This page has been robot translated, sorry for typos if any. Original content here.

Netzwerkangriffe und etwas anderes

Einführung in Netzwerkangriffe

Kurzbeschreibungen von Netzwerkangriffen

Fragmentierung von Daten

Übertragung von fragmentierten IP-Paketen

Ping Flutangriff

PingOfDeath oder SSPing

UDP-Bombe

SYN-Überschwemmung

Nicht standardisierte Protokolle in IP gekapselt

TFTP verwenden

Schlumpfangriff

Angriffsland

Einführung in das Internet eines falschen Servers durch Erstellen eines gerichteten "Sturms" falscher DNS-Antworten auf den angegriffenen Host

Die Einführung eines falschen Servers in das Internet durch das Abfangen einer DNS-Abfrage oder das Erzeugen eines gerichteten "Sturms" falscher DNS-Antworten auf den angegriffenen DNS-Server

Einführung eines falschen DNS-Servers in das Internet durch Abfangen einer DNS-Abfrage

DNS-Flooding-Angriff

DNS-Spoofing-Angriff

IP-Spoofing-Angriff

Packet Imposition

Sniffing - Kanal hören (nur im LAN-Segment möglich)

Pakete auf dem Router abfangen

Einen falschen Routenhost mit ICMP imitieren

WinNuke

Falscher ARP-Server

Prediction TCP-Sequenznummer (IP-Spoofing)

Lokaler Sturm

IP-Entführung

Erkennung und Schutz vor Angriffen

Scanmethoden

Verwendung des ARP-Protokolls

Scannen des Netzwerks über DNS

UDP-Bombe

TCP-Ports scannen

Scannen von UDP-Ports

Stealth-Scan

Passives Scannen

Einladung des Systems und die Gefahr der darin enthaltenen Informationen

Ein paar Tipps für die Netzwerkforschung

Einige andere Möglichkeiten, Informationen zu erhalten

Löcher und administrative Fehler in Windows NT

Spamming

Wie man das Mailsystem vor Spammern schützt

Wie Spammer arbeiten

IIS Löcher, WWW, FTP

Einführung in Netzwerkangriffe

Das gestiegene Interesse an TCP / IP-Netzwerken ist auf das schnelle Wachstum des Internets zurückzuführen. Dies lässt jedoch darüber nachdenken, wie man seine Informationsressourcen vor Angriffen des externen Netzwerks schützt. Wenn Sie mit dem Internet verbunden sind, wird Ihr System möglicherweise angegriffen. Protokolle der IP-Familie sind die Grundlage für den Aufbau von Intranet-Netzwerken und das globale Internet. Obwohl die Entwicklung von TCP / IP vom US-Verteidigungsministerium finanziert wurde, hat TCP / IP keine absolute Sicherheit und erlaubt die verschiedenen Arten von Angriffen, die in diesem Kapitel behandelt werden. Um solche Angriffe zu implementieren, muss ein potenzieller Angreifer die Kontrolle über mindestens eines der mit dem Internet verbundenen Systeme haben. Einer der Ansätze zur Analyse von Bedrohungen für die Sicherheit von Computersystemen besteht darin, eine eigene Bedrohungsklasse zu isolieren, die nur in Computernetzwerken liegt. Diese Bedrohungsklasse wird als Klasse von Remoteangriffen bezeichnet. Dieser Klassifizierungsansatz erscheint aufgrund der Existenz grundlegender Merkmale beim Aufbau von vernetzten Betriebssystemen geeignet. Das Hauptmerkmal jedes Netzwerkbetriebssystems ist, dass seine Komponenten räumlich verteilt sind und die Verbindung zwischen ihnen physisch über spezielle Netzwerkverbindungen (Koaxialkabel, Twisted-Pair, Glasfaser usw.) und programmgesteuert mittels des Nachrichtenmechanismus ausgeführt wird. In diesem Fall werden alle Steuerungsnachrichten und Daten, die von einer Komponente des Netzwerk-BS an eine andere Komponente gesendet werden, über Netzwerkverbindungen als Austauschpakete übertragen. Diese Funktion ist der Hauptgrund für die Entstehung einer neuen Bedrohungsklasse - Remote-Angriffe. Bei diesem Angriffstyp interagiert der Angreifer mit dem Empfänger der Informationen, dem Absender und / oder den Zwischensystemen, möglicherweise durch Modifizieren und / oder Filtern der Inhalte von TCP / IP-Paketen. Diese Art von Angriffen scheint oft technisch schwierig zu implementieren, aber für einen guten Programmierer ist es nicht schwierig, die geeigneten Werkzeuge zu implementieren. Die Fähigkeit, beliebige IP-Pakete zu erstellen, ist ein wichtiger Punkt, um aktive Angriffe auszuführen. Remote-Attacken können je nach Art der Aktion klassifiziert werden: Aktiv oder Passiv. Aktive Angriffe können in zwei Teile geteilt werden. Im ersten Fall unternimmt der Angreifer bestimmte Schritte, um den Netzwerkstrom abzufangen und zu modifizieren oder versucht, von einem anderen System "vorzugeben". Im zweiten Fall wird das TCP / IP-Protokoll verwendet, um das Opfersystem in einen inoperablen Zustand zu versetzen. Bei passiven Angriffen erkennen Angreifer sich in keiner Weise und interagieren nicht direkt mit anderen Systemen. Tatsächlich kommt es darauf an, die verfügbaren Daten oder Kommunikationssitzungen zu überwachen. Obwohl passive Angriffe die Netzwerksicherheitsrichtlinien verletzen können. Die Idee, einen Angriff zu erkennen, ist einfach: Jeder Angriff entspricht einem bestimmten Netzwerkverkehr, daher ermöglicht die Analyse des Verkehrs, den Angriff zu ermitteln und die "Spuren" des Angreifers zu erkennen, d. H. Identifizieren Sie die IP-Adressen, von denen der Informationseffekt ausgeführt wurde. Die Erkennung von Angriffen erfolgt also durch die Überwachung von Informationsflüssen, die durch Analyse des Netzwerkverkehrs erreicht wird.

Kurzbeschreibungen von Netzwerkangriffen

Es sollte daran erinnert werden, dass grobe Methoden wie das Pingen von großen Paketen oder SYN-Fluten, unabhängig von der Konfiguration, jede Internetmaschine oder jedes Subnetz überfluten können.

Fragmentierung von Daten

Wenn ein IP-Datenpaket über ein Netzwerk übertragen wird, kann dieses Paket in mehrere Fragmente unterteilt werden. Später, wenn der Empfänger die Adresse erreicht, wird das Paket aus diesen Fragmenten wiederhergestellt. Ein Angreifer kann das Senden einer großen Anzahl von Fragmenten initiieren, was zu einem Überlauf von Programmpuffern auf der Empfangsseite und in einigen Fällen zu einer abnormalen Beendigung des Systems führt.

Übertragung von fragmentierten IP-Paketen mit einem Gesamtvolumen von mehr als 64 KB

Die Anzahl der Implementierungen von Angriffen, die die Möglichkeit der Fragmentierung von IP-Paketen ausnutzen, ist groß genug. Mehrere fragmentierte IP-Pakete werden an die Opfermaschine gesendet, die zusammengesetzt ein Paket bilden, das größer als 64 K ist (die maximale Größe des IP-Pakets ist 64 K minus der Länge des Headers). Dieser Angriff war gegen Computer unter Windows wirksam. Wenn Sie ein solches Paket erhalten, "hängt" Windows NT, das keinen speziellen icmp-fix-Patch hat oder abstürzt. Andere Varianten solcher Angriffe verwenden falsche Offsets in IP-Fragmenten, was zu einer fehlerhaften Speicherzuordnung, einem Überlauf von Puffern und schließlich zu Systemfehlern führt.

Gegenwirkung: Um solche Angriffe zu erkennen, ist es notwendig, den Aufbau von Paketen "on the fly" durchzuführen und zu analysieren, was die Hardware-Anforderungen erheblich erhöht.

Ping Flutangriff

Er erschien, weil das Programm "Ping", entworfen, um die Qualität der Linie zu bewerten, den Schlüssel für "aggressive" Tests hat. In diesem Modus werden Anfragen mit der höchstmöglichen Geschwindigkeit gesendet, und das Programm ermöglicht es Ihnen, auszuwerten, wie das Netzwerk bei maximaler Last arbeitet. Dieser Angriff erfordert, dass ein Angreifer auf die schnellen Kanäle im Internet zugreift. Erinnern Sie sich, wie Ping funktioniert. Das Programm sendet ein ICMP-Paket vom Typ ECHO REQUEST, in dem die Zeit und ihre Kennung angegeben werden. Der Kern der Zielmaschine antwortet auf eine ähnliche Anfrage mit dem Paket ICMP ECHO REPLY. Empfangen, ping gibt die Geschwindigkeit des Pakets. In der Standardbetriebsart werden Pakete nach einigen Zeitintervallen geschickt, praktisch ohne das Netzwerk zu laden. Im "aggressiven" Modus kann der ICMP-Echoanforderungs- / Antwortpaketstrom jedoch bewirken, dass eine kleine Leitung überladen wird, was die Fähigkeit, nützliche Informationen zu übertragen, entzieht. Natürlich ist der Fall von Ping ein Spezialfall einer allgemeineren Situation, die mit der Überlastung von Kanälen zusammenhängt. Beispielsweise kann ein Angreifer mehrere UDP-Pakete an Port 19 eines Opfercomputers senden. Wenn er den allgemein akzeptierten Regeln folgt, verfügt er über einen Zeichengenerator am 19. UDP-Port, der auf Pakete mit Zeilen von 80 Byte reagiert. Beachten Sie, dass ein Angreifer auch die umgekehrte Adresse solcher Pakete fälschen kann, was die Erkennung erschwert. Track es wird helfen, wenn die koordinierte Arbeit von Spezialisten auf Zwischenrouten, die fast unmöglich ist. Eine Variante des Angriffs besteht darin, ICMP-Echoanforderungspakete mit der Quelladresse zu senden, die das Opfer anzeigt, um Adressen von großen Netzwerken zu senden. Infolgedessen reagiert jede der Maschinen auf diese falsche Anfrage, und die sendende Maschine wird mehr Antworten erhalten. Viele Broadcast-Echo-Anfragen im Namen des "Opfers" an Broadcast-Adressen großer Netzwerke senden, können Sie eine scharfe Ausfüllung des Senders "Opfer" verursachen. Die Anzeichen von Überschwemmungen sind eine stark erhöhte Belastung des Netzwerks (oder Kanals) und eine Zunahme der Anzahl spezifischer Pakete (wie zum Beispiel ICMP). Als Schutz können Sie die Konfiguration von Routern empfehlen, in denen sie denselben ICMP-Datenverkehr filtern und einen vordefinierten Wert (Pakete / Zeiteinheit) überschreiten. Beschränken Sie den Zugriff auf Ping, um sicherzustellen, dass Ihre Computer nicht als Quelle für Ping-Überflutungen dienen können.

PingOfDeath oder SSPing

Sein Wesen ist wie folgt: Ein stark fragmentiertes ICMP-Paket einer großen Größe (64 KB) wird an die Maschine des Opfers gesendet. Die Antwort von Windows-Systemen, ein solches Paket zu empfangen, ist bedingungsloses Durchhängen, einschließlich Maus und Tastatur. Das Programm für den Angriff ist im Netzwerk in Form von Quellcode in C und als ausführbare Dateien für einige Unix-Versionen verfügbar. Seltsamerweise, im Gegensatz zu WinNuke, kann ein Opfer eines solchen Angriffs nicht nur Windows-Rechner sein, MacOS und einige Unix-Versionen sind davon betroffen. Vorteile dieser Angriffsmethode sind, dass die Firewall in der Regel ICMP-Pakete durchläuft. Wenn die Firewall so konfiguriert ist, dass sie die Adressen von Absendern filtert, können Sie mit einer einfachen Spoofing-Technik eine solche Firewall täuschen. Der Nachteil von PingOfDeath besteht darin, dass für einen Angriff mehr als 64 KB über das Netzwerk gesendet werden müssen, was im Allgemeinen für große Divertionen nicht sehr nützlich ist.

UDP-Bombe

Das übertragene UDP-Paket enthält ein ungültiges Format für die Dienstfelder. Einige ältere Versionen von Netzwerksoftware führen zum Empfang eines ähnlichen Pakets, um das System zu stürzen.

SYN-Überschwemmung

Überflutung mit SYN-Paketen ist der bekannteste Weg, einen Informationskanal zu "hämmern". Erinnern Sie sich, wie TCP / IP bei eingehenden Verbindungen funktioniert. Das System antwortet auf das eingehende C-SYN-Paket mit einem S-SYN / C-ACK-Paket, überträgt die Sitzung in den Zustand SYN_RECEIVED und reiht es ein. Wenn die S-ACK nicht innerhalb der angegebenen Zeit ankommt, wird die Verbindung aus der Warteschlange gelöscht, andernfalls wird die Verbindung in den Zustand ESTABLISHED übertragen. Betrachten Sie den Fall, in dem die Warteschlange der Eingangsverbindungen bereits voll ist und das System ein SYN-Paket empfängt, das die zu erstellende Verbindung einlädt. Laut RFC wird er still ignoriert. Das Überfluten mit SYN-Paketen basiert auf dem Überlauf der Serverwarteschlange. Danach reagiert der Server nicht mehr auf Benutzeranforderungen. Der berühmteste Angriff dieser Art ist der Angriff auf Panix, den New Yorker Anbieter. Panix hat 2 Wochen lang nicht gearbeitet. In verschiedenen Systemen wird die Arbeit mit der Warteschlange auf verschiedene Arten implementiert. In BSD-Systemen hat jeder Port eine eigene Warteschlange mit der Größe von 16 Elementen. Im Gegensatz dazu gibt es in SunOS-Systemen keine solche Trennung, und das System hat einfach eine große allgemeine Warteschlange. Um beispielsweise den WWW-Port auf der BSD zu blockieren, sind demnach 16 SYN-Pakete ausreichend, und für Solaris 2.5 wird ihre Anzahl viel größer sein. Nach einer bestimmten Zeit (abhängig von der Implementierung) entfernt das System Abfragen aus der Warteschlange. Nichts hindert jedoch einen Angreifer daran, einen neuen Teil der Anforderungen zu senden. Somit kann ein Angreifer alle 20 Minuten auf 20 bis 30 Pakete auf dem FreeBSD-Server senden und diesen in einem inaktiven Zustand unterstützen (natürlich wurde dieser Fehler in den neuesten Versionen von FreeBSD korrigiert). Wie üblich kann ein Angreifer bei der Bildung von Paketen von zufälligen Reverse-IP-Adressen Gebrauch machen, was es schwierig macht, seinen Verkehr zu erkennen und zu filtern. Die Erkennung ist einfach - eine große Anzahl von Verbindungen im SYN_RECEIVED-Zustand, wobei die Ignorierung von Versuchen eine Verbindung zu diesem Port herstellt. Als Schutz können Sie Patches empfehlen, die die automatische "Prune" -Warteschlange implementieren, zum Beispiel basierend auf dem Algorithmus Early Random Drop. Wenden Sie sich an den Systemanbieter, um herauszufinden, ob Ihr System gegen SYN-Überflutung geschützt ist. Eine weitere Option besteht darin, die Firewall so zu konfigurieren, dass alle eingehenden TCP / IP-Verbindungen von der Firewall selbst installiert werden und erst dann von der angegebenen Maschine ins Innere des Netzwerks verschoben werden. Dadurch können Sie das Syn-Flooding begrenzen und nicht innerhalb des Netzwerks verpassen. Dieser Angriff bezieht sich auf die Denial-of-Service-Angriffe, deren Folge die Unfähigkeit ist, Dienste bereitzustellen. Der Angriff richtet sich in der Regel an einen bestimmten spezifischen Dienst, z. B. telnet oder ftp. Es besteht darin, die Verbindungsaufbaupakete an den Port zu übergeben, der dem angegriffenen Dienst entspricht. Wenn die Anfrage empfangen wird, weist das System Ressourcen für die neue Verbindung zu und versucht dann, auf die Anforderung zu antworten (senden Sie "SYN-ACK") an eine nicht erreichbare Adresse. Standardmäßig versucht NT-Versionen 3.5-4.0, die Bestätigung 5 Mal zu wiederholen - nach 3, 6, 12, 24 und 48 Sekunden. Nach weiteren 96 Sekunden kann das System auf die Antwort warten und erst dann die für die zukünftige Verbindung zugewiesenen Ressourcen freigeben. Die Gesamtzeit der Ressourcennutzung beträgt 189 Sekunden.

Nicht standardisierte Protokolle in IP gekapselt

Das IP-Paket enthält ein Feld, das das Protokoll des gekapselten Pakets (TCP, UDP, ICMP) angibt. Angreifer können den nicht standardmäßigen Wert dieses Feldes verwenden, um Daten zu übertragen, die nicht durch Standardmittel zum Überwachen von Informationsflüssen erkannt werden.

TFTP verwenden

Dieses Protokoll enthält keine Authentifizierungsmechanismen, weshalb es für Eindringlinge attraktiv ist.

Schlumpfangriff

Der Angriff von Schlumpf besteht in der Übertragung an das Netzwerk von Broadcast-ICMP-Anfragen im Auftrag des Opfercomputers. Infolgedessen reagieren Computer, die solche Broadcast-Pakete empfangen haben, auf den Computer des Opfers, was zu einer signifikanten Verringerung der Bandbreite des Kommunikationskanals führt und in einigen Fällen die Isolierung des angegriffenen Netzwerks zu vervollständigen. Der Schlumpfangriff ist außergewöhnlich effektiv und weit verbreitet. Gegenwirkung: Um diesen Angriff zu erkennen, müssen Sie die Belastung des Kanals analysieren und die Gründe für die Verringerung der Bandbreite ermitteln.

Angriffsland

Der Land-Angriff nutzt die Schwachstellen der TCP / IP-Stack-Implementierungen in einigen Betriebssystemen aus. Es besteht darin, an den offenen Port des Opfercomputers ein TCP-Paket mit dem gesetzten SYN-Flag zu senden, und die Quelladresse und der Port eines solchen Pakets sind gleich der Adresse bzw. dem Port des angegriffenen Computers. Dies führt dazu, dass der Computer des Opfers versucht, eine Verbindung mit sich selbst herzustellen, was zu einer erheblichen Erhöhung der CPU-Auslastung führt und einen Hänge- oder Neustart verursachen kann. Dieser Angriff ist bei einigen Router-Modellen von Cisco Systems sehr effektiv und die erfolgreiche Anwendung eines Angriffs auf den Router kann das gesamte Netzwerk der Organisation deaktivieren. Gegenaktion: Sie können sich vor diesem Angriff schützen, indem Sie einen Paketfilter zwischen dem internen Netzwerk und dem Internet installieren und dabei eine Filterregel angeben, die darauf hinweist, dass Sie Pakete aus dem Internet unterdrücken sollten, jedoch mit den ursprünglichen IP-Adressen der Computer im internen Netzwerk.

Einführung in das Internet eines falschen Servers durch Erstellen eines gerichteten "Sturms" falscher DNS-Antworten auf den angegriffenen Host

Eine andere Version des Remote-Angriffs, die auf den DNS-Dienst abzielt, basiert auf dem zweiten Typ eines typischen Remote-Angriffs "false object BC". In diesem Fall sendet der Angreifer kontinuierlich eine vorbereitete falsche DNS-Antwort an den angegriffenen Host im Namen des realen DNS-Servers, ohne eine DNS-Anforderung zu empfangen. Mit anderen Worten, der Angreifer erzeugt im Internet einen gezielten "Sturm" falscher DNS-Antworten. Dies ist möglich, da normalerweise ein UDP-Protokoll verwendet wird, um eine DNS-Abfrage zu senden, bei der es keine Möglichkeit zur Paketidentifikation gibt. Das einzige Kriterium für das Netzwerk-Betriebssystem des Hosts für die vom DNS-Server empfangene Antwort ist erstens die Übereinstimmung der IP-Adresse des Absenders der Antwort mit der IP-Adresse des DNS-Servers und zweitens, dass derselbe Name in der DNS-Antwort angegeben ist, wie in der DNS-Abfrage, drittens sollte die DNS-Antwort an denselben UDP-Port gesendet werden, von dem die DNS-Anfrage gesendet wurde (in diesem Fall ist dies das erste Problem für den Angreifer) und viertens im DNS - Wählen Sie das Feld für die Anforderungskennung im DNS-Header (ID) aus, das denselben Wert wie in der übertragenen DNS-Abfrage enthalten soll (dies ist das zweite Problem). In diesem Fall ist das Hauptproblem für ihn die UDP-Portnummer, von der die Anfrage gesendet wurde, da der Angreifer die DNS-Abfrage nicht abfangen kann. Aber die Portnummer des Absenders nimmt einen begrenzten Satz an Werten (1023?). Der Angreifer muss also lediglich durch einfache Suche reagieren und falsche Antworten an die entsprechende Liste der Ports senden. Auf den ersten Blick kann es sich bei dem zweiten Problem um eine DNS-Abfrage-ID mit zwei Byte handeln. In diesem Fall ist es jedoch gleich Eins oder hat einen Wert nahe null (eine Abfrage-ID wird um 1 erhöht). Um diesen Remote-Angriff durchführen zu können, muss der Angreifer daher den interessierenden Host (A) auswählen, dessen Route geändert werden muss, damit er einen falschen Server, den Host des Angreifers, durchläuft. Dies wird durch die konstante Übertragung (durch den "Sturm") des Angriffs von falschen DNS-Antworten auf den angegriffenen Host vom Namen des realen DNS-Servers zu den entsprechenden UDP-Ports erreicht. Bei diesen falschen DNS-Antworten ist die IP-Adresse des Hosts A die IP-Adresse des Angreifers. Weiter entwickelt sich der Angriff gemäß dem folgenden Schema. Sobald das Ziel des Angriffs (angegriffener Host) mit dem Namen an den Host A adressiert ist, wird vom angegebenen Host eine DNS-Anfrage an das Netzwerk gesendet, die der Angreifer niemals empfängt, dies ist jedoch nicht erforderlich, da der Host sofort eine ständig übertragene falsche DNS-Antwort, die vom Betriebssystem des angegriffenen Hosts als reale Antwort vom DNS-Server wahrgenommen wird. Der Angriff hat stattgefunden und jetzt wird der angegriffene Host alle Pakete, die für A bestimmt sind, an die IP-Adresse des Hosts des Angreifers übertragen, der sie wiederum an A weiterleitet und auf die abgefangenen Informationen gemäß dem "false distributed BC" -Schema einwirkt. Betrachten Sie das Funktionsschema des vorgeschlagenen Remote-Angriffs auf den DNS-Dienst: • Konstante Übertragung von falschen DNS-Antworten auf den angreifenden Host an verschiedenen UDP-Ports und möglicherweise mit anderen IDs im Auftrag von (von der IP-Adresse) des realen DNS-Servers mit dem Namen des interessanten Hosts und seiner falschen IP-Adresse, ist die IP-Adresse des falschen Servers - der Host des Angreifers; • im Falle des Empfangens eines Pakets vom Host, Ändern des IP-Headers des Pakets seiner IP-Adresse in die IP-Adresse des Angreifers und Senden des Pakets an den Server (dh der falsche Server arbeitet mit dem Server in seinem Namen - von seiner IP-Adresse aus); • Wenn das Paket vom Server empfangen wird, ändern Sie den IP-Header des Pakets seiner IP-Adresse in die IP-Adresse des falschen Servers und senden Sie das Paket an den Host (für den Host ist der falsche Server der reale Server). Durch die Implementierung dieses Remote-Angriffs mithilfe von Sicherheitslücken im DNS-Dienst können Sie das Routing zwischen zwei angegebenen Objekten von überall im Internet unterbrechen. Das heißt, dieser Remote-Angriff wird intersegmental in Bezug auf den Zweck des Angriffs ausgeführt und bedroht die Sicherheit eines Internet-Hosts unter Verwendung eines normalen DNS-Dienstes.

Die Einführung eines falschen Servers in das Internet durch das Abfangen einer DNS-Abfrage oder das Erzeugen eines gerichteten "Sturms" falscher DNS-Antworten auf den angegriffenen DNS-Server

Aus dem Remote-DNS-Lookupschema folgt, dass, wenn der in der Abfrage angegebene DNS-Server keine Namen in seiner Datenbank findet, die Anfrage vom Server an einen der Root-DNS-Server gesendet wird, deren Adressen in der Konfigurationsdatei des Root.cache-Servers enthalten sind . Das heißt, wenn der DNS-Server keine Informationen über den angeforderten Host hat, leitet er die Anfrage weiter, was bedeutet, dass der DNS-Server selbst eine Remote-DNS-Suche initiiert. Daher verhindert nichts, dass der Angreifer, wie im vorherigen Absatz beschrieben, seinen Angriff auf den DNS-Server richtet. Das Ziel des Angriffs ist nun nicht der Host, sondern der DNS-Server und die falschen DNS-Antworten werden an den Angreifer im Namen des Root-DNS-Servers auf dem angegriffenen DNS-Server gesendet. Es ist wichtig, die folgende Besonderheit der DNS-Server-Operation zu berücksichtigen. Um die Arbeit zu beschleunigen, speichert jeder DNS-Server eine eigene Tabelle mit Namen und IP-Adressen von Hosts im Speicherbereich. In den Cache werden dynamisch geänderte Informationen über die Namen und IP-Adressen von Hosts aufgenommen, die während des Betriebs des DNS-Servers gefunden wurden. Das heißt, wenn der DNS-Server, der die Anforderung empfangen hat, den entsprechenden Eintrag in der Cache-Tabelle nicht findet, leitet er die Antwort an den nächsten Server weiter und gibt nach Empfang einer Antwort die in der Cache-Tabelle gefundenen Informationen in den Speicher ein. Wenn die nächste Anfrage empfangen wird, muss der DNS-Server also keine Fernsuche mehr durchführen, da die erforderlichen Informationen bereits in der Cache-Tabelle enthalten sind. Aus der Analyse des neu beschriebenen Fern-DNS-Lookup-Schemas wird deutlich, dass wenn ein Angreifer eine falsche DNS-Antwort sendet (im Falle eines "Sturms" von falschen Antworten wird er in einer konstanten Übertragung gehalten) als Antwort auf eine Anforderung vom DNS- dann wird ein entsprechender Eintrag mit falschen Informationen in der Server-Cache-Tabelle angezeigt und zukünftig werden alle Hosts, die auf diesen DNS-Server zugreifen, falsch informiert und beim Zugriff auf den Host die Route, zu der sich der Angreifer gewechselt hat, die Kommunikation mit dem Host des Angreifers nach Schemata e "falscher Gegenstand BC." Diese falschen Informationen, die sich im Cache des DNS-Servers befinden, werden sich im Laufe der Zeit auf benachbarte übergeordnete DNS-Server ausbreiten. Infolgedessen werden immer mehr Hosts im Internet falsch informiert und angegriffen. Wenn der Angreifer die DNS-Anfrage vom DNS-Server nicht abfangen kann, benötigt er einen Angriff auf falsche DNS-Antworten, die auf den DNS-Server gerichtet sind. In diesem Fall tritt das folgende Hauptproblem auf, das sich von dem Problem der Auswahl von Ports im Fall eines Angriffs, der auf den Host gerichtet ist, unterscheidet. Wie bereits erwähnt, sendet der DNS-Server eine Anfrage an einen anderen DNS-Server und identifiziert diese Anfrage mit einem Zwei-Byte-Wert (ID). Dieser Wert wird bei jeder übertragenen Abfrage um eins erhöht. Sie können dem Angreifer nicht den aktuellen Wert der DNS-Abfrage-ID angeben. Daher ist nur die Suche nach 2 16 möglichen ID-Werten, die etwas anbieten, ziemlich schwierig. Das Problem der Port-Enumeration verschwindet jedoch, da alle DNS-Anfragen vom DNS-Server an den Port 53 übertragen werden. Das nächste Problem, das die Voraussetzung für diesen Remote-Angriff auf den DNS-Server ist, wenn der "Sturm" falscher DNS-Antworten gelenkt wird, besteht darin, dass der Angriff nur gelingt, wenn der DNS-Server eine Anfrage nach einem bestimmten Namen in einer falschen DNS-Antwort). Der DNS-Server sendet diese dringend benötigte und gewünschte Anforderung an den Angreifer, wenn er von einem beliebigen Host eine DNS-Anfrage erhält, um nach dem angegebenen Namen zu suchen, und dieser Name wird nicht in der Cache-Tabelle des DNS-Servers angezeigt. Im Prinzip kann diese Anfrage jederzeit kommen und der Angreifer muss so lange wie gewünscht auf die Ergebnisse des Angriffs warten. Nichts hindert den Angreifer jedoch daran, auf den angegriffenen DNS-Server eine ähnliche DNS-Abfrage zu senden, ohne auf jemanden zu warten, und veranlasst den DNS-Server, nach dem in der Anfrage angegebenen Namen zu suchen. Dann wird dieser Angriff wahrscheinlich unmittelbar nach dem Start seiner Implementierung erfolgreich sein.

Einführung eines falschen DNS-Servers in das Internet durch Abfangen einer DNS-Abfrage

In diesem Fall handelt es sich um einen Remote-Angriff, der auf dem Standard-Standard-Remote-Angriff basiert, der mit dem Warten auf eine DNS-Lookup-Abfrage verbunden ist. Bevor Sie den Angriffsalgorithmus für DNS in Betracht ziehen, müssen Sie die folgenden Feinheiten in der Arbeit dieses Dienstes beachten. Erstens arbeitet der DNS-Dienst standardmäßig auf der Basis des UDP-Protokolls (obwohl es möglich ist, das TCP-Protokoll zu verwenden), was natürlich weniger sicher macht, da das UDP-Protokoll im Gegensatz zu TCP keine Mittel zur Nachrichtenidentifikation bereitstellt. Um von UDP auf TCP umzuschalten, muss der Administrator des DNS-Servers die Dokumentation ernsthaft studieren. Außerdem wird dieser Übergang das System etwas verlangsamen, da erstens die Verwendung von TCP die Erstellung einer virtuellen Verbindung erfordert und zweitens das Endnetzwerk OS zunächst eine DNS-Anfrage mit dem UDP-Protokoll sendet und wenn es zu ihnen kommt eine spezielle Antwort vom DNS-Server, dann sendet das Netzwerk-Betriebssystem eine DNS-Anfrage über TCP. Zweitens ist die nächste Subtilität, die Sie beachten müssen, dass der Wert des Felds "Senderport" im UDP-Paket zuerst den Wert 1023 (?) Annimmt und dann mit jeder DNS-Abfrage, die übergeben wird, zunimmt. Drittens verhält sich der Wert der ID der DNS-Abfrage wie folgt. Wenn eine DNS-Anfrage vom Host gesendet wird, hängt ihr Wert von der spezifischen Netzwerkanwendung ab, die die DNS-Abfrage generiert. Die Experimente des Autors haben gezeigt, dass im Fall des Sendens einer Anfrage von der Shell der Shell der Linux- und Windows 95-Betriebssysteme (z. B. ftp nic.funet.fi) dieser Wert immer gleich Eins ist. Falls die DNS-Abfrage von Netscape Navigator übertragen wird, erhöht der Browser bei jeder neuen Anfrage diesen Wert um eins. Für den Fall, dass die Anfrage direkt vom DNS-Server gesendet wird, erhöht der Server diesen ID-Wert mit jeder neu übermittelten Abfrage um eins. Alle diese Feinheiten sind wichtig im Falle eines Angriffs ohne Abfangen der DNS-Abfrage. Um einen Angriff durch Abfangen einer DNS-Anfrage zu implementieren, muss der Angreifer die DNS-Abfrage abfangen, die UDP-Portnummer der Anforderung daraus extrahieren, den doppelten Byte-ID-Wert der DNS-Anforderungskennung und den gewünschten Namen angeben und anschließend eine falsche DNS-Antwort an die aus der DNS-Abfrage extrahierte Abfrage senden. UDP-Port, in dem als die gewünschte IP-Adresse die reale IP-Adresse des falschen DNS-Servers angegeben wird. Dies wird in Zukunft das "False PBC" -System auf den Verkehr zwischen dem "getäuschten" Host und dem Server vollständig abfangen und aktiv handhaben. Betrachten Sie das allgemeine Schema des falschen DNS-Servers: • Warten auf die DNS-Abfrage; • Empfangen einer DNS-Abfrage, Extrahieren der erforderlichen Informationen und Senden einer falschen DNS-Antwort an den Host im Auftrag von (von der IP-Adresse) des aktuellen DNS-Servers, der die IP-Adresse des falschen DNS-Servers angibt; • Wenn das Paket vom Host empfangen wird, ändern Sie den IP-Header des Pakets seiner IP-Adresse in die IP-Adresse des falschen DNS-Servers und senden Sie das Paket an den Server (dh der falsche DNS-Server arbeitet mit dem Server in seinem Namen); • Wenn das Paket vom Server empfangen wird, ändern Sie den IP-Header des Pakets seiner IP-Adresse in die IP-Adresse des falschen DNS-Servers und senden Sie das Paket an den Host (für den Host ist der falsche DNS-Server der reale Server). Voraussetzung für diese Option ist das Abfangen der DNS-Anfrage. Dies ist nur möglich, wenn sich der Angreifer entweder im Pfad des Hauptverkehrs oder im Segment des echten DNS-Servers befindet. Die Erfüllung einer dieser Bedingungen des Standorts des Angreifers im Netzwerk macht einen derartigen Remote-Angriff in der Praxis schwierig zu realisieren (wahrscheinlich ist der Angreifer nicht in der Lage, in das Segment des DNS-Servers und noch mehr im intersegmentalen Kommunikationskanal zu gelangen). Wenn diese Bedingungen jedoch erfüllt sind, ist es möglich, einen intersegmentalen Remote-Angriff im Internet durchzuführen. Es ist zu beachten, dass die praktische Implementierung dieses Remote-Angriffs eine Reihe von interessanten Merkmalen beim Betrieb des FTP-Protokolls und im Mechanismus zum Identifizieren von TCP-Paketen offenbart hat. Wenn ein FTP-Client auf dem Host über einen falschen DNS-Server mit einem Remote-FTP-Server verbunden ist, stellte sich heraus, dass der FTP-Client jedes Mal, nachdem der Benutzer eine FTP-Anwendung ausgestellt hat (zum Beispiel ls, den PORT-Befehl, der darin bestand, die Portnummern und IP-Adressen des Client-Hosts im TCP-Paketdatenfeld auf den FTP-Server zu übertragen. Dies hat zur Folge, dass, wenn der falsche DNS-Server die übertragene IP-Adresse im Datenfeld des TCP-Pakets nicht ändert und dieses Paket auf übliche Weise an den FTP-Server sendet, das nächste Paket vom FTP-Server an den Host des FTP- Umgehen des falschen DNS-Servers und, am interessantesten, dieses Paket wird als normales Paket wahrgenommen und in Zukunft wird ein falscher DNS-Server die Kontrolle über den Datenverkehr zwischen dem FTP-Server und dem FTP-Client verlieren! Dies liegt daran, dass ein normaler FTP-Server keine zusätzliche Authentifizierung für den FTP-Client bereitstellt, sondern alle Probleme der Paketidentifikation und -verbindung auf eine niedrigere Ebene verlagert - die TCP-Schicht.

DNS-Flooding-Angriff

DNS-Flooding ist ein Angriff auf Internet-Nameserver. Es besteht in der Übertragung einer großen Anzahl von DNS-Anfragen und führt dazu, dass Benutzer keinen Zugriff auf den Namensdienst und folglich die Unfähigkeit gewöhnlicher Benutzer haben, zu arbeiten. Gegenmaßnahme: Um diesen Angriff zu erkennen, müssen Sie die Belastung des DNS-Servers analysieren und die Quellen der Anforderungen identifizieren.

DNS-Spoofing-Angriff

Das Ergebnis dieses Angriffs ist die Auferlegung einer auferlegten Korrespondenz zwischen der IP-Adresse und dem Domänennamen im Cache des DNS-Servers. Als Ergebnis dieses erfolgreichen Angriffs erhalten alle DNS-Benutzer im Norden falsche Informationen zu Domänennamen und IP-Adressen. Dieser Angriff ist durch eine große Anzahl von DNS-Paketen mit demselben Domain-Namen gekennzeichnet. Dies liegt an der Notwendigkeit, einige DNS-Austauschparameter auszuwählen. Gegenaktion: Um einen solchen Angriff zu erkennen, müssen Sie den Inhalt des DNS-Datenverkehrs analysieren.

IP-Spoofing-Angriff (Syslog)

Eine große Anzahl von Angriffen im Internet ist mit der Ersetzung der Quell-IP-Adresse verbunden. Solche Angriffe beinhalten Syslog-Spoofing, bei dem eine Nachricht an den Computer des Opfers im Namen eines anderen Computers im internen Netzwerk gesendet wird. Da das Syslog-Protokoll zum Verwalten von Systemprotokollen verwendet wird, können Sie durch Senden falscher Nachrichten an einen Opfercomputer Informationen erteilen oder unbefugten Zugriff vertuschen. Gegenaktion: Erkennung von Angriffen, die sich auf die Substitution von IP-Adressen beziehen, ist möglich, wenn der Empfang auf einer der Schnittstellen des Pakets mit der Quelladresse derselben Schnittstelle überwacht wird oder wenn der Empfang auf der externen Schnittstelle von Paketen mit IP-Adressen des internen Netzwerks überwacht wird.

Packet Imposition

Ein Angreifer sendet Pakete mit einer falschen Absenderadresse an das Netzwerk. Mit diesem Angriff kann ein Angreifer zu Computerverbindungen zwischen anderen Computern wechseln. In diesem Fall werden die Zugriffsrechte des Angreifers gleich den Rechten des Benutzers, dessen Verbindung zum Server auf den Computer des Eindringlings geschaltet wurde.

Sniffing - Kanal hören (nur im LAN-Segment möglich)

Nahezu alle Netzwerkkarten unterstützen das Abfangen von Paketen, die über einen gemeinsam genutzten LAN-Kanal übertragen werden. In diesem Fall kann die Workstation Pakete empfangen, die an andere Computer im selben Netzwerksegment adressiert sind. Somit wird der gesamte Informationsaustausch im Netzwerksegment für einen Angreifer verfügbar. Um diesen Angriff erfolgreich zu implementieren, muss sich der Computer des Angreifers im selben Segment des lokalen Netzwerks befinden wie der angegriffene Computer.

Pakete auf dem Router abfangen

Die Netzwerksoftware des Routers hat Zugriff auf alle über diesen Router übertragenen Netzwerkpakete, mit denen Sie Pakete abfangen können. Um diesen Angriff zu implementieren, muss ein Angreifer einen privilegierten Zugriff auf mindestens einen Netzwerkrouter haben. Da viele Pakete normalerweise über den Router übertragen werden, ist ihre vollständige Überwachung fast unmöglich. Einzelne Pakete können jedoch vom Angreifer abgefangen und zur späteren Analyse gespeichert werden. Das effektivste Abfangen von FTP-Paketen mit Benutzerpasswörtern sowie E-Mail.

Einen falschen Routenhost mit ICMP imitieren

Im Internet gibt es ein Internet Control Message Protocol (ICMP), dessen Funktion es ist, die Hosts über die Änderung des aktuellen Routers zu informieren. Diese Steuerungsnachricht heißt Umleitung. Es ist möglich, von jedem Host im Netzwerksegment eine falsche Umleitungsnachricht im Namen des Routers an den angegriffenen Host zu senden. Infolgedessen ändert der Host die aktuelle Routing-Tabelle, und in Zukunft wird der gesamte Netzwerkverkehr dieses Hosts zum Beispiel durch einen Host weitergeleitet, der eine falsche Umleitungsnachricht sendet. Somit ist es möglich, eine aktive Verlegung einer falschen Route innerhalb eines Segments des Internet durchzuführen.

WinNuke

Wie bei normalen Daten, die über eine TCP-Verbindung übertragen werden, überträgt der Standard auch Außerbanddaten. Auf der Ebene von TCP-Paketen wird dies in einem dringenden Zeiger ungleich null ausgedrückt. Die meisten PCs mit Windows haben ein NetBIOS-Netzwerkprotokoll, das für ihre Bedürfnisse 3 IP-Ports verwendet: 137, 138, 139. Wie sich herausstellte, wenn Sie in 139 Ports eine Verbindung zum Windows-Rechner herstellen und dort mehrere Bytes OutOfBand- nicht zu wissen, was mit diesen Daten zu tun, popsto suspend oder perezazgruzhaet Maschine. Bei Windows 95 sieht das normalerweise wie ein blauer Text aus, der einen Fehler im TCP / IP-Treiber meldet und nicht in der Lage ist, vor dem Neustart des Betriebssystems mit dem Netzwerk zu arbeiten. NT 4.0 ohne die Service Packs wird überschrieben, NT 4.0 mit der zweiten Serienpackung wird in den blauen Bildschirm fallen gelassen. Ein ähnliches Senden von Daten an 135 und einige andere Ports führt zu einer erheblichen Belastung des RPCSS.EXE-Prozessors. Auf NTWS führt dies zu einer erheblichen Verlangsamung, NTS ist praktisch eingefroren.

Falscher ARP-Server

Jeder Host hat im Internet eine eindeutige IP-Adresse, die alle Nachrichten vom globalen Netzwerk empfängt. Das IP-Protokoll ist jedoch weniger ein Netzwerk als ein Inter-Network-Exchange-Protokoll, das für die Kommunikation zwischen Objekten im globalen Netzwerk vorgesehen ist. Auf der Verbindungsschicht werden Pakete an die Hardware-Adressen von Netzwerkkarten adressiert. Im Internet wird das IP-Adressprotokollprotokoll (IP Address Protocol Protocol, ARP) für eine Eins-zu-eins-Korrespondenz zwischen IP- und Ethernet-Adressen verwendet. Zu Anfang kann der Host keine Informationen über die Ethernet-Adressen anderer Hosts, die sich im gleichen Segment befinden, enthalten, einschließlich der Ethernet-Adresse des Routers. Dementsprechend sendet der Host, wenn auf die Netzwerkressourcen zum ersten Mal zugegriffen wird, eine Broadcast-ARP-Anforderung, die von allen Stationen in diesem Segment des Netzwerks empfangen wird. Nach Erhalt dieser Anforderung sendet der Router eine ARP-Antwort an den anfragenden Host, in der er seine Ethernet-Adresse meldet. Dieses Arbeitsschema ermöglicht es einem Angreifer, eine falsche ARP-Antwort zu senden, in der er sich selbst als den gewünschten Host (z. B. einen Router) deklarieren und in Zukunft den gesamten Netzwerkverkehr des "betrogenen" Hosts überwachen kann.

Prediction TCP-Sequenznummer (IP-Spoofing)

In diesem Fall besteht der Zweck des Angreifers darin, ein anderes System vorzugeben, das beispielsweise dem Opfersystem "vertraut". Die Methode wird auch für andere Zwecke verwendet, um beispielsweise das SMTP-Opfer zum Senden von gefälschten E-Mails zu verwenden. Die TCP-Verbindung wird in drei Stufen aufgebaut: Der Client wählt und sendet die Sequenznummer (Call C-SYN) an den Server. Als Antwort sendet der Server dem Client ein Datenpaket mit der Bestätigung (C-ACK) und der eigenen Sequenznummer des Servers ). Der Kunde muss nun eine Bestätigung senden (S-ACK). Danach wird die Verbindung hergestellt und der Datenaustausch beginnt. Jedes Paket hat in seinem Header ein Feld für die Sequenznummer und die Bestätigungsnummer. Diese Zahlen erhöhen sich beim Datenaustausch und ermöglichen es Ihnen, die Richtigkeit der Übertragung zu kontrollieren. Angenommen, ein Angreifer kann vorhersagen, welche Sequenznummer (S-SYN nach Schema) vom Server gesendet wird. Dies ist möglich, basierend auf dem Wissen über die spezifische Implementierung von TCP / IP. Beispielsweise wird der Wert der Sequenznummer, die beim Setzen des nächsten Wertes verwendet wird, in 4.3BSD um 125.000 erhöht. Durch Senden eines Pakets an den Server erhält der Angreifer eine Antwort und kann (wahrscheinlich mit mehreren Versuchen und mit der Verbindungsgeschwindigkeitskorrektur) vorhersagen Sequenznummer für die nächste Verbindung. Wenn die TCP / IP-Implementierung einen speziellen Algorithmus verwendet, um die Sequenznummer zu bestimmen, kann sie bestimmt werden, indem mehrere Dutzend Pakete an den Server gesendet und deren Antworten analysiert werden. Angenommen, das System A vertraut dem System B, so dass der Benutzer des Systems B "rlogin A" machen und auf A enden kann, ohne ein Passwort einzugeben. Angenommen, der Angreifer befindet sich auf dem C-System. System A fungiert als Server, System B und C - in der Rolle von Clients. Die erste Aufgabe des Angreifers besteht darin, System B in einen Zustand einzuführen, in dem es nicht auf Netzwerkanforderungen reagieren kann. Dies kann auf verschiedene Weise geschehen, im einfachsten Fall müssen Sie nur warten, bis das B-System neu gestartet wird. Ein paar Minuten, in denen es nicht funktionieren wird, sollte genug sein. Danach kann der Angreifer versuchen, als System B vorzugeben, um Zugriff auf das System A zu erhalten (zumindest kurz). Ein Angreifer sendet mehrere IP-Pakete, die eine Verbindung initiieren, an das System A, um den aktuellen Status der Sequenznummer des Servers zu ermitteln. Der Angreifer sendet ein IP-Paket, in dem die Adresse des Systems B als Absenderadresse angegeben ist. System A antwortet mit einem Paket mit einer Sequenznummer, die an System B weitergeleitet wird. System B wird es jedoch niemals empfangen (es ist deaktiviert), da es sich tatsächlich um einen Angreifer handelt. Der Angreifer bestätigt jedoch den "Empfang" des Pakets von A und sendet ein Paket mit dem angeblichen S-ACK im Auftrag von B (beachten Sie, dass ein Angreifer, wenn sich die Systeme im selben Segment befinden, die Sequenz herauszufinden Anzahl reicht aus, um das vom System A gesendete Paket abzufangen). Danach, wenn der Angreifer Glück hatte und die Sequenznummer des Servers korrekt erraten wurde, gilt die Verbindung als etabliert. Ein Angreifer kann nun ein anderes gefälschtes IP-Paket senden, das bereits Daten enthält. Wenn der Angriff beispielsweise an rsh gerichtet wurde, kann er die Befehle zum Erstellen der .rhosts-Datei oder zum Senden der / etc / passwd an den Angreifer per E-Mail enthalten. Gegenwirkung: Pakete mit internen Adressen, die von der Außenwelt kommen, dienen als einfachstes IP-Spoofing-Signal. Die Routersoftware kann den Administrator darüber informieren. Täusche dich jedoch nicht - der Angriff kann von deinem Netzwerk aus erfolgen. Im Fall der Verwendung von intelligenteren Netzwerküberwachungswerkzeugen kann der Administrator Pakete (im Automatikmodus) von Systemen überwachen, die sich in einem nicht zugreifbaren Zustand befinden. Was hindert jedoch einen Eindringling daran, den Betrieb des B-Systems durch Reaktion auf ICMP-Pakete nachzuahmen? Wie schützt man sich vor IP-Spoofing? Zunächst können Sie die Sequenznummer (das Schlüsselelement des Angriffs) erschweren oder unmöglich machen. Sie können zum Beispiel die Änderungsrate der Sequenznummer auf dem Server erhöhen oder eine zufällige Erhöhung der Sequenzzahl auswählen (vorzugsweise mit einem kryptographisch stabilen Algorithmus, um Zufallszahlen zu generieren). Wenn das Netzwerk eine Firewall (oder einen anderen IP-Paketfilter) verwendet, sollten Sie Regeln hinzufügen, dass alle Pakete, die von außerhalb kommen und Adressen aus unserem Adressraum haben, nicht in das Netzwerk gelangen dürfen. Darüber hinaus ist es notwendig, das Vertrauen der Maschinen zueinander zu minimieren. Im Idealfall sollte es nicht möglich sein, direkt auf die benachbarte Netzwerkmaschine zuzugreifen, da die Superuser-Rechte auf einer von ihnen liegen. Dies erspart natürlich nicht die Nutzung von Diensten, für die keine Autorisierung erforderlich ist, zum Beispiel IRC (ein Angreifer kann sich als willkürlicher Internetcomputer ausgeben und Befehle senden, um den IRC-Kanal zu betreten, beliebige Nachrichten ausgeben usw.). Die Verschlüsselung des TCP / IP-Streams löst im Allgemeinen das Problem des IP-Spoofing (vorausgesetzt, dass kryptographisch stabile Algorithmen verwendet werden). Um die Anzahl solcher Angriffe zu reduzieren, empfiehlt es sich auch, die Firewall so zu konfigurieren, dass sie Pakete, die von unserem Netzwerk gesendet werden, nach außen filtert, aber Adressen hat, die nicht zu unserem Adressraum gehören.

Lokaler Sturm

Lassen Sie uns einen kleinen Exkurs zur Implementierung von TCP / IP machen und betrachten Sie "lokale Stürme", zum Beispiel UDP-Stürme. In der Regel unterstützen standardmäßig Systeme UDP-Ports wie 7 ("Echo" wird das empfangene Paket zurückgesendet), 19 (der "Zeichengenerator" als Antwort auf das empfangene Paket sendet der Sender den Zeichengeneratorstring) und andere. In diesem Fall kann ein Angreifer ein einzelnes UDP-Paket mit 7 als Quellport, 19 als Ziel und zum Beispiel zwei Computern in Ihrem Netzwerk senden (oder sogar 127.0. 0,1). Nach dem Empfang des Pakets antwortet der 19. Port mit einer Zeichenfolge, die an Port 7 gelangt. Der siebte Port dupliziert es und sendet es zurück an 19 .. und so weiter in Unendlichkeit. Ein unendlicher Zyklus frisst Maschinenressourcen auf und fügt dem Kanal eine sinnlose Last hinzu. Natürlich wird mit dem ersten verlorenen UDP-Paket der Sturm aufhören. Противодействие: в качестве защиты стоит еще раз порекомендовать не пропускать в сети пакеты с внутренними адресами, но пришедшие извне. Также рекомендуется закрыть на firewall использование большинства сервисов.

IP Hijacking

Метод является комбинацией 'подслушивания' и IP-spoofing'а. Необходимые условия - злоумышленник должен иметь доступ к машине, находящейся на пути сетевого потока и обладать достаточными правами на ней для генерации и перехвата IP-пакетов. Напомним, что при передаче данных постоянно используются sequence number и acknowledge number (оба поля находятся в IP-заголовке). Исходя из их значения, сервер и клиент проверяют корректность передачи пакетов. Существует возможность ввести соединение в "десинхронизированное состояние", когда присылаемые сервером sequence number и acknowledge number не будут совпадать с ожидаемым значениеми клиента, и наоборот. В данном случае злоумышленник, "прослушивая" линию, может взять на себя функции посредника, генерируя корректные пакеты для клиента и сервера и перехватывая их ответы. Метод позволяет полностью обойти такие системы защиты, как, например, одноразовые пароли, поскольку злоумышленник начинает работу уже после того, как произойдет авторизация пользователя. Есть два способа рассинхронизировать соединение. • Ранняя десинхронизация. Соединение десинхронизируется на стадии его установки. Злоумышленник прослушивает сегмент сети, по которому будут проходить пакеты интересующей его сессии. Дождавшись пакета S-SYN от сервера, злоумышленник высылает серверу пакет типа RST (сброс), конечно, с корректным sequence number, и, немедленно, вслед за ним фальшивый C-SYN-пакет от имени клиента Сервер сбрасывает первую сессию и открывает новую, на том же порту, но уже с новым sequence number, после чего посылает клиенту новый S-SYN-пакет. Клиент игнорирует S-SYN-пакет, однако злоумышленник, прослушивающий линию, высылает серверу S-ACK-пакет от имени клиента. Итак, клиент и сервер находятся в состоянии ESTABLISHED, однако сессия десинхронизирована. Естественно, 100% срабатывания у этой схемы нет, например, она не застрахована от того, что по дороге не потеряются какие-то пакеты, посланные злоумышленником. Для корректной обработки этих ситуаций программа должна быть усложнена. • Десинхронизация нулевыми данными. В данном случае злоумышленник прослушивает сессию и в какой-то момент посылает серверу пакет с "нулевыми" данными, т.е. такими, которые фактически будут проигнорированы на уровне прикладной программы и не видны клиенту (например, для telnet это может быть данные типа IAC NOP IAC NOP IAC NOP...). Аналогичный пакет посылается клиенту. Очевидно, что после этого сессия переходит в десинхронизированное состояние. ACK-буря Одна из проблем IP Hijacking заключается в том, что любой пакет, высланный в момент, когда сессия находится в десинхронизированном состоянии вызывает так называемый ACK-бурю. Например, пакет выслан сервером, и для клиента он является неприемлимым, поэтому тот отвечает ACK-пакетом. В ответ на этот неприемлимый уже для сервера пакет клиент вновь получает ответ. И так до бесконечности. К счастью современные сети строятся по технологиям, когда допускается потеря отдельных пакетов. Поскольку ACK-пакеты не несут данных, повторных передачи не происходит и "буря стихает". Как показали опыты, чем сильнее ACK-буря, тем быстрее она "утихомиривает" себя - на 10MB ethernet это происходит за доли секунды. На ненадежных соединениях типа SLIP - ненамного больше. Детектирование и защита Есть несколько путей. Например, можно реализовать TCP/IP-стек, который будут контролировать переход в десинхронизированное состояние, обмениваясь информацией о sequence number/acknowledge number. Однако в данном случае мы не застрахованы от злоумышленника, меняющего и эти значения. Поэтому более надежным способом является анализ загруженности сети, отслеживание возникающих ACK-бурь. Это можно реализовать при помощи конкретных средств контроля за сетью. Если злоумышленник не потрудиться поддерживать десинхронизированное соединение до его закрытия или не станет фильтровать вывод своих команд, это также будет сразу замечено пользователем. К сожалению, подавляющее большинство просто откруют новую сессию, не обращаясь к администратору. Стопроцентную защиту от данной атаки обеспечивает, как всегда, шифрование TCP/IP-трафика (на уровне приложений - secure shell) или на уровн протокола - IPsec). Это исключает возможность модификации сетевого потока. Для защиты почтовых сообщений может применяться PGP. Следует заметить, что метод также не срабатывает на некоторых конкретных реализациях TCP/IP. Так, несмотря на [rfc...], который требует молчаливого закрытия сесии в ответ на RST-пакет, некоторые системы генерируют встречный RST-пакет. Это делает невозможным раннюю десинхронизацию.

Обнаружение атак и защита от них

• Для обнаружения атак можно анализировать широковещательную активность - это пакеты UDP, NBF, SAP. • Для защиты внутренней сети, подключенной к Internet'у, не стоит пропускать из внешней сети входящие пакеты, источником в которых стоит внутренний сетевой адрес. Можно разрешить проходить пакетам только на порт 80. • Ставьте фильтрацию пакетов, если необходимо (не стоит пренебрегать даже
Control Panel\Network\Protocols\Properties\Advanced в Windows NT).

Методы сканирования

Использование протокола ARP

Данный тип запросов может быть использован злоумышленниками для определения функционирующих систем в сегментах локальной сети.

Сканирование сети посредством DNS

Es ist bekannt, dass Angreifer, bevor sie einen Angriff starten, die Identifizierung von Zielen durchführen, d.h. Identifizierung von Computern, die Opfer von Angriffen werden, sowie Computer, die den Informationsaustausch mit den Opfern durchführen. Eine Möglichkeit, Ziele zu identifizieren, besteht darin, den Nameserver abzufragen und alle verfügbaren Domäneninformationen zu erhalten. Gegenmaßnahme: Um einen solchen Scan zu ermitteln, müssen Sie DNS-Abfragen (Adresse im Namen) analysieren, die möglicherweise von verschiedenen DNS-Servern kommen, jedoch für einen bestimmten Zeitraum. In diesem Fall müssen Sie prüfen, welche Informationen an sie gesendet werden, und die Suche nach Adressen verfolgen.

UDP-Bombe

Scannen eines Netzwerks mit der Ping-Sweep-Methode

Die Ping-Sweep- oder Zielerkennung mit dem ICMP-Protokoll ist eine effektive Methode.

Gegenmaßnahmen: Um die Tatsache des Ping-Scans von Zielen innerhalb des Subnetzes zu ermitteln, müssen die Quell- und Zieladressen von ICMP-Paketen analysiert werden.

TCP-Ports scannen

Port-Scanning ist eine bekannte Methode zur Erkennung der Konfiguration eines Computers und der verfügbaren Dienste. Es gibt verschiedene Methoden des TCP-Scannings, von denen einige Stealth genannt werden, da sie die Schwachstellen der TCP / IP-Stack-Implementierungen in den meisten modernen Betriebssystemen verwenden und nicht auf Standardebene erkannt werden. Gegenwirkung : Die Gegenwirkung kann zum Beispiel durch Übertragen von TCP-Paketen mit dem RST-Flag, das für den gescannten Computer eingestellt wurde, an den Computer des Eindringlings ausgeführt werden.

Scannen von UDP-Ports

Eine andere Art der Port-Abtastung basiert auf der Verwendung des UDP-Protokolls und besteht im Folgenden: Ein UDP-Paket wird an den gescannten Computer gesendet, der an den Port adressiert ist, der auf Verfügbarkeit überprüft wird. Wenn der Port nicht verfügbar ist, wird eine nicht erreichbare ICMP-Nachricht angezeigt, andernfalls gibt es keine Antwort. Diese Art von Scan ist sehr effektiv. Es erlaubt Ihnen, alle Ports auf einem Opfercomputer in einer kurzen Zeit zu scannen. Gegenmaßnahme: Gegen diese Art von Scannen ist es möglich, Nachrichten über die Unzugänglichkeit des Ports an den Computer des Angreifers zu senden.

Stealth-Scan

Die Methode basiert auf einem falschen Netzwerkcode, sodass Sie nicht garantieren können, dass sie in einer bestimmten Situation ordnungsgemäß funktioniert. TCP-Pakete werden mit installierten ACK- und FIN-Flags verwendet. Sie sollten verwendet werden, weil wenn ein solches Paket in einer ungeöffneten Verbindung an den Port gesendet wird, kehrt das Paket mit dem RST-Flag immer zurück. Es gibt verschiedene Methoden, die dieses Prinzip verwenden: • Senden Sie ein FIN-Paket. Wenn der empfangende Host RST zurückgibt, ist der Port inaktiv, wenn RST nicht zurückkehrt, ist der Port aktiv. Diese Methode funktioniert in den meisten Betriebssystemen. • Senden Sie ein ACK-Paket. Wenn die TTL der zurückgegebenen Pakete kleiner als in den anderen empfangenen RST-Paketen ist oder wenn die Fenstergröße größer als Null ist, dann ist der Port höchstwahrscheinlich aktiv.

Passives Scannen

Das Scannen wird häufig von Angreifern verwendet, um herauszufinden, welche TCP-Ports Daemons ausführen, die auf Anforderungen des Netzwerks reagieren. Ein gängiges Scannerprogramm öffnet Verbindungen zu verschiedenen Anschlüssen in Reihe. Wenn die Verbindung hergestellt ist, setzt das Programm sie zurück und informiert die Portnummer des Angreifers. Diese Methode wird leicht durch Berichte von Dämonen entdeckt, sofort nach der Installation durch Verbindung unterbrochen oder durch spezielle Programme unterbrochen. Die besten dieser Programme haben einige Versuche, Elemente eines künstlichen Elements in Verfolgungsversuche einzuführen, um eine Verbindung zu verschiedenen Ports herzustellen. Ein Angreifer kann jedoch eine andere Methode verwenden - passives Scannen (der englische Begriff "passiver Scan"). Wenn es verwendet wird, sendet ein Angreifer ein TCP / IP-SYN-Paket an alle Ports in einer Reihe (oder durch einen bestimmten Algorithmus). Bei TCP-Ports, die Verbindungen von außen akzeptieren, wird das SYN / ACK-Paket als Einladung zur Fortsetzung des 3-Wege-Handshakes zurückgegeben. Der Rest wird RST-Pakete zurückgeben. Durch Analyse der angegebenen Antwort kann der Angreifer schnell erkennen, auf welchen Ports das Programm ausgeführt wird. Als Reaktion auf SYN / ACK-Pakete kann es auch mit RST-Paketen antworten, was darauf hinweist, dass der Verbindungsaufbauvorgang nicht fortgesetzt wird (im Allgemeinen wird die TCP / IP-Implementierung des Angreifers automatisch mit RST-Paketen reagieren, wenn keine speziellen Maßnahmen ergriffen werden). Die Methode wird von vorherigen Methoden nicht erkannt, da keine echte TCP / IP-Verbindung hergestellt wird. Sie können jedoch (abhängig vom Verhalten des Angreifers) die dramatisch erhöhte Anzahl von Sitzungen im Status SYN_RECEIVED überwachen. (vorausgesetzt, der Angreifer sendet keine RST als Antwort) den Empfang vom RST-Paket-Client als Antwort auf das SYN / ACK. Unglücklicherweise kann ein passives Scannen nicht erkannt werden, da es sich nicht von den üblichen Verbindungsversuchen unterscheidet, wenn ein Angreifer ein intelligentes Verhalten eines Angreifers hat (z. B. mit niedriger Geschwindigkeit scannt oder nur bestimmte Ports überprüft). Sie können als Schutz nur raten, alle Dienste auf der Firewall zu schließen, auf die Sie nicht von außen zugreifen müssen.

Einladung des Systems und die Gefahr der darin enthaltenen Informationen

Es ist notwendig, die "Systemaufforderungen" zu entfernen, die von den Zentralcomputern an den Fernzugriffsterminals zur Anmeldung am System angezeigt werden. Diese Anforderung wird durch folgende Gründe verursacht: • "Systemeinladungen" enthalten in der Regel Informationen, die es dem Verletzer ermöglichen, Art und Version des Betriebssystems des Zentralcomputers, Art der Fernzugriffssoftware usw. zu identifizieren. Solche Informationen können die Durchdringung des Systems erheblich vereinfachen, Verwenden Sie illegale Zugriffstools, die Schwachstellen eines bestimmten Systems ausnutzen. • "Systemprompt" zeigt normalerweise die Abteilungseigentümerschaft des Systems an. In dem Fall, in dem das System zu einer Geheimagentur oder Finanzstruktur gehört, kann das Interesse des Täters erheblich zunehmen; • In einer kürzlich durchgeführten Studie wurde die Klage des Unternehmens gegen eine Person abgelehnt, die das Netzwerk des Unternehmens illegal infiltriert hatte, da er seine Handlungen mit einer Inschrift auf dem Fernzugriffsterminal zum Zentralcomputer "Willkommen bei ..." motivierte.

Ein paar Tipps für die Netzwerkforschung

• Scannen Sie den Server nach offenen Ports und Diensten. • Versuchen Sie, sich am Server als IUSR_ <Computername mit Bällen anzumelden> • Versuchen Sie SAM._ aus / REPAIR freizuschalten (Kennwörter aus SAM werden vom Befehl expand abgerufen). • Verzeichnisse / Scripts und / cgi-bin, wie es vielen bekannt ist, können Sie in NT alle Dateien aus diesen Verzeichnissen ausführen, also sollten Sie diese Verzeichnisse schließen. Der Start erfolgt etwa durch einen solchen Befehl (wenn sich die ausführbare Datei in / scripts befindet) aus dem Browser - http: //www.idahonews/scripts/getadmin.exe? Test. Sie können Administratorrechte auf folgende Weise erhalten: Programme aus / scripts werden nicht unter der Benutzerverwaltung des Benutzers, sondern über dasselbe Webkonto gestartet, aus dem geschlossen werden kann, dass die Kennwörter des Administrators mithilfe von PWDUMP.exe leicht aus der Registrierung entfernt werden können. • Es sollte daran erinnert werden, dass Programme aus / SCRIPTS unter dem Web-Konto gestartet werden und nicht unter dem Konto des Benutzers, der das Programm gestartet hat. Daher können Sie versuchen, Kennwörter mithilfe von PWDUMP.EXE aus der Registrierung zu entschlüsseln. Passwörter werden verschlüsselt. In diesem Fall sollten Sie die Seite als Textdatei speichern und versuchen, Passwörter mit dem Programm BRUTEFORCE zu entschlüsseln. • Unter dem Administratorkonto können Sie die Aliase in ftp und http ändern.

Einige andere Möglichkeiten, Informationen zu erhalten

• Verwenden Sie whois oder NSLookUp, um alternative Namen herauszufinden, herauszufinden, wem das Netzwerk gehört. Denken Sie an den Bereich der IP-Adressen für ihr anschließendes Scannen. • Gehen Sie zum nächsten Router und finden Sie etwas heraus. Um den Router zu finden, müssen Sie den Pfad zu einer IP-Adresse aus dem erkannten Bereich verfolgen. Der nächste Router wird von der Antwortzeit bestimmt. • Versuchen Sie, zum Router telnet'om zu gehen. • Führen Sie den IP-Adressbereichs-Scanner aus, um die auf dem PC ausgeführten Dienste zu erkennen.

Löcher und administrative Fehler in Windows NT

• Betrachten Sie die Sicherheitsanfälligkeit, die mit einem Fehler bei der Implementierung des Systems einhergeht. Diese Sicherheitsanfälligkeit führt zu der Möglichkeit eines Angriffs namens GetAdmin . Vulnerable ist der NtAddAtom-Systemdienst, der die übergebenen Parameter nicht überprüft und Bit 0 auf NtGlobalFlag + 2 setzt. Öffnen Sie dazu die Datei ntoskrnl.exe und suchen Sie den Einstiegspunkt in NtAddAtom. Wenn Sie dieses Bit setzen, wird die Überprüfung des Debugger-Privilegs in NtOpenProcess und NtOpenThread deaktiviert. Jeder Benutzer hat somit das Recht, einen beliebigen Prozess im System zu öffnen. Der Angriff öffnet den Prozess des Winlogon-Prozesses und bettet die DLL darin ein. Da dieser Dienst über SYSTEM-Berechtigungen verfügt, kann er der Gruppe Administrator einen Benutzer hinzufügen oder aus dieser Gruppe entfernen. Theoretisch sind andere Sicherheitsverletzungen des Systems möglich. • Eine der beliebtesten Methoden zur Eingabe des Systems ist die Auswahl eines Passworts. Um dies zu verhindern, wird normalerweise das Benutzerkonto nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen gesperrt. Eine nette Ausnahme ist das Administratorkonto. Und wenn er Zugang zum Zugang über das Netzwerk hat, öffnet sich eine Lücke für das leise Erraten des Passworts. Zum Schutz wird empfohlen, den Administratorbenutzer umzubenennen, die Kontosperre zu setzen, den Administrator daran zu hindern, sich über das Netzwerk anzumelden, SMB-Pakete über TCP / IP (Ports 137,138,139) zu senden und die Protokollierung fehlgeschlagener Einträge festzulegen.

Spamming

Spammer werden nicht nur einen ISP finden, der versucht, ihren Mail-Müll zu verschicken, sondern höchstwahrscheinlich eine Firma wählen. der Internetprovider kann leichter verstehen, was passiert ist, und es ist wahrscheinlich in der Lage, solche Nachrichten schneller loszuwerden. Durch regelmäßiges Spamming können berechtigte Benutzer aufgrund einer E-Mail-Serverüberlastung gestört werden. Das Problem ist, dass es nicht so schwierig ist, eine Verbindung zu einem SMTP-Server herzustellen. Dazu müssen Sie nur 7-8 Befehle kennen, damit der SMTP-Server Ihre Nachrichten verteilt. Um dies zu verhindern, können Sie die Adressen eingehender Nachrichten auf der Datenbank registrierter Benutzer des Servers überprüfen. Wenn die Adresse der sendenden Nachricht oder eine der von ihr angeforderten Adressen nicht in der Liste enthalten ist, wird keine E-Mail gesendet.

Wie man das Mailsystem vor Spammern schützt

• Wenn Sie die Protokolle nicht lesen, werden die Spammer ungestraft handeln. • Programmieren Sie bis auf einen der Mailserver Ihres Unternehmens so, dass sie nicht auf die Nachrichtenanforderung reagieren. Der verbleibende Server muss die IP-Adressen sorgfältig filtern. • Halten Sie alle E-Mail-Server, die Nachrichtenweiterleitungsanfragen im Abdeckungsbereich ihrer Firewall empfangen können.

Wie Spammer arbeiten

• Das Ziel ist ausgewählt - der Spammer wählt nach dem Zufallsprinzip den Domänennamen des Unternehmens und errät den Hostnamen des SMTP-Servers. Wenn der Server die E-Mail akzeptiert, fordert ihn der Spammer auf, die Nachricht an die Adressliste zu verteilen. • Der Server führt die Anforderung aus, wobei der Eindruck entsteht, dass die Nachrichten die IP-Adresse der Opferfirma verlassen.

IIS Löcher, WWW, FTP

• Der Absender kann seine falsche Adresse wie folgt hinterlassen: Der Absender kann sich mit dem SMTP-Port des Rechners verbinden, in dessen Namen er die Nachricht senden möchte, und den Text der Nachricht eingeben. • Mit dem FTP-Dienst können Sie passive Verbindungen basierend auf der vom Client angegebenen Port-Adresse einrichten. Dies kann von einem Angreifer verwendet werden, um gefährliche Befehle an den FTP-Dienst auszugeben. Die Registrierung enthält den Schlüssel: <HKLM \ System \ CurrentControlSet \ Services \ MSFTPSVC \ Parameters> mit dem Wert <EnablePortAttack: REG_DWORD:> Stellen Sie sicher, dass der Wert auf '0' und nicht '1' gesetzt ist. • Wenn Sie über Telnet an Port 80 anschließen, wird der Befehl "GET ../ .." führt dazu, dass IIS abstürzt und die Nachricht "Die Anwendung, exe \ inetinfo.dbg, einen Fehler in der Anwendung erzeugt. Die Adresse" http://www.domain.com/scripts .. \ .. \ scriptname "erlaubt Ihnen, das angegebene Skript auszuführen. Standardgast oder IUSR_WWW hat Lesezugriff auf alle Dateien in allen Verzeichnissen. Diese Dateien können also angesehen, heruntergeladen und gestartet werden. • Die Verzeichnisse \ script \ cgi-bin sollten geschlossen werden. Aus diesen Verzeichnissen können Sie alle Dateien direkt aus dem Browserfenster ausführen. Wenn IIS eine sehr lange URL (4 - 8 KB) hat, hängt der Server und reagiert nicht auf weitere Anforderungen. Das Problem ist, dass die genaue Größe der URL vom jeweiligen Server abhängt. Daher versuchen die Killer-Programme, die mit einer einfachen Abfragegröße beginnen und die Größe allmählich erhöhen, den kritischen Punkt, der den Server-Port aufhängt. • Benutzer von Outlook Express 98 müssen mit der Tatsache rechnen, dass dieser Mailer die Verarbeitung einschließlich der Ausführung von Visual Basic-Skripts ermöglicht, die sich leicht in der E-Mail verbergen lassen. Ein ähnliches Skript hat vollen Zugriff auf das Dateisystem. Realer Schutz kann nur die Installation einer "Sicherheitsstufe" in Outlook auf "Maximum" werden. • Wenn Sie zulassen, dass HTML-Tags in den Chatraum eingegeben werden, wird niemand das Einfügen von etwas wie <img src = "http://www.mysite.com/cgi-bin/sniffer.cgi"> in Ihre Nachricht stören. Infolgedessen werden alle, die im Chat anwesend sind (nicht einmal registriert), das Skript aufrufen, ohne es zu wissen. • Beschränken Sie den Zugriff auf Port 25 nur für einige Benutzer.