This page has been robot translated, sorry for typos if any. Original content here.

Netzwerkangriffe und etwas anderes

Einführung in Netzwerkangriffe

Kurze Beschreibungen von Netzwerkangriffen

Fragmentierung von Daten

Übertragung von fragmentierten IP-Paketen

Ping Überschwemmung Angriff

PingOfDeath oder SSPing

UDP-Bombe

SYN Überschwemmung

Nicht-Standard-Protokolle, die in IP eingekapselt sind

Verwenden des TFTP-Protokolls

Schlumpfangriff

Angriff Land

Die Einführung eines falschen Servers in das Internet durch die Schaffung eines gerichteten "Sturms" von falschen DNS-Antworten auf den Host, der angegriffen wird

Die Einführung eines falschen Servers in das Internet durch Abfangen einer DNS-Abfrage oder Erstellen eines gerichteten "Sturms" von falschen DNS-Antworten auf den angegriffenen DNS-Server

Die Einführung eines falschen DNS-Servers in das Internet durch Abfangen einer DNS-Abfrage

DNS-Überschwemmungsangriff

DNS-Spoofing-Angriff

IP-Spoofing-Angriff

Packet Imposition

Schnüffeln - Hören des Kanals (nur im LAN-Segment möglich)

Abfangen von Paketen auf dem Router

Implantieren eines Schurkenroutenwirts mit ICMP

WinNuke

Falscher ARP-Server

Vorhersage TCP-Sequenznummer (IP-Spoofing)

Lokaler Sturm

IP-Entführung

Erkennung von Angriffen und Schutz vor ihnen

Scan-Methoden

Verwenden des ARP-Protokolls

Scannen des Netzwerks über DNS

UDP-Bombe

Scannen von TCP-Ports

Scannen von UDP-Ports

Stealth-Scan

Passives Scannen

Einladung des Systems und die Gefahr der darin enthaltenen Informationen

Ein paar Tipps für die Netzwerkforschung

Einige andere Möglichkeiten, Informationen zu erhalten

Löcher und Administratorfehler in Windows NT

Spam

So schützen Sie das Mailsystem von Spammern

Wie Spammer arbeiten

IIS Löcher, WWW, FTP

Einführung in Netzwerkangriffe

Das verstärkte Interesse an TCP / IP-Netzwerken ist auf das rasche Wachstum des Internets zurückzuführen. Allerdings ist man davon überzeugt, wie man seine Informationsressourcen vor Angriffen aus dem externen Netzwerk schützen kann. Wenn Sie mit dem Internet verbunden sind, kann Ihr System angegriffen werden. Protokolle der IP-Familie sind die Basis für den Aufbau von Intranet-Netzwerken und dem globalen Internet. Obwohl die Entwicklung von TCP / IP vom US-Verteidigungsministerium finanziert wurde, hat TCP / IP keine absolute Sicherheit und ermöglicht die verschiedenen Arten von Angriffen, die in diesem Kapitel behandelt werden. Um solche Angriffe auszuführen, muss ein potentieller Angreifer die Kontrolle über mindestens eines der mit dem Internet verbundenen Systeme haben. Ein Ansatz zur Analyse von Bedrohungen für die Sicherheit von Computersystemen besteht darin, in eine separate Klasse von Bedrohungen zu isolieren, die nur in Computernetzwerken inhärent sind. Diese Klasse von Bedrohungen heißt die Klasse der Fernangriffe. Dieser Ansatz zur Klassifizierung scheint aufgrund der Existenz von grundlegenden Merkmalen bei der Konstruktion von vernetzten Betriebssystemen förderfähig zu sein. Das Hauptmerkmal eines beliebigen Netzwerk-Betriebssystems ist, dass seine Komponenten im Raum verteilt sind und die Verbindung zwischen ihnen physisch durch spezielle Netzwerkverbindungen (Koaxialkabel, Twisted Pair, Faser usw.) und programmgesteuert mittels des Nachrichtenmechanismus durchgeführt wird. In diesem Fall werden alle Steuerungsnachrichten und Daten, die von einer Komponente des Netzwerk-Betriebssystems an eine andere Komponente gesendet werden, über Netzwerkverbindungen als Austauschpakete übertragen. Diese Eigenschaft ist der Hauptgrund für die Entstehung einer neuen Klasse von Bedrohungen - Fernangriffe. Für diese Art von Angriff interagiert der Angreifer mit dem Empfänger der Information, des Absenders und / oder der Zwischensysteme, möglicherweise durch Ändern und / oder Filtern des Inhalts von TCP / IP-Paketen. Diese Art von Angriffen scheinen oft technisch schwierig zu implementieren, aber für einen guten Programmierer ist es nicht schwierig, das entsprechende Toolkit zu implementieren. Die Fähigkeit, beliebige IP-Pakete zu erstellen, ist ein wichtiger Punkt für die Durchführung von aktiven Angriffen. Fernangriffe können nach der Art der Aktion klassifiziert werden: aktiv oder passiv. Aktive Angriffe können in zwei Teile aufgeteilt werden. Im ersten Fall nimmt der Angreifer bestimmte Schritte ein, um den Netzwerkstrom abzufangen und zu modifizieren oder versucht, von einem anderen System "vorzutäuschen". Im zweiten Fall wird das TCP / IP-Protokoll verwendet, um das Opfersystem in einen nicht operativen Zustand zu bringen. Bei passiven Angriffen erkennen sich Angreifer in keiner Weise selbst und treten nicht direkt mit anderen Systemen zusammen. In der Tat, es kommt alles auf die Überwachung der verfügbaren Daten oder Kommunikationssitzungen. Obwohl passive Angriffe die Netzwerksicherheitsrichtlinien verletzen können. Die Idee, einen Angriff zu erkennen, ist einfach: Jeder Angriff entspricht einem bestimmten Netzwerkverkehr, daher erlaubt die Analyse des Verkehrs den Angriff und erkennt die "Spuren" des Angreifers, d.h. Identifizieren Sie die IP-Adressen, von denen der Informationseffekt durchgeführt wurde. So wird die Erkennung von Angriffen durch die Methode der Überwachung von Informationsflüssen durchgeführt, die durch die Analyse des Netzwerkverkehrs erreicht wird.

Kurze Beschreibungen von Netzwerkangriffen

Es sollte daran erinnert werden, dass grobe Methoden wie Pinging große Pakete oder SYN Überschwemmungen, können jede Internet-Maschine oder Subnetz, unabhängig von der Konfiguration überschwemmen.

Fragmentierung von Daten

Beim Übertragen eines IP-Datenpakets über ein Netzwerk kann dieses Paket in mehrere Fragmente unterteilt werden. Später, bei Erreichen des Zielortes, wird das Paket aus diesen Fragmenten gewonnen. Ein Angreifer kann das Senden einer großen Anzahl von Fragmenten initiieren, was zu einem Überlauf von Programmpuffern auf der Empfangsseite und in einigen Fällen zu einer abnormen Beendigung des Systems führt.

Übertragung von fragmentierten IP-Paketen mit einem Gesamtvolumen von mehr als 64KB

Die Anzahl der Implementierungen von Angriffen, die die Möglichkeit der Fragmentierung von IP-Paketen ausnutzen, ist groß genug. Mehrere fragmentierte IP-Pakete werden an den Opfercomputer übertragen, der bei der Zusammenstellung aus einem Paket größer als 64K (die maximale Größe des IP-Pakets beträgt 64K abzüglich der Länge des Headers). Dieser Angriff war gegen Computer unter Windows wirksam. Wenn Sie ein solches Paket erhalten, Windows NT, die nicht über einen speziellen Patch icmp-fix, "hängt" oder stürzt ab. Andere Varianten solcher Angriffe verwenden falsche Verschiebungen in IP-Fragmenten, was zu einer fehlerhaften Speicherzuteilung, einem Überlauf von Puffern und schließlich zu Systemfehlern führt.

Gegenantrag: Um solche Angriffe zu erkennen, ist es notwendig, den Aufbau von Paketen "on the fly" durchzuführen und zu analysieren, und dies wird die Anforderungen an Hardware deutlich erhöhen.

Ping Überschwemmung Angriff

Er erschien, weil das Programm "ping", entworfen, um die Qualität der Linie zu beurteilen, hat den Schlüssel für "aggressive" Prüfung. In diesem Modus werden Anfragen mit der höchstmöglichen Geschwindigkeit gesendet und das Programm erlaubt Ihnen, zu bewerten, wie das Netzwerk bei maximaler Belastung arbeitet. Dieser Angriff erfordert, dass ein Angreifer auf die schnellen Kanäle im Internet zugreift. Erinnere dich, wie Ping funktioniert. Das Programm sendet ein ICMP-Paket vom Typ ECHO REQUEST, wobei er die Zeit und seine Kennung darin aussetzt. Der Kern der Zielmaschine reagiert auf eine ähnliche Anfrage mit dem ICMP ECHO REPLY Paket. Nachdem er es erhalten hat, gibt ping die Geschwindigkeit des Pakets. In der Standardbetriebsart werden Pakete nach einigen Zeitintervallen gesendet, praktisch ohne das Netz zu laden. Aber im "aggressiven" Modus kann der ICMP-Echo-Anforderungs- / Antwortpaketstrom dazu führen, dass eine kleine Leitung überlastet wird, so dass sie die Möglichkeit hat, nützliche Informationen zu übertragen. Natürlich ist der Fall von Ping ein Sonderfall einer allgemeineren Situation, verbunden mit der Überlastung der Kanäle. Zum Beispiel kann ein Angreifer mehrere UDP-Pakete an Port 19 eines Opfer-Rechners senden, und wenn er den allgemein akzeptierten Regeln folgt, hat er einen Zeichengenerator auf dem 19. UDP-Port, der auf Pakete mit Zeilen von 80 Bytes antwortet. Beachten Sie, dass ein Angreifer auch die umgekehrte Adresse solcher Pakete schmieden kann, was es schwierig macht, es zu erkennen. Verfolgen Sie es wird helfen, es sei denn, die koordinierte Arbeit von Spezialisten auf Zwischen-Router, die fast unmöglich ist. Eine Variante des Angriffs besteht darin, ICMP-Echo-Anforderungspakete mit der Quelladresse zu senden, die auf das Opfer auf die Broadcast-Adressen großer Netzwerke hinweist. Infolgedessen wird jede der Maschinen auf diese gefälschte Anfrage antworten, und die sendende Maschine erhält mehr Antworten. Wenn Sie eine Menge von Broadcast-Echo-Anfragen im Namen des "Opfers" an die Broadcast-Adressen von großen Netzwerken senden, können Sie eine scharfe Befüllung des "Opfer" -Kanals verursachen. Die Zeichen der Überschwemmung sind eine stark erhöhte Belastung des Netzwerks (oder Kanals) und eine Erhöhung der Anzahl der spezifischen Pakete (wie ICMP). Als Schutz können Sie die Konfiguration von Routern empfehlen, in denen sie denselben ICMP-Verkehr filtern und einen vordefinierten Wert überschreiten (Pakete / Zeiteinheit). Um sicherzustellen, dass Ihre Maschinen nicht als Quelle für Ping-Überschwemmungen dienen können, beschränken Sie den Zugriff auf Ping.

PingOfDeath oder SSPing

Das Wesen ist wie folgt: Ein stark zersplittertes ICMP-Paket von einer großen Größe (64KB) wird an die Maschine des Opfers geschickt. Die Antwort von Windows-Systemen, um ein solches Paket zu erhalten, ist bedingungsloses Absacken, einschließlich Maus und Tastatur. Das Programm für Angriff ist weit verbreitet im Netzwerk in Form von Quellcode in C und als ausführbare Dateien für einige Versionen von Unix. Neugierig, im Gegensatz zu WinNuke, kann ein Opfer eines solchen Angriffs nicht nur Windows-Rechner, MacOS und einige Unix-Versionen betroffen sein. Vorteile dieser Angriffsmethode sind, dass in der Regel die Firewall ICMP-Pakete übergibt, und wenn die Firewall konfiguriert ist, um die Adressen von Sendern zu filtern, dann mit einfachen Spoofing-Techniken, können Sie eine solche Firewall täuschen. Der Nachteil von PingOfDeath ist, dass für einen Angriff ist es notwendig, mehr als 64KB über das Netzwerk zu senden, was es im Allgemeinen unanwendbar macht für großflächige Abteilungen.

UDP-Bombe

Das übermittelte UDP-Paket enthält ein ungültiges Format für die Servicefelder. Einige ältere Versionen der Netzwerksoftware führen zum Erhalt eines ähnlichen Pakets für eine abnormale Beendigung des Systems.

SYN Überschwemmung

Überschwemmung mit SYN-Pakete ist der bekannteste Weg, um einen Informationskanal zu "hammer". Erinnern Sie sich, wie TCP / IP bei eingehenden Verbindungen funktioniert. Das System reagiert auf das eingehende C-SYN-Paket mit einem S-SYN / C-ACK-Paket, überträgt die Sitzung in den SYN_RECEIVED-Zustand und stellt sie in die Warteschlange ein. Wenn der S-ACK nicht innerhalb der angegebenen Zeit ankommt, wird die Verbindung aus der Warteschlange gelöscht, andernfalls wird die Verbindung in den ESTABLISHED-Zustand übertragen. Betrachten Sie den Fall, in dem die Warteschlange der Eingangsverbindungen bereits voll ist, und das System empfängt ein SYN-Paket, das die zu ermittelnde Verbindung einlädt. Nach dem RFC wird er stilllos ignoriert. Die Überschwemmung mit SYN-Paketen basiert auf Server-Überlauf, danach reagiert der Server nicht mehr auf Benutzeranforderungen. Der bekannteste Angriff dieser Art ist ein Angriff auf Panix, ein New Yorker Anbieter. Panix hat nicht für 2 Wochen gearbeitet. In verschiedenen Systemen wird die Arbeit mit der Warteschlange auf unterschiedliche Weise umgesetzt. Also, in BSD-Systemen hat jeder Port seine eigene Warteschlange mit der Größe von 16 Elementen. In SunOS-Systemen gibt es im Gegenteil keine solche Aufteilung und das System hat einfach eine große allgemeine Schlange. Dementsprechend reicht der WWW-Port auf BSD zum Beispiel um 16 SYN-Pakete, und für Solaris 2.5 wird ihre Zahl viel größer sein. Nachdem eine gewisse Zeit verstrichen ist (abhängig von der Implementierung), entfernt das System Anfragen aus der Warteschlange. Allerdings verhindert nichts, dass ein Angreifer einen neuen Teil der Anfragen sendet. So kann auch ein Angreifer, der auf einer Verbindung von 2400 bps liegt, alle 20 Minuten auf 20-30 Pakete auf einem FreeBSD-Server senden und ihn in einem nicht funktionierenden Zustand halten (natürlich wurde dieser Fehler in den neuesten Versionen von FreeBSD behoben). Wie üblich kann ein Angreifer bei der Erstellung von Paketen zufällige umgekehrte IP-Adressen nutzen, was es schwierig macht, seinen Verkehr zu erkennen und zu filtern. Erkennung ist einfach - eine große Anzahl von Verbindungen im Zustand SYN_RECEIVED, ignorieren Versuche werden mit diesem Port verbunden. Als Schutz können Sie Patches empfehlen, die eine automatische "Prune" -Warteschlange implementieren, zB basierend auf dem Algorithmus Early Random Drop. Um herauszufinden, ob Ihr System gegen SYN-Überschwemmungen geschützt ist, wenden Sie sich an den Systemverkäufer. Eine weitere Möglichkeit besteht darin, die Firewall so zu konfigurieren, dass alle eingehenden TCP / IP-Verbindungen von der Firewall selbst installiert werden und sie dann nur dann an das Innere des Netzwerks an die angegebene Maschine übertragen. Dies ermöglicht es Ihnen, Syn-Flooding zu begrenzen und nicht zuzulassen, dass es das Netzwerk betritt. Dieser Angriff bezieht sich auf die Denial-of-Service-Angriffe, deren Ergebnis die Unmöglichkeit der Bereitstellung von Dienstleistungen ist. Der Angriff ist in der Regel auf einen bestimmten, spezifischen Service, wie telnet oder ftp gerichtet. Es besteht darin, die Verbindungsaufbaupakete an den Port zu übergeben, der dem angegriffenen Dienst entspricht. Wenn die Anforderung empfangen wird, ordnet das System Ressourcen für die neue Verbindung zu und versucht dann, auf die Anfrage zu antworten (senden Sie "SYN-ACK") an die nicht erreichbare Adresse. Standardmäßig versucht NT Versionen 3.5-4.0, die Bestätigung 5 mal zu wiederholen - nach 3, 6, 12, 24 und 48 Sekunden. Danach weitere 96 Sekunden kann das System eine Antwort erwarten, und erst danach werden die für die zukünftige Verbindung zugewiesenen Ressourcen freigegeben. Die Gesamtzeit der Ressourcennutzung beträgt 189 Sekunden.

Nicht-Standard-Protokolle, die in IP eingekapselt sind

Das IP-Paket enthält ein Feld, das das Protokoll des verkapselten Pakets (TCP, UDP, ICMP) spezifiziert. Angreifer können den Nicht-Standardwert dieses Feldes verwenden, um Daten zu übertragen, die nicht durch Standard-Informationsflusskontrollen erfasst werden.

Verwenden des TFTP-Protokolls

Dieses Protokoll enthält keine Authentifizierungsmechanismen, weshalb es für Eindringlinge attraktiv ist.

Schlumpfangriff

Der Angriff von Schlumpf besteht in der Übertragung an das Netzwerk von Rundfunk-ICMP-Anfragen im Auftrag des Opfercomputers. Infolgedessen reagieren Computer, die solche Broadcast-Pakete empfangen haben, auf den Computer des Opfers, was zu einer signifikanten Abnahme der Bandbreite des Kommunikationskanals führt und in einigen Fällen die Isolierung des angegriffenen Netzwerks abgeschlossen hat. Der Schlumpfangriff ist außergewöhnlich effektiv und weit verbreitet. Gegenantrag: Um diesen Angriff zu erkennen, musst du die Last des Kanals analysieren und die Gründe für die Abnahme der Bandbreite bestimmen.

Angriff Land

Der Landangriff nutzt die Schwachstellen der TCP / IP-Stack-Implementierungen in einigen Betriebssystemen aus. Es besteht darin, an den offenen Port des Opfercomputers ein TCP-Paket mit dem SYN-Flag gesetzt zu senden, und die Quelladresse und der Port eines solchen Pakets sind gleich der Adresse und dem Port des angegriffenen Computers. Dies führt dazu, dass der Opfercomputer versucht, eine Verbindung mit sich selbst herzustellen, was zu einer signifikanten Erhöhung der CPU-Last führt und möglicherweise "hängen" oder neu starten kann. Dieser Angriff ist sehr effektiv bei einigen Modellen von Routern von Cisco Systems, und die erfolgreiche Anwendung eines Angriffs auf den Router kann das gesamte Netzwerk der Organisation deaktivieren. Gegenwirkung: Sie können sich vor diesem Angriff schützen, indem Sie einen Paketfilter zwischen dem internen Netzwerk und dem Internet installieren und dabei eine Filterregel angeben, die darauf hinweist, dass Sie Pakete, die aus dem Internet stammen, aber mit den ursprünglichen IP-Adressen der Computer im internen Netzwerk unterdrücken möchten.

Die Einführung eines falschen Servers in das Internet durch die Schaffung eines gerichteten "Sturms" von falschen DNS-Antworten auf den Host, der angegriffen wird

Eine andere Version des Fernangriffs, der auf den DNS-Dienst gerichtet ist, basiert auf dem zweiten Typ des typischen Fernangriffs "falsches Objekt VS". In diesem Fall überträgt der Angreifer kontinuierlich eine vorbereitete falsche DNS-Antwort auf den angegriffenen Host im Namen des realen DNS-Servers, ohne eine DNS-Anforderung zu erhalten. Mit anderen Worten, der Angreifer schafft im Internet einen gerichteten "Sturm" von falschen DNS-Antworten. Dies ist möglich, da normalerweise ein UDP-Protokoll verwendet wird, um eine DNS-Anforderung zu senden, in der es keine Mittel zur Paketidentifikation gibt. Die einzigen Kriterien für das Netzwerk-Betriebssystem des Hosts für die Antwort, die vom DNS-Server empfangen wird, ist zunächst die Übereinstimmung der IP-Adresse des Absenders der Antwort mit der IP-Adresse des DNS-Servers und zweitens, dass der gleiche Name in der DNS-Antwort angegeben ist, Wie in der DNS-Abfrage drittens muss die DNS-Antwort an denselben UDP-Port gesendet werden, von dem die DNS-Anforderung gesendet wurde (in diesem Fall ist dies das erste Problem für den Angreifer) und viertens das DNS -Auswahl des Anforderungs-ID-Feldes im DNS-Header (ID) sollte denselben Wert wie in der übertragenen DNS-Abfrage enthalten (dies ist das zweite Problem). In diesem Fall, da der Angreifer die DNS-Anforderung nicht abfangen kann, ist das Hauptproblem für ihn die UDP-Portnummer, von der die Anfrage gesendet wurde. Aber die Portnummer des Absenders nimmt einen begrenzten Satz von Werten (1023?), Also sollte der Angreifer nur durch Brute-Force handeln und falsche Antworten an die entsprechende Liste der Ports senden. Auf den ersten Blick kann das zweite Problem eine 2-Byte-DNS-Abfrage-ID sein, aber in diesem Fall ist es entweder gleich eins oder hat einen Wert nahe Null (eine Abfrage-ID wird um 1 erhöht). Daher muss der Angreifer, um diesen Fernangriff auszuführen, den Host (A) von Interesse auswählen, dessen Route er geändert werden muss, damit er einen falschen Server, den Host des Angreifers, durchläuft. Dies wird erreicht durch die kontinuierliche Übertragung (gerichtet "Sturm") Angriff falsche DNS-Antworten auf den Host unter Angriff aus dem Namen des realen DNS-Server an die entsprechenden UDP-Ports. In diesen falschen DNS-Antworten ist die IP-Adresse des Hosts A die IP-Adresse des Angreifers. Weiterhin entwickelt sich der Angriff nach dem folgenden Schema. Sobald das Ziel des Angriffs (angegriffener Host) nach Namen auf den Host A adressiert wird , wird eine DNS-Anforderung aus dem angegebenen Host an das Netzwerk gesendet, was der Angreifer niemals erhalten wird, aber dies ist nicht erforderlich, da der Host sofort ein ständig übertragenes False erhält DNS-Antwort, die vom Betriebssystem des Hosts wahrgenommen wird, wird als eine echte Antwort vom DNS-Server angegriffen. Der Angriff fand statt und nun wird der angegriffene Wirt alle Pakete, die für A bestimmt sind, auf die IP-Adresse des Hosts des Angreifers übertragen, die wiederum an A weiterleiten wird , wobei die abgefangenen Informationen nach dem "falsch verteilten BC" -Schema beeinflusst werden. Betrachten Sie das Funktionsschema des vorgeschlagenen Fernangriffs auf den DNS-Dienst: • Konstante Übertragung von falschen DNS-Antworten auf den angreifenden Host auf verschiedenen UDP-Ports und ggf. mit verschiedenen IDs im Auftrag von (von der IP-Adresse) des realen DNS-Servers mit dem Namen des interessanten Hosts und seiner falschen IP-Adresse Die IP-Adresse des falschen Servers ist der Host des Angreifers. • im Falle eines Empfangs eines Pakets vom Host, Ändern des IP-Headers des Pakets seiner IP-Adresse an die IP-Adresse des Angreifers und Senden des Pakets an den Server (dh der falsche Server arbeitet mit dem Server in seinem Namen - von seiner IP-Adresse); • Wenn das Paket vom Server empfangen wird, ändern Sie den IP-Header des Pakets seiner IP-Adresse in die IP-Adresse des falschen Servers und senden das Paket an den Host (für den Host ist der falsche Server der reale Server). Die Implementierung dieses Remote-Angriffs, mit Sicherheitslücken im DNS-Dienst, ermöglicht es Ihnen, das Routing zwischen zwei bestimmten Objekten von überall im Internet zu stören. Das heißt, dieser Fernangriff wird intersegmental in Bezug auf den Zweck des Angriffs durchgeführt und bedroht die Sicherheit eines Internet-Hosts mit dem üblichen DNS-Dienst.

Die Einführung eines falschen Servers in das Internet durch Abfangen einer DNS-Abfrage oder Erstellen eines gerichteten "Sturms" von falschen DNS-Antworten auf den angegriffenen DNS-Server

Aus dem Remote-DNS-Lookup-Schema folgt, dass, wenn der in der Abfrage angegebene DNS-Server keine Namen in seiner Datenbank findet, die Anforderung vom Server an einen der Root-DNS-Server gesendet wird, dessen Adressen in der Root.cache-Server-Einstellungsdatei enthalten sind . Das heißt, wenn der DNS-Server keine Informationen über den angeforderten Host hat, dann leitet er die Anfrage weiter, was bedeutet, dass nun der DNS-Server selbst eine entfernte DNS-Suche initiiert. Daher verhindert nichts, dass der Angreifer in der im vorigen Absatz beschriebenen Weise handeln kann, um seinen Angriff auf den DNS-Server zu lenken. Das heißt, das Ziel des Angriffs ist nun nicht der Host, aber der DNS-Server und falsche DNS-Antworten werden an den Angreifer im Namen des Root-DNS-Servers auf dem angegriffenen DNS-Server gesendet. Es ist wichtig, die folgende Besonderheit des DNS-Servers zu berücksichtigen. Um die Arbeit zu beschleunigen, speichert jeder DNS-Server eine eigene Tabelle mit Namen und IP-Adressen von Hosts im Speicherbereich. Einschließlich dynamisch wechselnder Informationen über die Namen und IP-Adressen von Hosts, die während des Betriebs des DNS-Servers gefunden wurden. Das heißt, wenn der DNS-Server, der die Anforderung erhalten hat, den entsprechenden Eintrag in der Cache-Tabelle nicht findet, leitet er die Antwort an den nächsten Server weiter und gibt eine Antwort, die eine Antwort erhalten hat, in die in der Cache-Tabelle gefundenen Informationen in den Speicher ein. Wenn also die nächste Anforderung empfangen wird, muss der DNS-Server keine Remote-Suche durchführen, da sich die notwendigen Informationen bereits in der Cache-Tabelle befinden. Aus der Analyse des neu beschriebenen Remote-DNS-Lookup-Schemas wird deutlich, dass, wenn ein Angreifer eine falsche DNS-Antwort sendet (im Falle eines "Sturms" von falschen Antworten wird sie in einer konstanten Übertragung beibehalten) als Antwort auf eine Anforderung vom DNS-Server, Dann wird ein entsprechender Eintrag mit falschen Informationen in der Cache-Tabelle des Servers angezeigt und in der Zukunft werden alle Hosts, die auf diesen DNS-Server zugreifen, falsch informiert und beim Zugriff auf den Host die Route, auf die sich der Angreifer entschieden hat, zu ändern, wird die Kommunikation mit dem Host des Angreifers durchgeführt Nach Schemata E "falsches Objekt BC". Und im Laufe der Zeit wird diese falsche Information, die im Cache des DNS-Servers gefangen wird, auf benachbarte übergeordnete DNS-Server zu verbreiten, und folglich werden immer mehr Hosts im Internet falsch informiert und angegriffen. Offensichtlich, wenn der Angreifer die DNS-Abfrage nicht vom DNS-Server abfangen kann, dann um den Angriff zu implementieren, braucht er einen "Sturm" von falschen DNS-Antworten, die auf den DNS-Server gerichtet sind. In diesem Fall tritt das folgende Hauptproblem auf, das sich von dem Problem der Auswahl von Ports im Falle eines Angriffs, der auf den Host gerichtet ist, unterscheidet. Wie bereits erwähnt, sendet ein DNS-Server eine Anfrage an einen anderen DNS-Server und identifiziert diese Anforderung mit einem Zwei-Byte-Wert (ID). Dieser Wert wird bei jeder gesendeten Abfrage um eins erhöht. Sie können dem Angreifer den aktuellen Wert der DNS-Abfrage-ID nicht mitteilen. Daher ist nichts als die Suche nach 2 16 möglichen ID-Werten, um etwas zu bieten, ist ziemlich schwierig. Aber das Problem der Port-Enumeration verschwindet, da alle DNS-Abfragen vom DNS-Server an Port 53 übertragen werden. Das nächste Problem, welches die Voraussetzung für diesen Fernangriff auf den DNS-Server ist, wenn der "Sturm" von falschen DNS-Antworten gerichtet ist, ist, dass der Angriff nur dann erfolgreich ist, wenn der DNS-Server eine Anfrage sendet, um nach einem bestimmten Namen zu suchen (der enthalten ist In einer falschen DNS-Antwort). Der DNS-Server sendet diese dringend benötigte und gewünschte Anfrage an den Angreifer, wenn er eine DNS-Anforderung von jedem Host empfängt, um nach dem gegebenen Namen zu suchen, und dieser Name wird nicht in der Cache-Tabelle des DNS-Servers angezeigt. Grundsätzlich kann dieser Antrag jederzeit kommen und der Angreifer muss auf die Ergebnisse des Angriffs so lange wie nötig warten müssen. Allerdings verhindert nichts, dass der Angreifer, ohne auf jemanden zu warten, eine ähnliche DNS-Abfrage an den angegriffenen DNS-Server zu senden und den DNS-Server zu provozieren , um nach dem in der Anfrage angegebenen Namen zu suchen. Dann ist dieser Angriff wahrscheinlich unmittelbar nach dem Beginn seiner Umsetzung erfolgreich.

Die Einführung eines falschen DNS-Servers in das Internet durch Abfangen einer DNS-Abfrage

In diesem Fall handelt es sich um einen Fernangriff, der auf dem Standard-Standard-Fernangriff basiert, der mit dem Warten auf eine DNS-Suchabfrage verbunden ist. Bevor Sie den Angriff Algorithmus für DNS betrachten, müssen Sie die folgenden Feinheiten in der Arbeit dieses Dienstes zu beachten. Zuerst arbeitet der DNS-Dienst standardmäßig auf der Basis des UDP-Protokolls (obwohl es möglich ist, das TCP-Protokoll zu verwenden), was es natürlich weniger sicher macht, da das UDP-Protokoll im Gegensatz zu TCP keine Mittel zur Identifizierung von Nachrichten bereitstellt. Um von UDP zu TCP umzuschalten, muss der DNS-Server-Administrator die Dokumentation ernsthaft studieren. Darüber hinaus wird dieser Übergang das System etwas verlangsamen, da erstens bei der Verwendung von TCP eine virtuelle Verbindung erforderlich ist und zweitens das Endnetzwerk OS zunächst eine DNS-Anforderung mit dem UDP-Protokoll sendet und wenn es darum geht Eine spezielle Antwort vom DNS-Server, dann sendet das Netzwerk-Betriebssystem eine DNS-Anfrage mit TCP. Zweitens, die nächste Subtilität, die Sie beachten müssen, ist, dass der Wert des "Absender-Port" -Feld in der UDP-Paket zuerst den Wert 1023 (?) Und dann erhöht mit jeder DNS-Abfrage übergeben. Drittens verhält sich der Wert der ID der DNS-Abfrage wie folgt. Im Falle des Sendens einer DNS-Abfrage vom Host hängt sein Wert von der spezifischen Netzwerkanwendung ab, die die DNS-Abfrage generiert. Die Experimente des Autors zeigten, dass bei dem Senden einer Anfrage von der Shell des Shell-Betriebssystems Linux und Windows '95 (z. B. ftp nic.funet.fi) dieser Wert immer gleich eins ist. Für den Fall, dass die DNS-Abfrage von Netscape Navigator übertragen wird, erhöht der Browser mit jeder neuen Anforderung diesen Wert um eins. Für den Fall, dass die Anforderung direkt vom DNS-Server übertragen wird, erhöht der Server diesen ID-Wert um eins mit jeder neu übertragenen Abfrage. Alle diese Feinheiten sind im Falle eines Angriffs ohne Abhören einer DNS-Abfrage wichtig. Um einen Angriff durch Abfangen einer DNS-Anforderung zu implementieren, muss der Angreifer die DNS-Abfrage abfangen, die UDP-Portnummer der Anforderung extrahieren, den Double-Byte-ID-Wert der DNS-Anforderungskennung und den gewünschten Namen und dann eine falsche DNS-Antwort an die aus der DNS-Abfrage extrahierte Abfrage senden UDP-Port, in dem als gewünschte IP-Adresse die reale IP-Adresse des falschen DNS-Servers angegeben werden soll. Dies wird in der Zukunft vollständig abfangen und aktiv auf das "False IPS-Objekt" -Schema auf den Verkehr zwischen dem "betrogenen" Host und dem Server einwirken. Betrachten Sie das allgemeine Schema des falschen DNS-Servers: • Warten auf die DNS-Abfrage; • Empfangen einer DNS-Abfrage, Extrahieren der notwendigen Informationen von ihr und Senden der falschen DNS-Antwort vom Host (Anfordern eines Hosts) aus dem Namen (von der IP-Adresse) des aktuellen DNS-Servers, der die IP-Adresse des falschen DNS-Servers angibt; • Wenn das Paket vom Host empfangen wird, ändern Sie den IP-Header des Pakets seiner IP-Adresse in die IP-Adresse des falschen DNS-Servers und senden Sie das Paket an den Server (das heißt, der falsche DNS-Server arbeitet mit dem Server in seinem Namen); • Wenn das Paket vom Server empfangen wird, ändern Sie den IP-Header des Pakets seiner IP-Adresse in die IP-Adresse des falschen DNS-Servers und senden das Paket an den Host (für den Host ist der falsche DNS-Server der reale Server). Voraussetzung für diese Option ist es, die DNS-Anforderung abzufangen. Dies ist nur möglich, wenn sich der Angreifer entweder im Pfad des Hauptverkehrs oder im Segment des realen DNS-Servers befindet. Die Erfüllung einer dieser Bedingungen für den Standort des Angreifers im Netzwerk macht einen solchen Fernangriff schwer in der Praxis umzusetzen (es ist wahrscheinlich, dass der Angreifer nicht in der Lage sein wird, zum Segment des DNS-Servers und noch mehr im intersegmentalen Kommunikationskanal zu gelangen). Wenn jedoch diese Bedingungen erfüllt sind, ist es möglich, einen intersegmentalen Fernangriff auf das Internet durchzuführen. Beachten Sie, dass die praktische Implementierung dieses Remote-Angriffs eine Reihe von interessanten Features im Betrieb des FTP-Protokolls und in dem Mechanismus zur Identifizierung von TCP-Paketen offenbart hat. Für den Fall, dass ein FTP-Client auf dem Host mit einem entfernten FTP-Server über einen falschen DNS-Server verbunden ist, stellte sich heraus, dass jedes Mal, nachdem der Benutzer eine FTP-Anwendung (z. B. ls, get, put, etc.), den FTP-Client ausgestellt hat Erledigte den PORT-Befehl, der bei der Übertragung der Portnummer und der IP-Adresse des Client-Hosts auf den FTP-Server im Datenfeld des TCP-Pakets bestand (es ist schwierig, in diesen Aktionen eine besondere Bedeutung zu finden - warum jedes Mal, wenn Sie die IP-Adresse des Clients an den FTP-Server senden)! Dies führte dazu, dass, wenn der falsche DNS-Server die übertragene IP-Adresse nicht im Datenfeld des TCP-Pakets ändert und dieses Paket mit dem üblichen Schema an den FTP-Server sendet, das nächste Paket vom FTP-Server an den Host des FTP-Clients übertragen wird, Umgehen des falschen DNS-Servers und interessanterweise wird dieses Paket als normales Paket wahrgenommen und in Zukunft wird ein falscher DNS-Server die Kontrolle über den Verkehr zwischen dem FTP-Server und dem FTP-Client verlieren! Dies liegt daran, dass ein normaler FTP-Server keine zusätzliche Authentifizierung für den FTP-Client bereitstellt, sondern alle Probleme der Paketidentifikation und der Verbindung zu einer niedrigeren Ebene - der TCP-Schicht - verschiebt.

DNS-Überschwemmungsangriff

DNS-Überschwemmung ist ein Angriff, der auf Internet-Nameserver gerichtet ist. Es besteht in der Übertragung einer großen Anzahl von DNS-Abfragen und führt zu der Tatsache, dass die Benutzer nicht die Möglichkeit haben, auf den Namensdienst zuzugreifen und folglich die Unfähigkeit der gewöhnlichen Benutzer zu arbeiten. Gegenantrag: Um diesen Angriff zu erkennen, musst du die Belastung des DNS-Servers analysieren und die Anforderungsquellen identifizieren.

DNS-Spoofing-Angriff

Das Ergebnis dieses Angriffs ist die Auferlegung einer auferlegten Korrespondenz zwischen der IP-Adresse und dem Domänennamen im Cache des DNS-Servers. Als Ergebnis eines erfolgreichen Angriffs erhalten alle DNS-Benutzer im Norden falsche Informationen über Domain-Namen und IP-Adressen. Dieser Angriff ist durch eine große Anzahl von DNS-Paketen mit demselben Domänennamen gekennzeichnet. Dies ist aufgrund der Notwendigkeit, einige DNS-Austauschparameter auszuwählen. Gegenantrag: Um einen solchen Angriff zu erkennen, musst du den Inhalt des DNS-Verkehrs analysieren.

IP-Spoofing-Angriff (Syslog)

Eine große Anzahl von Angriffen im Internet sind mit der Substitution der Quell-IP-Adresse verbunden. Solche Angriffe beinhalten das Syslog-Spoofing, bei dem eine Nachricht an den Computer des Opfers im Auftrag eines anderen Computers im internen Netzwerk gesendet wird. Da das Syslog-Protokoll verwendet wird, um Systemprotokolle zu pflegen, indem man falsche Nachrichten an den Opfercomputer sendet, können Sie Informationen verhängen oder die Spuren von unberechtigtem Zugriff verdecken. Gegenwirkung: Erkennung von Angriffen, die mit der Ersetzung von IP-Adressen verbunden sind, ist es möglich, den Empfang einer der Schnittstellen des Pakets mit der Quelladresse der gleichen Schnittstelle zu überwachen oder den Empfang auf der externen Schnittstelle von Paketen mit IP-Adressen des internen Netzes zu überwachen.

Packet Imposition

Ein Angreifer sendet Pakete mit einer falschen Rücksendeadresse an das Netzwerk. Mit diesem Angriff kann ein Angreifer zu einem Computer wechseln, der zwischen anderen Computern hergestellt wird. In diesem Fall werden die Zugriffsrechte des Angreifers gleich den Rechten des Benutzers, dessen Verbindung zum Server auf den Computer des Eindringlings umgestellt wurde.

Schnüffeln - Hören des Kanals (nur im LAN-Segment möglich)

Nahezu alle Netzwerkkarten unterstützen die Möglichkeit, über einen gemeinsamen LAN-Kanal übertragene Pakete abzufangen. In diesem Fall kann die Workstation Pakete empfangen, die an andere Computer in demselben Netzwerksegment adressiert sind. So steht allen Informationsaustausch im Netzwerksegment ein Angreifer zur Verfügung. Um diesen Angriff erfolgreich umzusetzen, muss sich der Computer des Angreifers im selben Segment des lokalen Netzwerks befinden wie der angegriffene Computer.

Abfangen von Paketen auf dem Router

Die Netzwerksoftware des Routers hat Zugriff auf alle Netzwerkpakete, die über diesen Router übertragen werden, was das Abhören von Paketen ermöglicht. Um diesen Angriff zu implementieren, muss ein Angreifer einen privilegierten Zugriff auf mindestens einen Netzwerk-Router haben. Da viele Pakete in der Regel über den Router übertragen werden, ist ihre gesamte Abfangen fast unmöglich. Allerdings können einzelne Pakete auch abgefangen und für eine spätere Analyse durch den Angreifer gespeichert werden. Das effektivste Abfangen von FTP-Paketen mit Benutzerpasswörtern sowie E-Mails.

Implantieren eines Schurkenroutenwirts mit ICMP

Im Internet befindet sich ein Internet Control Message Protocol (ICMP), dessen eine Funktion es ist, die Hosts über die Änderung des aktuellen Routers zu informieren. Diese Kontrollmeldung heißt Umleitung. Es ist möglich, von jedem Host im Netzwerksegment eine falsche Redirect-Nachricht vom Router an den Host zu senden, der angegriffen wird. Infolgedessen ändert der Host die aktuelle Routingtabelle und in der Zukunft wird der gesamte Netzwerkverkehr dieses Hosts beispielsweise über einen Host, der eine falsche Umleitungsnachricht sendet, übergeben. So ist es möglich, eine aktive Auferlegung einer falschen Route innerhalb eines Segments des Internets zu implementieren.

WinNuke

Mit den üblichen Daten, die über eine TCP-Verbindung übertragen werden, überträgt der Standard auch Out-of-Band-Daten. Auf der Ebene der TCP-Pakete wird dies in einem Nicht-Null-Dringlichkeitszeiger ausgedrückt. Die meisten PCs mit Windows haben ein NetBIOS-Netzwerkprotokoll, das für ihre Bedürfnisse 3 IP-Ports verwendet: 137, 138, 139. Wie sich herausstellte, wenn Sie eine Verbindung zum Windows-Rechner in 139 Ports herstellen und dort einige Bytes von OutOfBand-Daten senden, die Implementierung von NetBIOS Nicht wissen, was mit diesen Daten zu tun, Popostu hängt oder pepezagruzhaet Maschine. Für Windows 95 sieht das normalerweise wie ein blauer Textbildschirm aus, der einen Fehler im TCP / IP-Treiber meldet und die Unfähigkeit, mit dem Netzwerk vor dem Windows-Neustart zu arbeiten. NT 4.0 ohne Service-Pakete wird neu gestartet, NT 4.0 mit der zweiten seriellen Packung fällt in den blauen Bildschirm. Ähnliches Senden von Daten an 135 und einige andere Ports führt zu einer signifikanten Belastung des RPCSS.EXE Prozessors. Auf NTWS führt dies zu einer deutlichen Verlangsamung, NTS praktisch friert.

Falscher ARP-Server

Im Internet hat jeder Host eine eindeutige IP-Adresse, die alle Nachrichten aus dem globalen Netzwerk empfängt. Allerdings ist das IP-Protokoll nicht so sehr ein Netzwerk wie ein Internetwork-Austausch-Protokoll für die Kommunikation zwischen Objekten auf dem globalen Netzwerk vorgesehen. Auf der Link-Schicht werden die Pakete an die Hardware-Adressen der Netzwerkkarten adressiert. Im Internet wird das IP Address Protocol Protocol (ARP) für eine Eins-zu-Eins-Korrespondenz zwischen IP- und Ethernet-Adressen verwendet. Anfänglich hat der Host möglicherweise keine Informationen über die Ethernet-Adressen anderer Hosts, die sich im selben Segment befinden, einschließlich der Ethernet-Adresse des Routers. Dementsprechend sendet der Host, wenn die Netzwerkressourcen zum ersten Mal aufgerufen werden, eine Broadcast-ARP-Anforderung, die von allen Stationen in diesem Segment des Netzwerks empfangen wird. Nach Erhalt dieser Anforderung sendet der Router eine ARP-Antwort an den anfordernden Host, in dem er seine Ethernet-Adresse meldet. Dieses Schema der Arbeit erlaubt es einem Angreifer, eine falsche ARP-Antwort zu senden, in der er sich den gewünschten Host (z. B. einen Router) deklarieren und zukünftig den gesamten Netzwerkverkehr des "betrogenen" Hosts aktiv überwachen kann.

Vorhersage TCP-Sequenznummer (IP-Spoofing)

In diesem Fall ist der Zweck des Angreifers, ein solches System vorzutäuschen, das z. B. das Opfer-System "vertraut". Die Methode wird auch für andere Zwecke verwendet - zum Beispiel, um das SMTP-Opfer zu benutzen, um gefälschte E-Mails zu senden. Die TCP-Verbindung wird in drei Stufen aufgebaut: Der Client wählt und sendet die Sequenznummer (Ruf C-SYN) an den Server, als Antwort sendet der Server dem Client ein Datenpaket mit der Bestätigung (C-ACK) und der eigenen Sequenznummer des Servers (S-SYN ). Jetzt muss der Kunde eine Bestätigung (S-ACK) senden. Danach wird die Verbindung aufgebaut und der Datenaustausch beginnt. Jedes Paket hat in seinem Header ein Feld für Sequenznummer und Quittungsnummer. Diese Zahlen steigen mit Datenaustausch und erlauben Ihnen, die Richtigkeit der Übertragung zu kontrollieren. Angenommen, ein Angreifer kann vorhersagen, welche Sequenznummer (S-SYN unter dem Schema) vom Server gesendet wird. Dies kann auf der Basis des Wissens über die spezifische Implementierung von TCP / IP erfolgen. Zum Beispiel wird in 4.3BSD der Sequenznummernwert, der bei der Einstellung des nächsten Wertes verwendet wird, um 125000 pro Sekunde inkrementiert. Nach dem Senden eines Pakets an den Server erhält der Angreifer eine Antwort und kann (mit mehreren Versuchen und mit Verbindungsgeschwindigkeitskorrektur) vorhergesagt werden Sequenznummer für die nächste Verbindung. Wenn die Implementierung von TCP / IP einen speziellen Algorithmus verwendet, um die Sequenznummer zu bestimmen, dann kann es geklärt werden, indem man mehrere Dutzend Pakete an den Server sendet und seine Antworten analysiert. Angenommen, das System A vertraut System B, so dass der Benutzer des Systems B "rlogin A" machen kann und auf A ohne Eingabe eines Passworts erscheint. Angenommen, der Angreifer befindet sich auf dem C-System. System A fungiert als Server, System B und C - in der Rolle der Clients. Die erste Aufgabe eines Angreifers ist es, das System B in einen Zustand zu bringen, in dem es nicht auf Netzanforderungen antworten kann. Dies kann in vielerlei Hinsicht geschehen, im einfachsten Fall müssen Sie nur warten, bis das B-System neu gestartet wird. Ein paar Minuten, in denen es unmöglich wird, sollte genug sein. Danach kann der Angreifer versuchen, sozusagen System B zu sein, um Zugang zu System A zu erhalten (zumindest kurz). Ein Angreifer sendet mehrere IP-Pakete, die eine Verbindung initiieren, an System A, um den aktuellen Status der Sequenznummer des Servers herauszufinden. Der Angreifer sendet ein IP-Paket, in dem die Adresse des Systems B als Rücksendeadresse angegeben ist. System A antwortet mit einem Paket mit einer Sequenznummer, die an System B gesendet wird. Allerdings wird System B es nie erhalten (es ist deaktiviert), wie in der Tat ein Angreifer. Der Angreifer bestätigt jedoch den "Quittung" des Pakets von A und sendet ein Paket mit dem behaupteten S-ACK im Auftrag von B (Beachten Sie, dass, wenn sich die Systeme im selben Segment befinden, ein Angreifer die Sequenz herausfindet Die Nummer reicht aus, um das von System A gesendete Paket abzufangen. Danach, wenn der Angreifer Glück hatte und die Sequenznummer des Servers richtig erraten wurde, gilt die Verbindung als etabliert. Jetzt kann ein Angreifer ein weiteres gefälschtes IP-Paket senden, das bereits Daten enthält. Zum Beispiel, wenn der Angriff auf rsh gerichtet wurde, kann er Befehle enthalten, um eine .rhosts-Datei zu erstellen oder eine / etc / passwd an einen Angreifer per E-Mail zu senden. Gegenwirkung: Pakete mit internen Adressen aus der Außenwelt dienen als das einfachste IP-Spoofing-Signal. Die Router-Software kann den Administrator darüber informieren. Allerdings solltest du dich nicht schmeicheln - der Angriff kann aus deinem Netzwerk kommen. Im Falle der Verwendung von intelligenter Netzwerk-Monitoring-Tools, kann der Administrator (im automatischen Modus) Pakete von Systemen, die in unzugänglichen Zustand sind zu überwachen. Was hindert jedoch, dass ein Eindringling den Betrieb des Systems B durch die Reaktion auf ICMP-Pakete imitiert? Was sind die Möglichkeiten zum Schutz vor IP-Spoofing? Zuerst können Sie komplizieren oder machen es unmöglich, die Sequenznummer (das Schlüsselelement des Angriffs) zu erraten. Zum Beispiel können Sie die Änderungsrate der Sequenznummer auf dem Server erhöhen oder eine Sequenznummer erhöhen, die zufällig zunimmt (vorzugsweise mit einem kryptographisch stabilen Algorithmus, um Zufallszahlen zu generieren). Wenn das Netzwerk eine Firewall (oder einen anderen IP-Paketfilter) verwendet, sollten Sie Regeln hinzufügen, dass alle Pakete, die von außen kommen und über Adressen aus unserem Adressraum verfügen, nicht in das Netzwerk gelangen dürfen. Darüber hinaus ist es notwendig, das Vertrauen der Maschinen zueinander zu minimieren. Idealerweise sollte es keinen Weg geben, direkt auf die nächste Maschine des Netzwerks zu bekommen, mit dem Superuser Rechte auf einem von ihnen. Natürlich wird dies nicht sparen Sie von der Nutzung von Diensten, die keine Genehmigung benötigen, zum Beispiel IRC (ein Angreifer kann vorgeben, eine beliebige Internet-Maschine und senden Sie eine Reihe von Befehlen, um den IRC-Kanal eingeben, stellen Sie beliebige Nachrichten, etc.). Die Verschlüsselung von TCP / IP-Stream löst im Allgemeinen das Problem der IP-Spoofing (vorausgesetzt, dass kryptographisch stabile Algorithmen verwendet werden). Um die Anzahl solcher Angriffe zu reduzieren, empfiehlt es sich auch, die Firewall zu konfigurieren, um von unserem Netzwerk gesendete Pakete nach außen zu filtern, aber Adressen, die nicht zu unserem Adressraum gehören.

Lokaler Sturm

Lassen Sie uns eine kleine Abschweifung zur Umsetzung von TCP / IP und betrachten "lokale Stürme" zum Beispiel UDP Stürme. In der Regel unterstützen Standard-Systeme den Betrieb von UDP-Ports wie z. B. 7 ("Echo", das empfangene Paket wird zurückgesendet), 19 (der "Zeichengenerator" als Antwort auf das empfangene Paket sendet der Sender einen String des Zeichengenerators) und andere (Datum usw.). In diesem Fall kann ein Angreifer ein einzelnes UDP-Paket mit 7 als Quellport, 19 als Ziel und z. B. zwei Rechner im Netzwerk (bzw. 127.0) senden. 0,1). Nach dem Empfang des Pakets antwortet der 19. Port mit einem String, der zum Port 7 kommt. Der siebte Port dupliziert ihn und sendet ihn zurück zu 19 .. und so weiter ad infinitum. Ein unendlicher Zyklus frisst die Maschinenressourcen und fügt dem Kanal eine sinnlose Last hinzu. Natürlich wird mit dem ersten verlorenen UDP-Paket der Sturm aufhören. Противодействие: в качестве защиты стоит еще раз порекомендовать не пропускать в сети пакеты с внутренними адресами, но пришедшие извне. Также рекомендуется закрыть на firewall использование большинства сервисов.

IP Hijacking

Die Methode ist eine Kombination aus "Lauschen" und IP-Spoofing. Voraussetzungen - Ein Angreifer muss Zugriff auf eine Maschine auf dem Netzwerk-Thread-Pfad haben und über ausreichende Rechte verfügen, um IP-Pakete zu generieren und abzufangen. Erinnern Sie sich, dass bei der Datenübertragung immer die Sequenznummer und die Quittungsnummer verwendet werden (beide Felder befinden sich im IP-Header). Auf der Grundlage ihres Wertes überprüfen der Server und der Client die Richtigkeit der Übertragung von Paketen. Es ist möglich, eine Verbindung in den "desynchronisierten Zustand" einzugeben, wenn die vom Server gesendete Sequenznummer und Quittungsnummer nicht mit den erwarteten Werten des Clients übereinstimmt und umgekehrt. In diesem Fall kann ein Angreifer, "Hören" einer Linie, die Funktionen eines Vermittlers übernehmen und die richtigen Pakete für den Client und den Server generieren und ihre Antworten abfangen. Die Methode erlaubt es, solche Schutzsysteme vollständig zu umgehen, wie zum Beispiel einmalige Passwörter, da der Angreifer nach der Autorisierung des Benutzers die Arbeit beginnt. Es gibt zwei Möglichkeiten, die Verbindung zu synchronisieren. • Frühe Desynchronisation. Die Verbindung wird im Stadium der Installation desynchronisiert. Der Angreifer hört das Segment des Netzwerks, durch das die Pakete der interessierenden Sitzung übertragen werden. Warten auf das S-SYN-Paket vom Server, sendet der Angreifer dem Server ein Paket vom Typ RST (Reset) natürlich mit der korrekten Sequenznummer und sofort, nachdem es ein gefälschtes C-SYN-Paket im Auftrag des Clients hat, setzt der Server die erste Session zurück und öffnet eine neue Der gleiche Port, aber mit einer neuen Sequenznummer und sendet dann dem Client ein neues S-SYN Paket. Der Client ignoriert das S-SYN-Paket, aber ein Angreifer, der die Zeile hört, sendet das S-ACK-Paket im Auftrag des Clients an den Server. Also, der Client und der Server befinden sich im ESTABLISHED-Zustand, aber die Session ist desynchronisiert. Natürlich ist 100% des Auslösers für dieses Schema nicht, zum Beispiel ist es nicht immun gegen die Tatsache, dass einige Pakete, die vom Angreifer gesendet werden, nicht auf dem Weg verloren werden. Für eine korrekte Handhabung dieser Situationen sollte das Programm kompliziert sein. • Desync mit Null-Daten. In diesem Fall hört der Angreifer die Sitzung und sendet irgendwann dem Server ein Paket mit "Null" -Daten, d.h. Diejenigen, die auf der Applikationsebene tatsächlich ignoriert und für den Client nicht sichtbar sind (zB für telnet können Daten wie IAC NOP IAC NOP IAC NOP ... sein). Ein ähnliches Paket wird an den Client gesendet. Offensichtlich, nach dieser Sitzung geht in einen desynchronisierten Zustand. ACK-Storm Eines der Probleme mit IP Hijacking ist, dass jedes Paket, das zum Zeitpunkt der Sitzung im desynchronisierten Zustand gesendet wird, einen sogenannten ACK-Sturm verursacht. Zum Beispiel wird das Paket vom Server gesendet, und für den Client ist es nicht akzeptabel, also antwortet es mit einem ACK-Paket. Als Reaktion auf dieses inakzeptable Paket für den Server erhält der Client erneut eine Antwort. Und so weiter ad infinitum. Glücklicherweise werden moderne Netzwerke von der Technologie gebaut, wenn der Verlust von einzelnen Paketen erlaubt ist. Da ACK-Pakete keine Daten transportieren, treten keine Neuübertragungen auf und der "Sturm geht" ab. Wie die Experimente gezeigt haben, desto stärker ist der ACK-Sturm, desto schneller "beruhigt er sich" - bei 10MB-Ethernet passiert es in Sekundenbruchteil. Auf unzuverlässige Verbindungen wie SLIP - nicht viel mehr. Erkennung und Schutz Es gibt mehrere Möglichkeiten. Beispielsweise können Sie einen TCP / IP-Stack implementieren, der den Übergang zum desynchronisierten Zustand überwacht, indem er Informationen über die Sequenznummer / Quittierungsnummer austauscht. In diesem Fall sind wir aber nicht gegen einen Angreifer versichert, der auch diese Werte ändert. Daher ist eine zuverlässigere Art und Weise zu analysieren Netzwerkverkehr, Track emerging ACK-Stürme. Dies kann mit Hilfe von spezifischen Netzwerk-Monitoring-Tools erfolgen. Wenn ein Angreifer nicht die Mühe macht, eine desynchronisierte Verbindung zu behalten, bevor er ihn schließt oder wenn er die Ausgabe seiner Befehle nicht filtert, wird er auch vom Benutzer sofort bemerkt. Unglücklicherweise eröffnet die überwältigende Mehrheit einfach eine neue Sitzung ohne Kontakt mit dem Administrator. Wie immer ist die Verschlüsselung von TCP / IP-Verkehr (auf der Anwendungsebene - sichere Shell) oder der Protokollschicht (IPsec) den Schutz vor diesem Angriff. Dadurch entfällt die Möglichkeit, den Netzwerkstrom zu verändern. PGP kann zum Schutz von E-Mails verwendet werden. Es sollte beachtet werden, dass die Methode auch nicht auf einigen spezifischen TCP / IP-Implementierungen funktioniert. Also, trotz [rfc ...], die die Sitzung in Reaktion auf ein RST-Paket schweigend schließt, erzeugen einige Systeme ein Counter-RST-Paket. Dies macht eine frühzeitige Desynchronisation unmöglich.

Erkennung von Angriffen und Schutz vor ihnen

• Um Angriffe zu erkennen, können Sie die Broadcast-Aktivität analysieren - das sind UDP, NBF, SAP-Pakete. • Um ein internes Netzwerk zu schützen, das mit dem Internet verbunden ist, sollten Sie keine eingehenden Pakete aus dem externen Netzwerk ausgeben, deren Quelle die interne Netzwerkadresse ist. Sie können nur zulassen, dass Pakete an Port 80 übergeben werden. • Paketpufferung bei Bedarf einstellen (nicht einmal vernachlässigen
Systemsteuerung \ Netzwerk \ Protokolle \ Eigenschaften \ Erweitert in Windows NT).

Scan-Methoden

Verwenden des ARP-Protokolls

Diese Art von Abfrage kann von Angreifern verwendet werden, um die funktionierenden Systeme in Segmenten des lokalen Netzwerks zu bestimmen.

Scannen des Netzwerks über DNS

Es ist bekannt, dass vor dem Start eines Angriffs die Angreifer die Identifizierung von Targets durchführen, d.h. Identifizierung von Computern, die Opfer von Angriffen werden, sowie Computer, die den Informationsaustausch mit den Opfern durchführen. Eine Möglichkeit, Ziele zu identifizieren, besteht darin, den Nameserver abzufragen und alle verfügbaren Domain-Informationen daraus zu erhalten. Gegenantrag: Um einen solchen Scan zu bestimmen, musst du DNS-Abfragen analysieren (Adresse im Namen), vielleicht aus verschiedenen DNS-Servern, aber für einen bestimmten, festen Zeitraum. In diesem Fall müssen Sie sich anschauen, welche Informationen an sie gesendet werden und verfolgen Sie die Adressensuche.

UDP-Bombe

Scannen eines Netzwerks mit der Ping-Sweep-Methode

Ping-Sweep oder Ziel-Erkennung mit dem ICMP-Protokoll ist eine effektive Methode.

Gegenantrag: Um die Tatsache des Ping-Scannens von Targets innerhalb des Subnetzes zu bestimmen, ist es notwendig, die Quell- und Zieladressen von ICMP-Paketen zu analysieren.

Scannen von TCP-Ports

Port Scannen ist eine bekannte Methode zur Erkennung der Konfiguration des Computers und der verfügbaren Dienste. Es gibt mehrere Methoden des TCP-Scannens, einige von ihnen werden als Stealth bezeichnet, weil sie die Schwachstellen der TCP / IP-Stack-Implementierungen in den meisten modernen Betriebssystemen verwenden und nicht standardmäßig erkannt werden. Gegenantrag: Gegenwirkung kann beispielsweise durch das Senden von TCP-Paketen mit dem RST-Flag durchgeführt werden, das im Auftrag des gescannten Computers auf den Computer des Eindringlings gesetzt ist.

Scannen von UDP-Ports

Ein anderer Typ des Port-Scannens basiert auf der Verwendung des UDP-Protokolls und besteht aus: Ein UDP-Paket wird an den gescannten Computer gesendet, der an den Port adressiert ist und auf die Verfügbarkeit überprüft wird. Wenn der Port nicht verfügbar ist, erhält der ICMP eine nicht erreichbare Nachricht als Antwort, sonst gibt es keine Antwort. Diese Art von Scan ist sehr effektiv. Es erlaubt Ihnen, alle Häfen auf einem Opfercomputer in kurzer Zeit zu scannen. Gegenwirkung: Es ist möglich, dem Scannen dieser Art entgegenzuwirken, indem man Nachrichten über die Unzugänglichkeit des Hafens an den Computer des Angreifers sendet.

Stealth-Scan

Die Methode basiert auf einem falschen Netzwerkcode, so dass Sie nicht garantieren können, dass es in einer bestimmten Situation gut funktioniert. TCP-Pakete mit ACK- und FIN-Flag-Set werden verwendet. Sie sollten verwendet werden, weil Wenn ein solches Paket in einer ungeöffneten Verbindung an den Port gesendet wird, kehrt das Paket mit dem RST-Flag immer wieder zurück. Es gibt mehrere Methoden, die dieses Prinzip verwenden: • Senden Sie ein FIN-Paket. Wenn der empfangende Host RST zurückgibt, ist der Port inaktiv, wenn RST nicht zurückkehrt, dann ist der Port aktiv. Diese Methode funktioniert in den meisten Betriebssystemen. • Senden Sie ein ACK-Paket. Wenn die TTL der zurückgegebenen Pakete kleiner ist als in den anderen empfangenen RST-Paketen, oder wenn die Fenstergröße größer als Null ist, dann ist der Port höchstwahrscheinlich aktiv.

Passives Scannen

Das Scannen wird häufig von Angreifern verwendet, um herauszufinden, welche TCP-Ports Dämonen ausführen, die auf Anfragen aus dem Netzwerk antworten. Ein regelmäßiges Scannerprogramm öffnet Verbindungen zu verschiedenen Ports in Serie. Falls die Verbindung hergestellt ist, setzt das Programm es zurück und informiert die Portnummer des Angreifers. Diese Methode wird leicht durch die Berichte von Dämonen erkannt, überrascht sofort nach der Installation durch Verbindung unterbrochen, oder durch die Verwendung spezieller Programme. Die besten dieser Programme haben einige Versuche, Elemente eines künstlichen Elements bei der Verfolgung von Versuchen, sich mit verschiedenen Häfen zu verbinden, einzuführen. Jedoch kann ein Angreifer eine andere Methode verwenden - passives Scannen (der englische Begriff "passiver Scan"). Wenn es verwendet wird, sendet ein Angreifer ein TCP / IP-SYN-Paket an alle Ports in einer Zeile (oder durch einen gegebenen Algorithmus). Für TCP-Ports, die Verbindungen von außen akzeptieren, wird das SYN / ACK-Paket als Einladung zurückgegeben, um den 3-Wege-Handshake fortzusetzen. Der Rest wird RST-Pakete zurückgeben. Analysieren der gegebenen Antwort, kann der Angreifer schnell verstehen, auf welchen Häfen das Programm funktioniert. Als Reaktion auf SYN / ACK-Pakete kann es auch mit RST-Paketen antworten, was darauf hinweist, dass der Verbindungsaufbau nicht fortgesetzt wird (im Allgemeinen wird die TCP / IP-Implementierung des Angreifers automatisch mit RST-Paketen antworten, wenn es keine speziellen Maßnahmen ergreift). Die Methode wird nach vorherigen Methoden nicht erkannt, da eine echte TCP / IP-Verbindung nicht hergestellt ist. Allerdings können Sie (abhängig vom Verhalten des Angreifers) die dramatisch erhöhte Anzahl von Sitzungen im SYN_RECEIVED-Zustand überwachen. (Vorausgesetzt der Angreifer sendet kein RST als Antwort) den Empfang vom RST-Paket-Client als Antwort auf das SYN / ACK. Unglücklicherweise ist es mit einem klug genug Verhalten eines Angreifers (z. B. beim Scannen bei niedriger Geschwindigkeit oder bei der Überprüfung nur bestimmter Ports) unmöglich, ein passives Scannen zu erkennen, da es nicht anders ist als die üblichen Versuche, eine Verbindung herzustellen. Als Schutz können Sie nur raten, alle Dienste auf der Firewall zu schließen, die Sie nicht von außen nutzen müssen.

Einladung des Systems und die Gefahr der darin enthaltenen Informationen

Es ist notwendig, die "Systemaufforderungen" zu entfernen, die von den zentralen Computern auf den RAS-Terminals für die Anmeldung am System angezeigt werden. Diese Anforderung beruht auf folgenden Gründen: • "Systemeinladungen" enthalten in der Regel Informationen, die es dem Verletzer ermöglichen, den Typ und die Version des Betriebssystems des zentralen Rechners, die Art der Fernzugriffssoftware usw. zu identifizieren. Solche Informationen können die Aufgabe des Durchdringens des Systems erheblich vereinfachen, da der Eindringling kann Verwenden Sie illegale Zugangs-Tools, die die Schwächen eines bestimmten Systems ausnutzen; • "Systemaufforderung" zeigt in der Regel das Abteilungsbesitz des Systems an. In dem Fall, in dem das System einer geheimen Agentur oder Finanzstruktur angehört, kann das Interesse des Täters deutlich zunehmen; • Eine kürzliche Verhandlung lehnte die Forderung des Unternehmens gegen eine Person ab, die das Netz des Unternehmens illegal infiltrierte, da er sein Handeln mit einer Inschrift auf dem Fernzugriffsterminal auf den Zentralrechner "Welcome to ..." motivierte.

Ein paar Tipps für die Netzwerkforschung

• Scannen Sie den Server auf offene Ports und Dienste. • Versuchen Sie, sich auf dem Server als IUSR_ <Maschinenname mit Kugeln anzumelden. • Versuchen Sie, SAM._ aus / REPAIR zu sperren (Passwörter von SAM werden durch den Erweiterungsbefehl erhalten). • Verzeichnisse / Skripte und / cgi-bin, wie es wohl vielen bekannt ist, in NT können Sie alle Dateien aus diesen Verzeichnissen ausführen, also sollten Sie diese Verzeichnisse schließen. Der Start wird etwa durch diesen Befehl ausgeführt (wenn die ausführbare Datei in / scripts ist) aus dem Browser - http: //www.idahonews/scripts/getadmin.exe? Test. Sie können Administratorrechte auf folgende Weise erhalten: Die Programme von / scripts werden nicht unter dem Benutzerbenutzerstatus gestartet, sondern aus demselben Webkonto, aus dem Sie schließen können, dass die Passwörter des Administrators mit der PWDUMP.exe einfach aus der Registrierung verwaltet werden können. • Es sollte daran erinnert werden, dass Programme von / SCRIPTS unter dem Webkonto gestartet werden und nicht unter dem Konto des Benutzers, der das Programm gestartet hat. Daher können Sie versuchen, Passwörter aus der Registrierung mit PWDUMP.EXE zu entfernen. Die Passwörter werden codiert. In diesem Fall sollten Sie die Seite als Textdatei speichern und versuchen, Passwörter mit dem Programm BRUTEFORCE zu dekodieren. • Unter dem Administratorkonto können Sie die Aliase auf ftp und http ändern.

Einige andere Möglichkeiten, Informationen zu erhalten

• Mit whois oder NSLookUp, um alternative Namen herauszufinden, herauszufinden, wer das Netzwerk besitzt. Erinnere dich an den Bereich der IP-Adressen für das anschließende Scannen. • Gehen Sie zum nächsten Router und finden Sie etwas heraus. Um den Router zu finden, musst du den Pfad zu einer beliebigen IP-Adresse aus dem erkannten Bereich verfolgen. Der nächste Router wird durch die Reaktionszeit bestimmt. • Versuche, zum Router telnet'om zu gehen. • Führen Sie den Scanner des IP-Adressbereichs aus, um die auf dem PC ausgeführten Dienste zu ermitteln.

Löcher und Administratorfehler in Windows NT

• Betrachten Sie die Anfälligkeit, die mit einem Fehler bei der Implementierung des Systems verbunden ist. Diese Anfälligkeit führt zu der Möglichkeit eines Angriffs, genannt GetAdmin . Anfällig ist der NtAddAtom-Systemdienst, der die an ihn übergebenen Parameter nicht überprüft und Bit 0 auf die Adresse NtGlobalFlag + 2 setzt. Dazu die Datei ntoskrnl.exe öffnen und den Einstiegspunkt in NtAddAtom finden. Wenn Sie dieses Bit setzen, wird die Überprüfung der Debugger-Berechtigungen in NtOpenProcess und NtOpenThread deaktiviert. So hat jeder Benutzer das Recht, irgendeinen Prozess im System zu öffnen. Der Angriff öffnet den Prozess des Winlogon-Prozesses und bettet die DLL dazu ein. Da dieser Service über SYSTEM-Berechtigungen verfügt, kann er der Administratorgruppe einen Benutzer hinzufügen oder aus dieser Gruppe entfernen. Theoretisch sind andere Sicherheitsverletzungen des Systems möglich. • Eine der beliebtesten Methoden zur Eingabe des Systems ist die Auswahl eines Passworts. Um dies zu beenden, ist es gewöhnlich eingestellt, das Benutzerkonto nach einer bestimmten Anzahl von erfolglosen Anmeldeversuchen zu sperren. Eine schöne Ausnahme ist das Administratorkonto. Und wenn er das Recht hat, auf den Eingang durch das Netzwerk zuzugreifen, öffnet sich ein Schlupfloch für die stille Erkennung des Passworts. Für den Schutz wird empfohlen, den Administratorbenutzer umzubenennen, die Kontosperre zu setzen, den Administrator daran zu hindern, sich über das Netzwerk anzumelden, SMB-Pakete über TCP / IP (Ports 137,138,139) zu senden und die fehlgeschlagenen Einträge zu protokollieren.

Spam

Spammer finden nicht nur einen ISP, um ihre Post zu versenden, aber wahrscheinlich werden sie ein Unternehmen wählen, weil Der Internet-Provider ist einfacher zu verstehen, was passiert ist, und es wird wahrscheinlich in der Lage sein, diese Nachrichten schneller loszuwerden. Periodisch Spamming kann legitime Benutzer wegen einer E-Mail-Server-Überlastung stören. Das Problem ist, dass es nicht so schwer ist, eine Verbindung zu einem SMTP-Server herzustellen. Um dies zu tun, müssen Sie nur 7-8 Befehle kennen, damit der SMTP-Server Ihre Nachrichten verteilen wird. Um dies zu verhindern, können Sie die Adressen der eingehenden Nachrichten auf der Datenbank der registrierten Benutzer des Servers überprüfen. Wenn die Adresse der sendenden Nachricht oder einer der von ihr angeforderten Adressen nicht in der Liste ist, wird keine E-Mail gesendet.

So schützen Sie das Mailsystem von Spammern

• Wenn Sie die Protokolle nicht lesen, werden die Spammer mit Straflosigkeit handeln. • Programmieren Sie nur einen der E-Mail-Server Ihres Unternehmens, damit sie nicht auf eine Nachrichtenanforderung antworten. Der verbleibende Server muss die IP-Adressen sorgfältig filtern. • Halten Sie alle E-Mail-Server, die Nachrichtenweiterleitungsanforderungen im Abdeckungsbereich ihrer Firewall erhalten können.

Wie Spammer arbeiten

• Ziel ausgewählt - der Spammer wählt zufällig den Domainnamen des Unternehmens aus und erkennt dann den Hostnamen des SMTP-Servers. Wenn der Server die Mail akzeptiert, bittet der Spammer ihn, die Nachricht an die Adressliste zu verteilen. • Der Server führt die Anforderung aus und gibt den Eindruck, dass die Nachrichten die IP-Adresse des Opferunternehmens verlassen.

IIS Löcher, WWW, FTP

• Der Absender kann seine gefälschte Adresse wie folgt verlassen: Der Absender kann sich an den SMTP-Port des Gerätes anschließen, in dessen Namen er die Nachricht senden möchte und den Text der Nachricht eingeben. • Mit dem FTP-Dienst können Sie passive Verbindungen basierend auf der vom Client angegebenen Portadresse erstellen. Dies kann von einem Angreifer verwendet werden, um gefährliche Befehle an den FTP-Dienst zu senden. Die Registry enthält den Schlüssel: <HKLM \ System \ CurrentControlSet \ Services \ MSFTPSVC \ Parameters> mit dem Wert <EnablePortAttack: REG_DWORD:> Sicherstellen, dass der Wert auf '0' gesetzt ist, nicht '1'. • Wenn Sie über Telnet mit Port 80 verbinden, wird der Befehl "GET ../ .." Wird in IIS Crashing und die Meldung "Die Anwendung, exe \ inetinfo.dbg, generiert einen Anwendungsfehler. Die Adresse" http://www.domain.com/scripts .. \ .. \ scriptname "erlaubt Ihnen, das angegebene Skript auszuführen. Standardmäßig ist Guest Oder IUSR_WWW hat Lesezugriff auf alle Dateien in allen Verzeichnissen. So können diese Dateien eingesehen, heruntergeladen und gestartet werden. • Die Verzeichnisse \ script \ cgi-bin sollte geschlossen sein, weil Aus diesen Verzeichnissen können Sie alle Dateien direkt aus dem Browser-Fenster ausführen. • Wenn IIS eine sehr lange URL hat (4 - 8KB), hängt der Server und reagiert nicht auf weitere Anfragen. Das Problem ist, dass die genaue Größe der URL von dem jeweiligen Server abhängt, so dass die Killer-Programme mit einer grundlegenden Abfrage Größe und allmählich Erhöhung der Größe versuchen, diesen kritischen Punkt, dass die Server-Baum hängen wird zu finden. • Benutzer von Outlook Express 98 müssen mit der Tatsache rechnen, dass dieser Mailer die Verarbeitung, einschließlich der Ausführung, Visual Basic-Scripts ermöglicht, die in der E-Mail leicht ausgeblendet werden können. Ein ähnliches Skript hat vollen Zugriff auf das Dateisystem. Echtes Schutz kann nur die Installation von "Sicherheitsstufe" in Outlook zu "Maximum" werden. • Wenn Sie erlauben, dass html-Tags im Chat eingegeben werden, wird niemand mit dem Einfügen von etwas wie <img src = "http://www.mysite.com/cgi-bin/sniffer.cgi"> in Ihre Nachricht eingreifen. Infolgedessen werden alle, die im Chat (nicht einmal registriert) vorhanden sind, ohne es zu wissen, das Skript anrufen. • Beschränken Sie den Zugriff auf Port 25 nur für einige Benutzer.