den Ping.

PingOfDeath oder SSPing

Sein Wesen in dem folgenden Optionen: auf dem Auto des Opfers ist ein ICMP stark fragmentipovanny pazmepa groß (64KB) gesendet. Die Reaktion von Windows-Systemen ein solches Paket zu empfangen ist bedingungslos hängt oder mit der Maus und Tastatur. weit online verfügbar in Form eines Quellcodes in C und in Form von ausführbaren Dateien für einige Versionen von Unix zu nutzen. Interessanterweise kann im Gegensatz zum WinNuke Opfer eines solchen Angriffs sein, nicht nur eine Windows-Maschine, ausgesetzt der Angriff MacOS und einige vepsii Unix. Die Vorteile dieser Methode des Angriffs, die typischerweise Firewall sendet ICMP-Pakete, und ob die Firewall zu filtern und posylateley Adressen konfiguriert ist, einige einfache Techniken Spoofing verwendet wird, kann betrügen und eine Firewall. PingOfDeath Nachteil ist, dass für einen einzigen Angriff mehr als 64 KB sein sollte über das Netzwerk zu senden, so dass es noch maloppimenimym für shipokomasshtabnyh divepsy erwähnen.

UDP Bombe

Tragene Paket enthält fehlerhafte UDP Dienstfelder. Einige ältere Versionen von Netzwerk-Software führen bei der Herstellung eines solchen Pakets, das System zum Absturz bringen.

SYN - Flooding

SYN-Flooding -Paket - die bekannteste Art und Weise zu Informationskanal „Score“. Es sei daran erinnert, wie die TCP / IP für eingehende Verbindungen. Das System reagiert C-SYN zu kommen - Paket S-SYN / ACK - C--Package übersetzt Sitzung SYN_RECEIVED Zustand und legt sie in einer Warteschlange. Wenn innerhalb einer vorbestimmten Zeit von dem Client kommt S-ACK wird die Verbindung aus der Warteschlange entfernt wird, da sonst die Verbindung zu einem NIEDERGELASSEN Zustand überführt wird. Betrachten wir den Fall, wo alle Eingangsanschlüsse voll ist, empfängt das System SYN -Package sind eingeladen, um die Verbindung zu installieren. Gemäß der RFC, wird er stillschweigend ignoriert. SYN Flooding -Paket basierend auf Warteschlangenüberlauf-Server, dann stoppt der Server auf Benutzeranforderungen zu reagieren. Die berühmteste eines solchen Angriffs - ein Angriff auf Panix, New York ansässigen Anbieter. Panix war für 2 Wochen nicht. In verschiedenen Systemen arbeiten Warteschlange wird auf verschiedene Weise implementiert. So wird in der BSD-Systemen jeder Port seine eigene Warteschlangengröße von 16 Elementen. In SunOS-Systemen auf der anderen Seite, wie eine Abteilung, und es gibt kein System einfach eine große gemeinsame Warteschlange hat. Dementsprechend wird, um zu blockieren, beispielsweise WWW-port genug SYN-Paket 16 BSD und ihre Anzahl wird für die Solaris 2.5 viel größer sein. Nach Ablauf einiger Zeit (abhängig von der Implementierung), entfernt das System die Anforderung aus der Warteschlange. Doch nichts verhindert, dass ein Angreifer eine neue Charge von Anfragen zu senden. Somit kann, selbst wenn eine Verbindung mit 2400 bps, kann ein Angreifer alle fünfzehn Minuten bei 20 bis 30 Paketen auf FreeBSD-Server senden, es zu halten, um Arbeit (natürlich wurde dieser Fehler in den neuesten Versionen von FreeBSD korrigiert). Wie üblich, kann der Angreifer die inversen zufälligen IP-Adressen in der Bildung eines Pakets verwendet, ist es schwierig, seine Anwesenheit und seine Verkehrsfilterung zu erkennen machen. Detektion ist einfach - eine große Anzahl von Verbindungen in SYN_RECEIVED Zustand ignoriert Versuche an diesen Port zu verbinden. Als Schutz können Patches empfohlen werden, die automatisch „dezimiert“ Linie implementieren, beispielsweise auf der Basis der frühen Random Drop-Algorithmus. Um, wenn Ihr System gegen SYN-Überflutung zu schützen, um herauszufinden, vom Systemanbieter. Eine weitere Variante des Schutzes - Firewall so konfigurieren, dass die eingehenden TCP / IP-Verbindungen selbst festgelegt werden, und erst dann warf sie in das Netz auf einer bestimmten Maschine. Dies ermöglicht es Ihnen, die syn-Überschwemmungen zu begrenzen und verpassen Sie es nicht innerhalb des Netzes. Dieser Angriff bezieht sich auf das Verbot von Angriffen Wartung, die in der Unfähigkeit Dienstleistungen führt. Angriff der Regel auf einen bestimmten, spezifischen Dienste wie Telnet oder ftp gerichtet. Es ist, Pakete zu übertragen, um die Verbindung zu dem Port entsprechend den Zieldienst zu schaffen. Nach Eingang des Antrags teilen die Systemressourcen für die neue Verbindung, versucht dann, auf die Anfrage zu antworten (senden „SYN-ACK“) auf der unzugänglichen Adresse. Standard NT-Versionen 3.5-4.0 werden versuchen, die Bestätigung 5-mal zu wiederholen - in 3, 6, 12, 24 und 48 Sekunden. Danach werden weitere 96 Sekunden kann das System auf eine Antwort warten, und lassen Sie nur dann die für zukünftige Verbindungen zugewiesenen Ressourcen. Die Gesamtzeit der Arbeitsressourcen - 189 Sekunden.

Nicht-Standard - Protokolle in IP gekapselt

IP-Paket enthält ein Feld, das Protokoll verkapselten Paket identifiziert (TCP, UDP, ICMP). Kriminelle können nicht-Standardwert der Felddaten verwendet werden, die nicht mit Standardinformationen Strömungssteuereinrichtung aufgezeichnet werden.

Die Verwendung des TFTP - Protokoll

Dieses Protokoll enthält keine Authentifizierungsmechanismen, so dass ist attraktiv für Eindringlinge.

smurf Angriff

Smurf Angriff auf die Netzwerk-Broadcast-ICMP-Anforderungen im Namen des Opfers Computer zu übertragen. Als Ergebnis Computer, die diese Sendungen angenommen haben erfüllen die Zielcomputer, die in der Kanalkapazität und in einigen Fällen auf die vollständige Isolierung des Zielnetzes zu einer wesentlichen Reduktion führt. Smurf Angriff ist äußerst wirksam und weit verbreitet. Counter: Anerkennung dieser Angriff muss analysiert werden , um die Bandbreite zu bestimmen und die Gründe für die Bandbreite zu reduzieren.

Landangriff

Land Attack Vulnerability verwendet TCP / IP-Stack-Implementierungen in einigen Betriebssystemen. Es ist der TCP-Port-Paket-Flag gesetzt SYN auf das offene Opfer Computer zu übertragen, und die Quelladresse und den Port des Pakets gleich die Adresse und den Port des angegriffenen Computers. Dies führt zu der Tatsache, dass das Opfer Computer eine Verbindung zu sich zu etablieren, in stark erhöhte Prozessorlast resultiert, und kann „podvisanie“ oder Neustart auftreten. Dieser Angriff ist sehr effektiv bei einigen Modellen der Firma Cisco Systems Router, die erfolgreiche Anwendung der Angriffe auf den Router kann das gesamte Netzwerk der Organisation bringen. Counter: Schutz gegen diesen Angriff kann beispielsweise durch einen Paketfilter zwischen dem internen Netzwerk installieren und dem Internet, indem Sie auf eine Filterregel angibt Unterdrückungs - Pakete aus dem Internet kommen, aber mit der Quell - IP - Adresse des internen Netzwerkcomputers.

Die Einführung zum Internet - Server durch eine falsche Richtung zu schaffen „Sturm“ falsche DNS-Antworten auf die angegriffene Host

Eine weitere Ausführungsform eines Remote-Angriff auf dem DNS-Dienst, basierend auf einem zweite Spezies typischen Fern Angriff „falsch militärische Anlagen.“ In diesem Fall führt ein Angreifer kontinuierliche Übertragung zu der Ziel-Host falsche DNS-Antwort im Namen des DNS-Servers eine DNS-verabredeten Abfrage ohne empfängt. Mit anderen Worten, erstellt der Angreifer über das Internet gerichtet „Storm“ falsche DNS-Antworten. Dies ist möglich, weil es in der Regel Die DNS-Anforderungsübertragung unter Verwendung von UDP-Protokoll ist, das keine Mittel zur Identifizierung von Paketen hat. Die einzigen Kriterien für das Netzwerk-Host-Betriebssystem auf den von der DNS-Server-Antwort erhalten wird, erstens, die Vereinbarung zwischen den IP-Adressen der Antwort an den Absender mit der IP-Adresse des DNS-Servers, und zweitens, dass die gleichen Namen in der DNS-Antwort angegeben wurden wie in DNS-Abfrage sollte drittens DNS-Antwort auf das gleiches des UDP-Port geleitet werden, von dem aus wurde auf DNS-Anfrage gesendet wird (in diesem Fall ist das erste Problem für den Angreifer), und viertens, in dem DNS -response Feld DNS-Abfrage-Kennung in dem Dokument (ID) sein, um den gleichen Wert wie in einer übertragenen DNS-Abfrage enthalten (was das zweite Problem ist). In diesem Fall, da der Angreifer keine Möglichkeit hat, DNS-Abfrage abzufangen, ist das Hauptproblem für ihn UDP-Portnummer, von dem die Anfrage gesendet. Aber die Portnummer nimmt einen begrenzten Satz von Werten (in 1023?), Also die Angreifern ziemlich einfach brutale Gewalt zu handeln, das Senden von falschen Antworten auf die entsprechende Liste der Ports. Auf den ersten Blick kann das zweite Problem, Zwei-Byte-Identifikator DNS-Abfrage sein, aber in diesem Fall ist es entweder gleich eins ist, oder einen Wert nahe Null (eine Abfrage - ID wird um 1 erhöht). Daher ist für die Durchführung des Angreifers Remote-Angriff ist es notwendig, interessant Host (A) zu wählen, um die Strecke, die Sie die Art und Weise ändern möchten, dass es durch den gefälschten Server übergibt - der Host des Angreifers. Dies wird durch die kontinuierliche Übertragung (gerichtet „Storm“) angreifende DNS-falschen Antworten auf die angegriffene Host im Namen des DNS-Servers an den entsprechenden UDP-Ports erreicht werden. In diesen falschen DNS-Antworten als IP-Adresse der Host A IP-Adresse des Angreifers angezeigt. Weiterer Angriff entwickelt wie folgt. Sobald das Ziel ihres Angriffs (Zielhost) Adresse im Namen des Host A, dann von einem bestimmten Host an das Netzwerk auf die DNS-Abfrage übertragen werden, wodurch ein Angreifer nie bekommen, aber dass es nicht erforderlich ist, da der Host sofort ständig falsch übertragen gehen DNS-Antwort, die wie eine Antwort vom DNS-Server angegriffen vom Host-Betriebssystem wahrgenommen wird. Der Angriff erfolgte und nun die angegriffene Host alle Pakete für A, auf der IP-Adresse des Hosts der Angreifer, der sie wiederum wird sich auf den A, das auf den abgefangene Informationen in einem „Mock - Objekt verteilt CS“ bestimmt senden. Betrachten wir ein Funktionsblockdiagramm des vorgeschlagenen Fern Angriff auf den DNS-Dienst: • konstante Übertragungs Angriff falsche DNS-Antworten auf die Ziel-Host auf einer Vielzahl von UDP-Ports und möglicherweise mit unterschiedlicher ID im Namen von (mit IP-Adresse) des DNS-Servers mit dem Namen Interesse an den Host und die falschen IP-Adressen, die werden kann die IP-Adresse des gefälschten Server - angreifenden Host; • im Fall ein Paket von dem Host empfängt, die Änderung der IP-Paket-Header der IP-Adresse auf die IP-Adresse des Angreifers und senden das Paket an den Server (dh ein falscher Server mit dem Server im eigenen Namen in Verbindung steht - von Ihrer IP-Adresse); • in dem Fall ein Paket von dem Server empfängt, die Änderung in den IP-Paket-Header der IP-Adresse auf der gefälschten Server-IP-Adresse und den Transfer an das Host-Paket (zum Host des gefälschte Server ist der reale Server). Somit ermöglicht die Implementierung des Remote-Angriffs mit Lücken DNS-Sicherheitsdienst eines beliebigen Punkt der Internet-Netzwerk-Routing-Pause zwischen zwei bestimmten Objekten. Das heißt, diese Fern Angriff gegen Interdurchgeführt angreifen und die Sicherheit von jedem Internet-Host bedroht einen konventionellen DNS-Dienst.

Die Einführung zum Internet - Server durch falsche DNS - Interception - eine Anforderung oder erstellen Sie eine Richtungs „Sturm“ false DNS - DNS - Antworten auf die Opfer - Server

Von einem Remote-DNS-Suchschema, das in dem Fall, dass in dem Antrag sind der Name des DNS-Servers in seiner Datenbank Namen wird nicht gefunden werden angegeben dann die Anfrage an einen Server auf einem der Wurzel von DNS-Servern, der Adressen gesendet in der Server-Konfigurationsdatei root.cache enthält . Das heißt, wenn der DNS-Server keine Kenntnis von der gewünschten Host hat, die Anforderung leitet weiterhin, was bedeutet, dass er jetzt DNS-Server der Initiator der Remote-DNS-Suche ist. Daher gibt es nichts einen Angreifer zu stoppen, Methoden arbeiten im vorherigen Absatz beschrieben, dessen Angriff auf dem DNS-Server zu leiten. Das heißt, wenn das Ziel des Angriffs nicht der Host wird jetzt handeln und DNS-Server und DNS-falsche Antworten werden an den Angreifer gesendet werden, im Namen des Root-DNS-Server auf dem Ziel DNS-Server. Es ist wichtig, den folgenden DNS-Server zu beachten. Zur Beschleunigung jedes DNS-Server-Caches in Erinnerung an ihren Namen und eine Tabelle von Hosts IP Adresse gerichtet. den Cache einschließlich dynamisch gespeichert wird Ändern Informationen über Namen und IP-Adressen der Rechner während der DNS-Server-Betrieb gefunden. Das heißt, wenn der DNS-Server die Anforderung empfängt, findet sich nicht in der Aufzeichnung Cache-Tabelle entspricht, es leitet die Antwort an den nächsten Server und eine Antwort empfängt, gibt Informationen in der Cache-Tabelle im Speicher gefunden. So müssen nicht mehr fern suchen, da die notwendigen Informationen bereits in seinem Cache-Tabelle, wenn die nächste Abfrage der DNS-Server. Aus der Analyse beschrieben nur im Detail Remote-DNS-Suchmuster wird deutlich, dass in Reaktion auf eine Anforderung von dem DNS-Server, wenn der Angreifer eine falsche DNS-Antwort (oder im Fall von „Sturm“ Fehlalarme ihnen permanente Übertragung führt mit) dann wird die Server-Cache-Tabelle ein entsprechender Eintrag mit falschen Informationen und in der Zukunft sein, alle Hosts, auf diese beziehen sich der DNS-Server falsch informiert und an den Host durch Bezugnahme wird, um die Strecke zu dem der Angreifer entschieden hat, den Link zu ändern, um es durch den Angreifer Host sein wird von Regelungen e „falsche militärische Anlagen.“ Und im Laufe der Zeit, diese falschen Informationen, die in den DNS-Server-Cache erhält, wird sich ausbreiten DNS-Server von höheren Ebenen zu benachbarten und daher mehr und mehr Hosts im Internet wird falsch informiert und angegriffen werden. Offensichtlich in dem Fall, dass ein Angreifer nicht eine Anforderung von dem DNS-DNS-Server abgefangen, dann der Umsetzung des Angriffs er braucht „Sturm“ von falscher DNS-Antwort auf den DNS-Server gerichtet. Dies wirft die folgenden Haupt andere Probleme als das Problem der Auswahl der Häfen im Falle eines Angriffs auf den Host gerichtet. Wie bereits erwähnt, DNS-Server, bevor die Anforderung an einen anderen DNS-Server sendet die Anforderung identifiziert Zwei-Byte-Wert (ID). Dieser Wert wird bei jedem Durchlauf-Anforderungen erhöht. den Angreifer lernt, ist der aktuelle Wert der ID-DNS-Anfrage nicht möglich ist. Daher nichts anderes als Brute-Force 16. Februar möglichen Werte von ID etwas ziemlich schwierig zu bieten. Aber das Problem verschwindet Ports Zerschlagung, da alle DNS-Anfragen 53 an den DNS-Server auf Port weitergeleitet werden. Das nächste Problem ist der Zustand dieses Fern Angriffs auf dem DNS-Server für die Richtungs „Sturm“ false DNS-Antwort liegt in der Tatsache, dass der Angriff nur dann erfolgreich sein wird, wenn der DNS-Server sendet eine Anforderung für einen bestimmten Namen zu suchen (enthält in einer falschen DNS-Antwort). Der DNS-Server sendet viel dies durch den Angreifer Anfrag im Fall erforderlich und gewünscht, dass es an die DNS-Anfrage von jedem Host auf der Suche nach dem Namen kommen wird, und dieser Name entweder in der DNS-Server-Cache-Tabelle sein. Grundsätzlich kann diese Anforderung zu jeder Zeit kommen, kann der Angreifer für die Ergebnisse des Angriffs warten auf unbestimmte Zeit. Jedoch verhindert nichts einen Angreifer, nicht warten , für jedermann auf die Ziel DNS-Server DNS-ähnliche Abfrage und löst eine DNS-Server - Suche in der Abfrage angegebenen Namen zu senden. Dann ist der Angriff wahrscheinlich einen Erfolg fast unmittelbar nach dem Beginn ihrer Umsetzung.

Die Einführung des Internet - Netzwerks falschen DNS-Servers durch das Abfangen DNS-Abfrage

In diesem Fall assoziiert der Remote-Angriff auf der Grundlage der Standardtypen von Remote-Angriffe mit der DNS für eine Suche-Abfrage wartet. Bevor Sie einen Angriff Algorithmus auf dem DNS-Dienst berücksichtigen ist notwendig, die Aufmerksamkeit auf diese Feinheiten in der Arbeit des Dienstes zu bezahlen. Erstens funktioniert der Standard-DNS-Dienst auf der Grundlage des UDP-Protokolls (obwohl es möglich ist, und die Verwendung des TCP-Protokolls), die natürlich macht es weniger sicher, da das UDP-Protokoll, im Gegensatz zu TCP nicht für Mittel zur Identifizierung Nachricht bietet. Um von UDP auf TCP DNS-Administrator zu bewegen - der Server muss ernsthaft die Dokumentation studieren. Darüber hinaus wird dieser Übergang das System verlangsamen, da zum einen durch TCP benötigen eine virtuelle Verbindung und zum anderen zu schaffen, zunächst die endgültigen Netzwerk-Betriebssysteme, die DNS-Abfrage mit UDP-Protokoll senden, und wenn sie kommen spezielle Antwort vom DNS-Server, dann wird das Netzwerk-Betriebssystem, das eine DNS-Abfrage über TCP senden. Zweitens nach der Feinheit, auf die Sie Aufmerksamkeit schenken wollen, ist es, dass der Wert des Feldes „Quellport“ in dem UDP-Paket zunächst den Wert von 1023 nimmt (?), Und steigt dann mit jedem der DNS-Anfrage gesendet. Drittens, verhält sich die Kennung (ID) DNS-Abfrage wie folgt. Im Fall von DNS-Anforderungsübertragung vom Host seines Wertes hängt von der jeweiligen Netzwerkanwendung, DNS-Abfrage erzeugend. Autoren Experimente zeigten, dass im Fall einer Übertragungsanforderung von der Shell als Linux und Windows '95 (zB ftp nic.funet.fi) Wert zu einem immer gleich ist. In diesem Fall, wenn die DNS-Anfrage von Netscape Navigator gesendet wird, dann mit jeder neuen Anforderung erhöht sich Browser diesen Wert um eins. In diesem Fall, wenn die Anfrage direkt an den DNS-Server gesendet wird, erhöht sich der Server diesen Wert um eine Kennung, die mit jeder Wiedertragenen Anfrage. All diese Details sind wichtig, im Falle eines Angriffs ohne DNS-Abfrage abfängt. Für die Durchführung des Angriffs der DNS-Abfrage der Angreifer abfangen muß DNS-Abfrage abzufangen, extrahiert daraus die Anzahl der UDP-Port-Anfrage des Absenders, ein Zwei-Byte-Wert der ID-DNS-Abfrage-Kennung und die gewünschten Namen und dann falsche DNS-Antwort von DNS-Abfrage abgerufen senden UDP-Port, der für die gewünschte IP-Adresse der realen IP-Adresse des gefälschten DNS-Servers angeben. Dies ermöglicht es weiter vollständig abfangen und arbeitet aktiv an einem „falschen Objekten PBC“ für den Verkehr zwischen dem „getäuscht“ von dem Host und dem Server. Betrachten wir die verallgemeinerte Schema falscher DNS - Server: • DNS-Warte Anfrage; • erhielt eine DNS-Abfrage, die Extraktion der notwendigen Informationen und Netzwerk-Übertragung an den anfordernden Host eine falsche DNS-Antwort im Namen von (mit der IP-Adresse) des DNS-Servers, der die IP-Adresse des gefälschten DNS-Servers anzeigt; • in dem Fall ein Paket von dem Host empfangen wird, wird die Änderung in den IP-Paket-Header der IP-Adresse auf der falschen DNS-Server-IP-Adresse und das Paket an den Server übertragen (dh ein falscher DNS-Server mit dem Server in seinem Namen in Verbindung steht); • in dem Fall ein Paket von dem Server empfängt, die Änderung in den IP-Paket-Header der IP-Adresse an die IP-Adresse des gefälschten DNS-Servers und die Übertragung an das Host-Paket (Host ein falscher DNS-Server die realen Server ist). Eine Voraussetzung dieser Ausführungsform ist der Achsenabschnitt Angriff DNS-Anfrage. Dies ist nur möglich, wenn der Angreifer immer die Art und Weise des Hauptverkehrs oder in einem Segment des DNS-Servers. Durchführen einen dieser Standortbedingung des Angreifers im Netzwerk macht diesen Fern Angriff in der Praxis schwer zu erreichen (um in das DNS-Server-Segment und vor allem im Intersegment-Link ist der Angreifer wahrscheinlich fehlschlagen). Allerdings, wenn diese Bedingungen erfüllt sind , kann zwischen den Segmenten Fern Angriff auf dem Internet - Netzwerk realisiert werden. Es sei darauf hingewiesen, dass die praktische Umsetzung dieses Fern Angriff eine Reihe von interessanten Features in dem FTP-Protokoll und den Mechanismus der Identifikation für TCP-Pakete aufgedeckt. Wenn FTP-Client auf einem Host auf einen FTP-Server über einen falschen DNS-Server verbunden ist, es stellt sich heraus, dass jedes Mal, wenn der Anwendung FTP-Befehle Benutzer Ausgabe (zum Beispiel ls erhalten, setzen, und so weiter. D.) FTP-Client zog einen pORT Befehl auf, die bei der Übertragung auf einem FTP-Server im Datenfeld der Portnummer TCP-Paket und die Client - Host IP-Adressen bestanden (eine besondere Bedeutung hart an diesen Aktionen zu finden ist - warum jedes Mal auf einem FTP-Server - Client - IP-Adresse zu übertragen)! Dies führte zu der Tatsache, dass, wenn ein falscher DNS-Server im Datenfeld der TCP-IP-Paket-Adresse nicht die übertragenen ändern und das Paket an FTP-Server für die einfache Schema, das nächste Paket zu FTP-Server auf dem Host-FTP-Client übertragen werden übertragen, Vermeidung falschen DNS-Server, und, interessanterweise, wird dieses Paket als ein normales Paket und danach behandelt werden, ein falscher DNS-Server wird die Kontrolle des Verkehrs zwischen dem FTP-Server und FTP-Client verlieren! Dies ist auf die Tatsache zurückzuführen, dass die üblichen FTP-Server bieten keine zusätzliche Identifizierung FTP-Client und verschiebt alle Probleme der Identifizierung Pakete, und die Verbindung zu der unteren Ebene - den Pegel des TCP.

DNS - Angriff Überschwemmungen

DNS Überschwemmungen - dieser Angriff auf dem Internet-Nameserver. Es besteht aus der Tatsache, eine große Anzahl von DNS-Abfragen und führt zu senden, dass die Nutzer haben nicht die Möglichkeit, auf die Servicenamen der Anwendung, und daher macht es zur Arbeit der normalen Benutzer unmöglich. Counter: für die Erkennung dieses Angriffs muss DNS - Serverbelastung analysiert werden und die Quelle von Anforderungen zu identifizieren.

DNS - Spoofing - Angriff

Das Ergebnis dieses Angriffs ist es, die verhängten Übereinstimmung zwischen IP-Adressen und Domain-Namen in dem DNS-Server-Cache zu machen. Als Ergebnis des Erfolgs eines solchen Angriffs alle DNS-Benutzer im Norden die falsche Informationen über Domain-Namen und IP-Adressen erhalten. Dieser Angriff wird durch eine große Anzahl von DNS-Paketen mit den gleichen Domain-Namen gekennzeichnet. Dies ist aufgrund der Notwendigkeit, einige DNS Kommunikationsparameter auszuwählen. Counter: einen solchen Angriff zu erkennen ist notwendig , um den Inhalt des DNS - Datenverkehr zu analysieren.

Angriff IP - Spoofing (syslog)

Eine große Anzahl von Angriffen auf dem Internet-Netzwerk mit der Substitution der ursprünglichen IP-Adresse verbunden ist. Diese Angriffe umfassen und syslog-Spoofing, die auf dem Computer des Opfers Nachrichten im Namen eines anderen internen Netzwerk-Computer übertragen wird. Da Syslog-Protokoll wird verwendet, um die Übertragung falsche Nachrichten auf dem Opfer die Systemprotokolle erhalten kann auf den Informationen oder die Spuren eines unbefugten Zugriffs verhängt werden. Counter: Identifizieren Angriffe mit der Substituts - IP - Adresse zugeordnet ist , möglicherweise mit Steuerung zum Empfangen eines Pakets mit der Quellenadresse der Schnittstellen von derselben Schnittstelle oder bei der Steuerung der externen Schnittstelle für Pakete , die von den IP - Adressen des internen Netzwerks zu empfangen.

Imposant Pakete

Der Angreifer sendet Pakete über das Netzwerk mit einer falschen Absenderadresse. Mit diesem Angriff ist der Angreifer auf Ihrem Computer Verbindung zwischen anderen Computern aufgebaut wechseln kann. In diesem Fall wird die Zugriffsrechte des Angreifers sind gleiche Rechte des Benutzers, deren Verbindung zum Server des Angreifers Computer eingeschaltet wurde.

Schnüffeln - listening Kanal (nur in dem lokalen Netzwerksegment)

Praktisch alle Netzwerkkarten unterstützen das Abfangen von Paketen, auf einem gemeinsamen Kanal Netzwerk übertragen. In dieser Arbeitsstation empfangen können Pakete an andere Computer im selben Netzwerksegment adressiert. Somit wird der gesamte Informationsaustausch in einem Netzwerksegment zu dem Angreifer zur Verfügung. Für eine erfolgreiche Umsetzung dieses Angriffs, der Computer des Angreifers muss im selber LAN-Segment wie der Zielcomputer sein.

Intercept - Pakete auf dem Router

Netzwerk-Software-Router hat Zugriff auf alle Netzwerkpakete durch den Router übertragen, die Pakete abfangen können. Um diesen Angriff zu implementieren, muss der Angreifer privilegierten Zugang zu mindestens einem Router-Netzwerk. Da der Router in der Regel eine Menge von Paketen übertragen wird, ist die totale Interception praktisch unmöglich. Jedoch können auch einige Pakete für eine spätere Analyse durch einen Angreifer erfasst und gespeichert werden. Die effektivste Abfangen von FTP-Pakete enthalten, Passwörter und E-Mail.

Die Auferlegung einer Vielzahl von falschem Weg des ICMP - Protokoll

Im Internet gibt es ein Protokoll ICMP (Internet Control Message Protocol), eine Funktion, von denen der Host über die Änderung des aktuellen Router zu informieren. Diese Steuernachricht wird eine Umleitung genannt. Es ist möglich, von jedem Host im Netzwerk-Segment falsche Umleitung-Mail im Namen des Routers an die Ziel-Host zu senden. Im Ergebnis ändert sich der Host die aktuelle Routing-Tabelle, und ferner wird der gesamte Netzwerkverkehr von dem Host gehalten werden, zum Beispiel über den Host durch eine falsche Umleitung-Nachricht sendet. Somit ist es möglich, aktive Auferlegung falsche Route innerhalb eines einzigen Internet-Netzwerksegmentes zu implementieren.

WinNuke

Hapyadu herkömmliche erneut sendet die Daten durch TCP-Verbindung ctandapt ppedustatpivaet auch pepedachu spochnyh (Out-of-Band) Daten. Ha upovnya Dateiformat TCP-Pakete in einem Nicht-Null vypazhaetsya Dringlichkeitszeiger. Die meisten PCS mit Windows ppisutstvuet NetBIOS-Protokoll des Netzes, und die Exzentrizität verwendet für ihre Bedürfnisse 3 IP Popta: 137, 138, 139. Wie ich herausstellte, wenn in 139 popt auf Windows-Rechner verbinden und ein paar Bytes outofband Daten zurückschicken, und NetBIOS-pealizatsiya aussetzt oder pepezagpuzhaet Auto nicht zu wissen, was mit diesen Daten poppostu zu tun. Für Windows 95, es erscheint in der Regel als blauer Text ek.pana, meldet einen Fehler im TCP / IP-Treiber ist die Unmöglichkeit Jobs Network OC pepezagpuzki. NT 4.0-Service Pack ohne pepezagpuzhaetsya, NT 4.0-basierten Dienst mit einer zweiten Art von Puck fällt in blau ek.pana. Eine ähnliche Buchungsdaten 135 und einige andere Ports führt zu einer erheblichen Belastung RPCSS.EXE Prozessor. Auf NTWS dies führt zu einer deutlichen Verlangsamung der Arbeit, NTS praktisch eingefroren.

Falsch ARP - Server

Im Internet hat jeder Host eine eindeutige IP-Adresse, die alle Nachrichten aus dem globalen Netzwerk erhält. Allerdings ist das IP-Protokoll nicht so sehr ein Netzwerk als Gateway-Protokoll für die Kommunikation zwischen Objekten in einem globalen Netzwerk entwickelt. Link-Layer-Pakete werden durch die Hardware-Adresse der Netzwerkkarte gerichtet. In dem Protokoll Internet ARP wird verwendet, um Bijektion IP und Ethernet-Adresse (Address Resolution Protocol). Zunächst hat die Host kann keine Informationen über die Ethernet-Adressen von anderen Hosts, die mit ihm im gleichen Segment sind, auch auf der Ethernet-Adresse des Routers. Dementsprechend sendet das erste Mal, wenn eine Netzwerk-Host-Ressourcen eine Broadcast-ARP-Anfrage, die alle Stationen im Netzwerksegment erhalten. Nach dem Empfang der Anforderung sendet der Router an die anfordernden Host ARP-Antwort, die zu seiner Ethernet-Adresse entsprechend. Dieses Betriebsschema ermöglicht es einem Angreifer falsche ARP-Antwort zu senden, wobei erklären sich die gewünschte Host (z.B. ein Router), und danach aktiv steuern den gesamten Netzwerkverkehr zu „Trick“ den Host.

Vorhersage der TCP - Sequenznummer (IP-Spoofing)

In diesem Fall wird die Ziel der Angreifer - zu tun, als ein anderes System zu sein, die, zum Beispiel, „Vertrauen“ System-Opfer. zum Beispiel des Opfers SMTP für das Senden von E-Mail fälschen zu verwenden - Das Verfahren ist auch für andere Zwecke verwendet. Installation TCP-Verbindung erfolgt in drei Schritten: Der Client wählt und sendet die Server-Sequenznummer (nennen sie es C-SYN), in Reaktion darauf sendet der Server das Client-Datenpaket enthält die Bestätigung (C-ACK) und seine eigene Sequenz Servernummer (S-SYN ). Nun muss der Kunde eine Bestätigung (S-ACK) senden. Nachdem diese Verbindung hergestellt und die Datenübertragung beginnt. Somit hat jedes Paket ein Header-Feld für die Sequenznummer und die Bestätigungsnummer. Diese Zahl steigt in dem Austausch von Daten und ermöglicht es Ihnen, die Übertragung Korrektheit zu kontrollieren. Es sei angenommen, dass ein Angreifer kann vorhersagen, welche Sequenznummer (S-SYN-Schema) wird an den Server gesendet werden. Dies kann auf der Grundlage der Kenntnis einer bestimmten TCP / IP-Implementierung erfolgen. Zum Beispiel wird ein Wert 4.3BSD Sequenznummer, die bei der Installation des nächsten Wert jede Sekunde erhöht sich um 125.000 somit verwendet werden, um ein Paket zu dem Server zu senden, könnte ein Angreifer eine Antwort zu erhalten, und (möglicherweise mit mehreren popytkok und Verbindungsgeschwindigkeit eingestellt) vorherzusagen Sequenznummer für die nächste Verbindung. Wenn TCP / IP-Implementierung einen speziellen Algorithmus zur Bestimmung der Sequenznummer verwendet, kann es durch das Senden mehrere Dutzend Paketserver und die Analyse ihrer Antwort geklärt werden. Daher gehen wir davon aus, dass System A Trusted System B, so dass B kann der Benutzer „rlogin A“ machen und schalten Sie das A, ohne ein Passwort einzugeben. Nehmen wir an, dass ein Angreifer auf dem C-System befindet. Ein System fungiert als eine Server-System B und C - wie Kunden. Die erste Aufgabe der Eindringling - geben Sie das System B in einem Zustand, in dem es nicht auf Netzwerkanforderungen reagieren zu können. Dies kann auf verschiedene Arten erfolgen, den einfachsten Fall, müssen Sie nur für die B-Neustart des Systems warten. Ein paar Minuten, während welcher Zeit es unbrauchbar sein wird, sollte ausreichend sein. Ein Angreifer könnte versuchen, das System B, um so zu tun, um einen Zugriff auf das System A zu bekommen (zumindest kurzfristig). Ein Angreifer sendet mehrere IP-Pakete, die eine Verbindung initiiert, wobei das System eines, den aktuellen Status der Server Sequenznummer zu bestimmen. Der Angreifer sendet IP-Paket, wobei die Rücksprungadresse bereits Adresse B-System spezifiziert. Ein System antwortet mit Paketfolgenummer, die an das System B gesendet wird, Allerdings wird das System B bekommt es nie (es aus dem System abgeleitet ist), da in der Tat, und der Angreifer. Es wird jedoch aufgrund der vorherigen Analyse realisiert eine Sequenznummer hat, mit dem System B gesendet wurde Ein Angreifer im Namen den „empfangenden“ Paket, das von A, B bestätigt das Paket an den beabsichtigten S-ACK zu senden (beachten Sie, dass, wenn die Systeme in einem Segment angeordnet sind, kann ein Angreifer die Sequenz zu bestimmen, ausreichende Anzahl intercept Paket durch das System A gesendet). Danach, wenn ein Angreifer Glück und die Anzahl Server-Sequenz war, war richtig geraten, wird die Verbindung hergestellt. Nun kann der Angreifer eine weitere gefälschte IP-Paket senden, die bereits Daten enthält. Zum Beispiel, wenn der Angriff auf der rsh gerichtet war, kann es Befehle enthält .rhosts Datei oder das Versenden von / etc / passwd Angreifer per E-Mail zu erstellen. Bekämpfung: einfache IP-Spoofing - Signalpakete mit internen Adressen dienen, die von der Außenwelt kamen. Router-Software kann der Administrator benachrichtigen. Aber wir sollten uns nicht täuschen - der Angriff kann aus Ihrem Netzwerk sein. Bei der Verwendung von mehreren intelligenten Netzwerksteuereinrichtung für einen Administrator kann (automatischer Modus) Pakete, die von Systemen überwachen, die der Lage sind, zu erreichen. Doch was verhindert, dass ein Angreifer das System B, die Antwort auf die ICMP-Pakete zu simulieren? Welche Möglichkeiten gibt es, gegen IP-Spoofing zu schützen? Zum einen kann es erschweren oder unmöglich machen, die Sequenznummer (ein Schlüsselelement des Angriffs) raten. Beispielsweise ist es möglich, die Änderungsrate in der Server-Sequenznummer ein oder wählen Sie die Vergrößerungsfaktor Sequenzzahl zufällig (vorzugsweise unter Verwendung von kryptographisch resistent Algorithmus zur Erzeugung von Zufallszahlen) zu erhöhen. Wenn Ihr Netzwerk eine Firewall (oder eine andere IP-Paketfilter) verwendet, fügen Sie Regeln, um es, in dem alle Pakete, die von außen kamen und eine Rückkehr-Adresse aus unserer Adressraum hat, sollte nicht in das Netzwerk weitergeleitet werden. Darüber hinaus sollte das Vertrauen Maschinen miteinander minimieren. Im Idealfall sollte es nicht eine Möglichkeit sein, direkt auf das nächste Maschine Netzwerk zu bekommen, Superuser auf einem von ihnen zu bekommen. Natürlich ist es nicht auf der Nutzung der Dienste zu sparen, die keine Genehmigung erforderlich ist, beispielsweise IRC (in einen IRC-Kanal zu protokollieren, die Ausgabe beliebige Meldungen usw. Internet Angreifer zu jeder Maschine und Hand Satz von Befehlen vorgeben). Verschlüsselung TCP / IP-Flow löst im Allgemeinen IP-spoofing'a Problem (mit der Maßgabe, dass eine kryptographisch starken Algorithmen verwendet). Um die Zahl solcher Angriffe zu reduzieren, ist es auch außerhalb unseres Netzwerks gesendet empfohlen Firewall einzurichten, Pakete zu filtern, sondern mit Adressen, die zu unserem Adressraum nicht gehören.

lokaler Sturm

einen „lokalen Sturm“ am Beispiel von UDP-Sturm Lassen Sie uns auf TCP / IP-Implementierung abschweifen und berücksichtigen. Typischerweise unterstützt die Standard-System-UDP-Ports, wie beispielsweise 7 ( „Echo“ ist, wird das empfangene Paket zurückgeschickt), 19 ( „CG“ in Reaktion auf das empfangene Paket an den Absender me Zeichenfolge Zeichengenerator senden) und das andere (Datum usw.). In diesem Fall kann der Angreifer nur das UDP-Paket senden, in dem der Quellport 7, als Empfänger wird aufgelistet - die 19., und als Zieladresse und den Sender aufgelistet, beispielsweise zwei Maschinen in Ihrem Netzwerk (oder sogar 127,0. 0,1). Nach dem Empfang des Pakets erfüllt der 19. Port die Zeile, die es in den Hafen geht und sendet ihn zurück zum 19 .. und so weiter ad infinitum 7. Der siebte Port dupliziert. Endloser Zyklus verbraucht Ressourcen und Maschinen eine sinnlose Belastung pro Kanal hinzufügen. Natürlich verlor das erste Mal, das UDP-Paket Sturm zu stoppen. Противодействие: в качестве защиты стоит еще раз порекомендовать не пропускать в сети пакеты с внутренними адресами, но пришедшие извне. Также рекомендуется закрыть на firewall использование большинства сервисов.

IP Hijacking

Das Verfahren ist eine Kombination aus ‚Abhören‘ und IP-spoofing'a. Voraussetzungen - ein Angreifer Zugriff auf einen Computer haben, auf dem Straßennetz Fluss befindet und über ausreichende Rechte auf sie zu erzeugen und Intercept IP-Pakete. Es sei daran erinnert, dass die Datenübertragung ständig Sequenznummer verwendet wird, und bestätigt Nummer (beiden Felder sind in den IP-Header). Auf der Grundlage ihrer Werte, der Server und der Client überprüft die Richtigkeit des Pakets. Es ist möglich, die Verbindung in einem „desynchronisierten Zustand“ zu verabreichen, wenn durch die Server-Sequenznummer und bestätigt Nummer gesendet wird, nicht mit dem erwarteten znacheniemi Client zusammenfallen, und umgekehrt. In diesem Fall kann der Angreifer, „hören“ die Linie über die Funktionen eines Vermittlers übernehmen können, zu erzeugen gültige Pakete an den Client und dem Server und Abfangen ihre Antworten. Das Verfahren ermöglicht es, vollständig das Schutzsystem zu umgehen, wie zum Beispiel Einmalpassworte, weil der Angreifer beginnt bereits nach Benutzerauthentifizierung erfolgt. Es gibt zwei Möglichkeiten Unsync Verbindung. • Früh Desynchronisation. Verbindung des sync in der Phase der Installation. Der Angreifer wartet auf das Netzwerksegment, durch welche die Pakete werden von Interesse zu seiner Sitzung übergeben. Warten auf S-SYN-Paket von dem Server, sendet der Angreifer einen Typen RST-Server-Pakets (Reset), natürlich mit der richtigen Folgenummer, und sofort durch ein gefälschtes C-SYN-Paket von dem Client-Name-Server setzt die erste Sitzung und öffnet anschließend auf einen neuen der gleich Port, aber mit einer neuen Sequenznummer, und dann sendet den Client ein neues S-SYN-Paket. Der Client ignoriert das S-SYN-Paket, aber der Angreifer auf der Leitung zu hören, sendet der Server das S-ACK-Paket, das von dem Namen des Kunden. Somit sind die Client und Server NIEDERGELASSEN der Lage, aber die Session desynchronisiert wird. Natürlich ist zu 100% der Antwort in diesem Schema nicht, zum Beispiel, ist es die Tatsache, nicht gefeit, dass die Straße durch den Angreifer gesendet keine Pakete verlieren. Um richtig, diese Situationen zu bewältigen, muss das Programm kompliziert sein. • Desynchronisation gleich Null. In diesem Fall hört ein Angreifer für die Sitzung, und an einem gewissen Punkt sendet ein Paket an den Server mit den „Null“ Daten, das heißt, solche, die tatsächlich auf der Anwendungsebene ignoriert werden und nicht sichtbar an den Client (zum Beispiel kann es Telnet-Datentyp IAC NOP IAC NOP IAC NOP ... sein). Ein ähnliches Paket wird an den Client gesendet. Es ist offensichtlich, dass nach diesem Sitzungszustand desynchronisiert wird. ACK-Sturm Eines der Probleme mit IP-Hijacking ist, dass jedes Paket, das gesendet wurde, wenn die Sitzung in einem desynchronisierte Zustand ist, ist der sogenannte ACK-Sturm. Zum Beispiel auf dem Server und dem Client das Paket ist es nicht akzeptabel, gesendet, so sagt er, ACK-Paket. Als Reaktion auf diese nicht akzeptabel, auch für ein Client-Server-Paket erhält wieder eine Antwort. Und so weiter bis ins Unendliche. Glücklicherweise sind die heutigen Netzwerke auf Technologie, die den Verlust einzelner Pakete erlaubt. Da ACK-Pakete keine Daten tragen, wird die erneute Übertragung nicht auftreten, und „der Sturm nachlässt.“ Versuche haben gezeigt, dass je mehr ACK-Sturm, desto schneller „beruhigt“ sich - bei 10 MB Ethernet diese in Sekundenbruchteilen geschieht. Auf unzuverlässige Verbindungen wie SLIP - nicht viel mehr. Erkennung und Schutz Es gibt mehrere Möglichkeiten. Zum Beispiel können Sie eine TCP / IP-Stack implementieren, die den Übergang zu einem desynchronisierte Zustand überwachen, Informationen über die Sequenznummer teilen / quittieren Nummer. Doch in diesem Fall sind wir nicht immun gegen den Angreifer, mich und diese Werte. Daher ist eine zuverlässigere Methode Netzwerkverkehr zu analysieren, überwachen Schwellen ACK-Stürme. Dies kann unter Verwendung der spezifischen Mittel der Kontrolle über das Netzwerk erfolgen. Wenn der Angreifer desynchronisierte Verbindung aufrechtzuerhalten nicht hart arbeiten, bevor es zu schließen oder die Ausgabe der Befehle nicht filtern, diese auch sofort werden für den Benutzer sichtbar. Leider öffnet die überwiegende Mehrheit einfach eine neue Sitzung, ohne an den Administrator zurückzugreifen. Absoluter Schutz gegen diesen Angriff bietet, wie immer, Verschlüsselung TCP / IP-Datenverkehr (auf der Anwendungsebene - Secure Shell) oder auf Protokollebene - IPsec). Dadurch entfällt die Möglichkeit, den Netzwerkfluss zu modifizieren. Um PGP zu schützen kann E-Mail-Nachrichten verwendet werden. Es sollte beachtet werden, dass das Verfahren auch nicht auf einige spezielle TCP / IP-Implementierungen funktioniert. Somit ist trotz der [rfc ...], die als Reaktion auf das RST-Paket stillschweigende Abschlusssitzung erfordert, erzeugen einige Systeme ein Gegen RST-Pack. Dies macht es unmöglich früher Desynchronisation.

Intrusion Detection und Schutz gegen sie

• Zur Erkennung von Angriffen Broadcast Aktivität analysieren können - es UDP-Pakete, NBF, SAP. • Um das interne Netzwerk zu schützen Internet'u verbunden, die von den externen eingehenden Paketen nicht entgehen lassen, von denen die Quelle wert ist die interne Netzwerk-Adresse. Sie können Pakete erlauben nur auf Port 80. • Legen Sie die Paketfilterung passieren, falls erforderlich (nicht vernachlässigen sogar
Control Panel \ Network \ Protocols \ Properties \ Advanced in Windows NT).

Abtastverfahren

Mit Hilfe der ARP

Diese Art der Anfrage kann von Angreifern genutzt werden, um die Betriebssysteme auf den LAN-Segmenten zu bestimmen.

Scanning - Netzwerk über DNS

Es ist bekannt, dass vor dem Starten der Angreifer Identifizierungszwecken ausgeführt, d.h. Identifizieren von Computern, die Opfer angreifen, sowie Computer, die den Informationsaustausch mit den Opfern führen. Eine Möglichkeit, die Ziele zu identifizieren, ist die Servernamen abzufragen und ihm alle verfügbaren Informationen über die Domain zu bekommen. Counter: Scannen die Notwendigkeit zu bestimmen , diese DNS-Anfrage (Adresse Name) zu analysieren , kommt möglicherweise von anderem DNS - Server, sondern für eine bestimmte, festgelegte Menge an Zeit. Es ist notwendig, diese Art von Informationen in ihnen zu sehen übertragen und Sortier Adressen zu verfolgen.

UDP Bombe

Netzwerk Abtastverfahren Ping Sweep

Ping-Sweep oder Nachweiszwecke verwendet ICMP-Protokoll ist eine effiziente Methode.

Counter: zur Bestimmung Tisch Abtastzwecke innerhalb des Subnetzes, ist es notwendig , die Quell- und Zieladressen von ICMP - Paketen zu analysieren.

Scanning TCP - Ports

Port-Scanning ist ein bekannter Computer und Dienste-Konfiguration Erkennungsverfahren. Es gibt verschiedene Methoden des Scannens TCP, einen Teil von ihnen ist geheimnis (Stealth) genannt, weil sie Schwachstellen TCP / IP-Stack-Implementierungen in den meisten modernen Betriebssystemen zu nutzen und nicht durch Standardmittel nachgewiesen werden können. Zähler: Zähler kann beispielsweise durchgeführt werden, vorbei an den TCP - Pakete mit dem RST - Flag im Namen des gescannten Computer mit dem Computer des Angreifers.

UDP Port - Scan

Eine andere Art von Port-Scanning auf UDP-Protokoll basiert, und ist wie folgt: auf der abgetasteten Computer übertragen wird UDP-Paket an einen Port adressiert, die auf Verfügbarkeit geprüft wird. Wenn der Port nicht verfügbar ist, dann kommt die Antwort ICMP nicht erreichbar Nachricht (Ziel-Port nicht erreichbar), ansonsten gibt es keine Antwort. Diese Art des Abtastens ausreichend wirksam ist. Es ermöglicht eine kurze Zeit alle Ports auf dem infizierten Computer zu scannen. Opposition zu: Diese Art des Abtastens entgegenzuwirken ist möglich durch Messaging - Port nicht erreichbar auf den Computer des Angreifers.

Stealth-Scan

Das Verfahren ist auf einem falschen Netzwerkcode basiert, so können wir nicht garantieren, dass sie in einer bestimmten Situation richtig funktionieren. Verwendet TCP-Pakete mit der FIN-ACK- und Fahnen. Sie sollten verwendet werden, wie Wenn ein solches Paket an den Port am ungeöffneten Verbindung gesendet wird, immer eine Rück RST. Es gibt mehrere Methoden, die verwendet werden bedeutet dies: • Senden FIN-Pack. Wenn der empfangende Host ein RST zurückgibt, dann wird der Port ist inaktiv, wenn der RST nicht zurückgegeben wird, dann wird der Port aktiv ist. Diese Methode funktioniert auf den meisten Betriebssystemen. • Senden ACK-Paket. Wenn die TTL der Pakete zurück weniger als der Rest der empfangenen RST-Pakete, oder wenn die Fenstergröße größer als Null ist, ist es wahrscheinlich, daß die Port aktiv ist.

passiver Scan

Der Scanvorgang wird häufig von Hackern verwendet, um herauszufinden, was TCP-Ports Dämonen betreiben, reagiert auf Anfragen aus dem Netz. Die übliche Anti-Virus-Scanner-Serie bietet Verbindungen zu verschiedenen Häfen. Wenn die Verbindung hergestellt ist, setzt das Programm es, die Portnummer an den Angreifer zu erzählen. Dieses Verfahren kann leicht angeblich Dämonen überrascht Interrupt unmittelbar nach der Verbindung erkannt werden, oder durch spezielle Software. Die meisten dieser Programme haben einige Versuche Elemente künstliche Element einzuführen Versuche bei der Überwachung der verschiedenen Ports zu verbinden. Allerdings kann ein Angreifer nutzt eine alternative Strategie - passives Scannen (die englischen Begriff „passive scan“). Wenn es verwendet wird, sendet der Angreifer eine TCP / IP-SYN-Paket an alle Ports in einer Reihe (oder einem vorgegebenen Algorithmus). Für die TCP-Port-Verbindung außerhalb Einnahme wird SYN / ACK-Paket zurück, als Einladung 3-Wege-Handshake zu fördern. Der Rest wird wieder RST-Pakete. Nach der Datenantwort zu analysieren, kann der Angreifer schnell sehen, welche Programme auf dem Ports ausgeführt werden. Als Reaktion auf die SYN / ACK-Pakete können auch RST-Pakete beantworten, was darauf hinweist, dass die Verbindung Setup-Prozess fortgesetzt wird (automatisch TCP / IP-Implementierung des Angreifers reagieren im Allgemeinen RST-Pakete werden, wenn er nicht spezielle Maßnahmen ergreift) nicht sein. Das Verfahren ist nicht durch früheres Verfahren nachgewiesen, da die tatsächliche TCP / IP-Verbindung nicht aufgebaut ist. Jedoch (je nach Verhalten des Angreifers) kann stark die Anzahl der Sitzungen erhöht verfolgt werden, die in SYN_RECEIVED Zustand sind. (Mit der Maßgabe, dass kein Angreifer eine Antwort sendet RST) Empfangen von dem Client-RST-Paket in Antwort auf SYN / ACK. Leider recht geschicktes Eindringlings Verhalten (beispielsweise Abtastung mit einer niedrigen Geschwindigkeit oder nur bestimmte Ports prüfen) passive Abtasten zu erfassen ist nicht möglich, da es nicht von herkömmlichen Versuchen ist es, eine Verbindung herzustellen. Als Schutz kann nur auf dem Firewall rät alle Dienste zu schließen, zu dem Zugang von außen nicht erforderlich ist.

Einladungssystem und das Risiko von Informationen in

Es ist notwendig, das „Einladungssystem“ angezeigt durch den Zentralcomputer an den RAS-Terminal für die Benutzeranmeldung zu entfernen. Diese Anforderung ist aufgrund der folgenden Gründe: • „Systemeingabeaufforderung“ in der Regel Informationen enthält, die es einem Angreifer ermöglicht, den Typ und die Version des Host-Computer-Betriebssystem, die Art der Fernzugriffssoftware usw. Solche Informationen zu identifizieren, kann die Aufgabe, brechen in ein System stark vereinfacht, weil der Täter kann. Verwendung von illegal Zugangsmittel eine besondere Schwäche des Systems; • „Einladungssystem“ bezieht sich in der Regel auf ein System von Abteilungszugehörigkeit. In dem Fall, in dem das System geheime Agentur oder eine Finanzstruktur Eindringling gehört Zinsen deutlich erhöhen können; • Die jüngste Studie wies die Klage einer Person illegal in das Firmennetz eingetragen, weil sie durch die Inschrift auf dem Terminal Remote-Zugriff auf einen zentralen Computer „Welcome to ...“ seine Handlungen motiviert ( „Welcome to ...“).

Ein paar Tipps für Online - Forschung

• Просканировать сервер на предмет открытых портов и сервисов. • Попробовать зайти на сервер под именем IUSR_<имя машины с шарами> • Попытаться спереть SAM._ из /REPAIR (пароли из SAM достаются командой expand). • Директории /scripts и /cgi-bin, как известно наверное многим, в НТ можно запускать любые файлы из этих директорий, поэтому следует закрывать к этим директориям доступ. Запуск осуществляется примерно такой командой (если исполняемый файл в /scripts) из бровзера - http://www.idahonews/scripts/getadmin.exe?test. Можно получить админовские права следующим образом - проги-то из /scripts запускаются не под юзернеймом пользователя, а с того самого web-аккаунта, из чего можно сделать вывод, что пароли админа можно элементарно сдампить из реестра с помощью PWDUMP.exe. • Следует помнить, что программы из /SCRIPTS запускаются под Web-аккаунтом, а не под аккаунтом запустившего пользователя. Поэтому можно попытаться сдампить пароли из реестра с помощью PWDUMP.EXE. Пароли будут закодированные. В этом случае следует сохранить страницу в виде текстового файла и попытаться раскодировать пароли с помощью программы BRUTEFORCE. • Под администраторским аккаунтом можно поменять алиасы на ftp и http.

Некоторые другие способы получения информации

• Используя whois или NSLookUp для выяснения альтернативных имен выяснить, кому принадлежит сеть. Запомнить диапазон ip-адресов для последующего их сканирования. • Пойти на ближайший роутер и что-либо выяснить. Для нахождения роутера нужно протрассировать путь до любого ip-адреса из обнаруженного диапазона. Ближайший роутер определяется по времени отклика. • Попробуйте зайти на роутер telnet'ом. • Запустить сканер диапазона ip-адресов для обнаружения запущенных на PC служб.

Дыры и ошибки администрирования в Windows NT

• Рассмотрим уязвимость, связанную с ошибкой в реализации системы. Данная уязвимость приводит к возможности атаки, называемой GetAdmin . Уязвимым является системный сервис NtAddAtom, не проверяющий параметры, переданные ему, и устанавливающий бит 0 по адресу NtGlobalFlag + 2. Для этого необходимо открыть файл ntoskrnl.exe и найти точку входа в NtAddAtom. Установка данного бита отключается проверка привилегий отладчика в NtOpenProcess и NtOpenThread. Таким образом, любой пользователь имеет право открыть любой процесс в системе. Атака открывает процесс Winlogon процесс и встраивает dll к нему. Так как данный сервис имеет привилегии SYSTEM, он может добавить пользователя к группе Administrator или удалить его из данной группы. Теоретически возможны и другие нарушения безопасности системы. • Один из популярных методов проникновения в систему - подбор пароля. Для борьбы с этим обычно устанавливают блокировку учетной записи пользователя после определенного числа неудачных попыток входа. Приятным исключением является учетная запись администратора. И если он имеет право доступа на вход через сеть, это открывает лазейку для спокойного угадывания пароля. Для защиты рекомендуется переименовать пользователя Administrator, установить блокировку учетных записей, запретить администратору вход в систему через сеть, запретить передачу SMB пакетов через TCP/IP (порты 137,138,139), установить протоколирование неудачных входов.

Спам

Спаммеры подыщут для начала рассылки своего почтового мусора не просто ISP, а, скорее всего, выберут корпорацию, т.к. провайдеру Internet легче понять, что произошло, и он, вероятно, сможет быстрее избавиться от таких сообщений. Периодически повторяющийся спамминг может нарушить работу законных пользователей из-за перегрузки сервера электронной почты. Проблема состоит в том, что подключиться к SMTP-серверу не так уж трудно. Для этого необходимо знать лишь 7-8 команд, чтобы SMTP-сервер стал распространять Ваши сообщения. Для ограждения от этого можно осуществлять проверку адресов поступающих сообщений по базе данных зарегистрированных пользователей сервера. Если адрес посылающего сообщение или один из запрошенных им адресов в списке отсутствует, электронная почта передаваться не будет.

Как уберечь почтовую систему от спаммеров

• Если вы не читаете логи, то спаммеры будут действовать безнаказанно. • Запрограммируйте все, кроме одного, почтовые серверы Вашей компании так, чтобы они не отвечали на запросу на пересылку сообщений. Оставшийся сервер должен тщательно фильтровать IP-адреса. • Держите все серверы электронной почты, которые могут принимать запросы на пересылку сообщений, в зоне действия своего брандмауэра.

Как работают спаммеры

• Мишень выбрана - спаммер производит случайный выбор доменного имени компании и затем отгадывает имя хоста постового SMTP-сервера. Если сервер примет почту, спаммер просит его распространить сообщение по списку адресов. • Сервер исполняет запрос, создавая впечатление, что сообщения уходят с IP-адреса компании-жертвы.

Дыры IIS, WWW, FTP

• Отправитель может оставить свой фальшивый адрес следующим образом: отправитель может сам соединиться с SMTP-портом на машине, от имени которой он хочет отправить письмо, и ввести текст письма. • Служба FTP позволяет устанавливать пассивные соединения на основе адреса порта, указанного клиентом. Это может быть использовано злоумышленником для выдачи опасных команд службе FTP. Реестр содержит ключ: <HKLM\System\CurrentControlSet\Services\MSFTPSVC\Parameters> со значением <EnablePortAttack: REG_DWORD: > Убедитесь, что значение установлено в '0', а не '1'. • Если соединиться через telnet с портом 80, команда "GET ../.." приведет к краху IIS и сообщению "The application, exe\inetinfo.dbg, generated an application error The error occurred on date@ time The exception generated was c0000005 at address 53984655. • Адрес 'http://www.domain.com/scripts..\..\scriptname" позволяет выполнить указанный скрипт. По умолчанию пользователь Guest или IUSR_WWW имеет права на чтение всех файлов во всех каталогах. Так что эти файлы могут быть просмотрены, скачаны и запущены. • Директории \script\cgi-bin следует закрывать, т.к. из этих директорий можно запускать любые файлы прямо из окна browser'а. • Пpи запpосе у IIS очень длинного URL (4 - 8KB) сервер повисает и не реагирует на дальнейшие запpосы. Пpоблема в том, что точный размер URL зависит от конкретного сервера, поэтому пpогpаммы-убийцы начиная с некоторого базового размера запроса и постепенно увеличивая размер пытаются найти ту кpитическую точку, что подвесит сеpвеp-жеpтву. • Пользователям Outlook Express 98 приходится считаться с тем, что этот мейлер позволяет обрабатывать, в том числе и на исполнение, Visual-Basic-скрипты, которые легко могут быть скрыты в письме. Подобный скрипт имеет полный доступ к файловой системе. Реальной защитой может стать лишь установка "уровня безопасности" в Outlook на "максимум". • Если в чате разрешен ввод тегов html, никто не помешает вставить в свое сообщение что-то типа <img src="http://www.mysite.com/cgi-bin/sniffer.cgi">. В итоге все присутствующие в чате (даже не зарегистрировавшиеся) будут, сами того не ведая, вызывать скрипт. • Ограничивайте доступ к порту 25 только для некоторых пользователей.