This page has been robot translated, sorry for typos if any. Original content here.

Netzwerkangriffe und noch etwas anderes

Einführung in Netzwerkangriffe

Kurze Beschreibung der Netzwerkangriffe

Datenfragmentierung

Übertragung fragmentierter IP-Pakete

Ping-Flooding-Angriff

PingOfDeath oder SSPing

UDP-Bombe

SYN-Flutung

Nicht standardmäßige IP-gekapselte Protokolle

TFTP-Protokollanwendung

Schlumpfangriff

Land Angriff

Bereitstellen eines falschen Servers im Internet durch Erzeugen eines Richtungssturms falscher DNS-Antworten auf den angegriffenen Host

Bereitstellen eines falschen Servers im Internet durch Abfangen einer DNS-Anforderung oder Erzeugen eines gerichteten "Sturms" falscher DNS-Antworten auf den angegriffenen DNS-Server

Einführung eines falschen DNS-Servers in das Internet durch Abfangen einer DNS-Abfrage

Überflutung mit DNS-Angriffen

DNS-Spoofing-Angriff

IP-Spoofing-Angriff

Imposante Pakete

Sniffing - Abhören des Kanals (nur im lokalen Netzwerksegment möglich)

Paketentführung auf dem Router

Auferlegen einer falschen Route auf einem Host mithilfe von ICMP

Winnuke

Falscher ARP-Server

TCP Sequenz Vorhersage Nummer (IP-Spoofing)

Lokaler Sturm

Ip entführen

Angriffserkennung und -schutz

Scan-Methoden

Verwenden des ARP-Protokolls

Netzwerkscan über DNS

UDP-Bombe

TCP-Port-Scan

UDP-Port-Scan

Stealth-Scan

Passiver Scan

Das Einladungssystem und die Gefahr der darin enthaltenen Informationen

Einige Tipps zur Netzwerkrecherche

Einige andere Möglichkeiten, um Informationen zu erhalten.

Löcher und Verwaltungsfehler in Windows NT

Spam

So schützen Sie das Mail-System vor Spammern

Wie funktionieren Spammer?

Löcher IIS, WWW, FTP

Einführung in Netzwerkangriffe

Zunehmendes Interesse an TCP / IP-Netzwerken aufgrund des rasanten Wachstums des Internets. Dies wirft jedoch Fragen zum Schutz Ihrer Informationsressourcen vor Angriffen aus einem externen Netzwerk auf. Wenn Sie mit dem Internet verbunden sind, kann Ihr System angegriffen werden. Protokolle der IP-Familie bilden die Basis für den Aufbau von Intranets und des globalen Internets. Obwohl die Entwicklung von TCP / IP vom US-Verteidigungsministerium finanziert wurde, ist TCP / IP nicht vollständig sicher und ermöglicht verschiedene Arten von Angriffen, die in diesem Kapitel erörtert werden. Um solche Angriffe auszuführen, muss ein potenzieller Angreifer die Kontrolle über mindestens eines der mit dem Internet verbundenen Systeme haben. Ein Ansatz zur Analyse von Bedrohungen für die Sicherheit von Computersystemen besteht in der Zuordnung zu einer separaten Klasse von Bedrohungen, die nur Computernetzwerken eigen sind. Diese Klasse von Bedrohungen wird als Klasse von Remoteangriffen bezeichnet. Dieser Ansatz zur Klassifizierung scheint gültig zu sein, da beim Aufbau von Netzwerkbetriebssystemen grundlegende Merkmale vorhanden sind. Das Hauptmerkmal eines Netzwerkbetriebssystems besteht darin, dass seine Komponenten räumlich verteilt sind und die Verbindung zwischen ihnen physisch über spezielle Netzwerkverbindungen (Koaxialkabel, Twisted Pair, Glasfaser usw.) und programmgesteuert über den Nachrichtenmechanismus hergestellt wird. In diesem Fall werden alle Steuernachrichten und Daten, die von einer Komponente eines vernetzten Betriebssystems an eine andere Komponente gesendet werden, über Netzwerkverbindungen in Form von Austauschpaketen übertragen. Diese Funktion ist der Hauptgrund für die Entstehung einer neuen Bedrohungsklasse - Remote-Angriffe. Bei dieser Art von Angriff interagiert der Angreifer mit dem Informationsempfänger, dem Absender und / oder den Zwischensystemen und ändert und / oder filtert möglicherweise den Inhalt von TCP / IP-Paketen. Diese Art von Angriffen scheint oft technisch schwierig zu sein, aber für einen guten Programmierer ist es nicht schwierig, die entsprechenden Tools zu implementieren. Die Fähigkeit, beliebige IP-Pakete zu generieren, ist ein zentraler Punkt für aktive Angriffe. Remote-Angriffe können nach Art der Auswirkung klassifiziert werden: aktiv oder passiv. Aktive Angriffe können in zwei Teile unterteilt werden. Im ersten Fall unternimmt der Angreifer bestimmte Schritte, um den Netzwerkstrom abzufangen und zu ändern, oder versucht, sich als ein anderes System auszugeben. Im zweiten Fall wird TCP / IP verwendet, um das Opfersystem funktionsunfähig zu machen. Bei passiven Angriffen zeigen sich die Angreifer in keiner Weise und interagieren nicht direkt mit anderen Systemen. Tatsächlich kommt es darauf an, die verfügbaren Daten oder Kommunikationssitzungen zu überwachen. Obwohl passive Angriffe die Netzwerksicherheitsrichtlinien verletzen können. Die Idee, einen Angriff zu erkennen, ist einfach: Ein bestimmter Netzwerkverkehr entspricht jedem Angriff, daher können Sie mit der Verkehrsanalyse den Angriff identifizieren und die "Spuren" des Angreifers erkennen, d. H. Ermitteln Sie die IP-Adressen, von denen die Informationsauswirkung ausgeht. Die Erkennung von Angriffen erfolgt also über die Kontrolle des Informationsflusses, der durch die Analyse des Netzwerkverkehrs erreicht wird.

Kurze Beschreibung der Netzwerkangriffe

Es sollte beachtet werden, dass grobe Methoden wie Ping in großen Paketen oder SYN-Flooding jeden Internetcomputer oder jedes Subnetz überfluten können, unabhängig von der Konfiguration.

Datenfragmentierung

Wenn ein IP-Datenpaket über ein Netzwerk übertragen wird, kann dieses Paket in mehrere Fragmente unterteilt werden. Später, beim Erreichen des Adressaten, wird das Paket aus diesen Fragmenten wiederhergestellt. Ein Angreifer kann das Senden einer großen Anzahl von Fragmenten initiieren, was zu einem Überlauf der Software-Puffer auf der Empfangsseite und in einigen Fällen zu einem Systemabsturz führt.

Übertragung fragmentierter IP-Pakete mit einem Gesamtvolumen von mehr als 64 KB

Die Anzahl der Implementierungen von Angriffen unter Verwendung der Möglichkeit der Fragmentierung von IP-Paketen ist ziemlich groß. Es werden mehrere fragmentierte IP-Pakete an den Computer des Opfers übertragen, die zusammen ein Paket bilden, das größer als 64 KB ist (die maximale IP-Paketgröße beträgt 64 KB abzüglich der Header-Länge). Dieser Angriff war wirksam gegen Computer, auf denen Windows ausgeführt wird. Bei Erhalt eines solchen Pakets friert Windows NT ein oder stürzt ab, das keinen speziellen icmp-fix-Patch besitzt. Andere Varianten solcher Angriffe verwenden falsche Offsets in IP-Fragmenten, was zu falscher Speicherzuordnung, Pufferüberlauf und letztendlich zu Systemfehlern führt.

Gegenmaßnahmen: Um solche Angriffe zu erkennen, ist es erforderlich, die Zusammenstellung von Paketen "on the fly" durchzuführen und zu analysieren, was die Hardwareanforderungen erheblich erhöht.

Ping-Flooding-Angriff

Der Grund dafür war, dass das Programm "ping", mit dem die Qualität der Leitung bewertet werden soll, den Schlüssel zu "aggressiven" Tests besitzt. In diesem Modus werden Anforderungen so schnell wie möglich gesendet, und mit dem Programm können Sie bewerten, wie das Netzwerk bei maximaler Auslastung funktioniert. Für diesen Angriff muss der Angreifer auf schnelle Kanäle im Internet zugreifen. Denken Sie daran, wie Ping funktioniert. Das Programm sendet ein ICMP-Paket vom Typ ECHO REQUEST, in dem die Uhrzeit und deren Kennung eingestellt sind. Der Kern des Empfangsgeräts antwortet auf eine ähnliche Anfrage mit dem ICMP-ECHO-REPLY-Paket. Nach dem Empfang gibt Ping die Geschwindigkeit des Pakets an. In der Standardbetriebsart werden Pakete in bestimmten Intervallen gesendet, fast ohne das Netzwerk zu belasten. Im "aggressiven" Modus kann der ICMP-Echo-Anforderungs- / Antwortpaket-Stream eine kleine Leitung überlasten und sie ihrer Fähigkeit berauben, nützliche Informationen zu übertragen. Natürlich ist der Fall von Ping ein Sonderfall einer allgemeineren Situation im Zusammenhang mit einer Kanalüberlastung. Zum Beispiel kann ein Angreifer mehrere UDP-Pakete an den 19. Port des Opfers senden. Wenn er den allgemein anerkannten Regeln folgt, verfügt er über einen Zeichengenerator am 19. UDP-Port, der auf Pakete mit 80-Byte-Zeilen antwortet. Beachten Sie, dass ein Angreifer auch die Absenderadresse solcher Pakete fälschen kann, was die Erkennung erschwert. Nur die koordinierte Arbeit von Spezialisten für Zwischenrouter kann dabei helfen, dies zu verfolgen, was praktisch unrealistisch ist. Eine der Angriffsoptionen besteht darin, ICMP-Echoanforderungspakete mit der zum Opfer weisenden Quelladresse an die Broadcast-Adressen großer Netzwerke zu senden. Infolgedessen antwortet jeder der Rechner auf diese gefälschte Anfrage, und der sendende Rechner erhält eine größere Anzahl von Antworten. Das Senden vieler Broadcast-Echo-Anfragen im Namen des "Opfers" an die Broadcast-Adressen großer Netze kann abrupt mit dem Kanal "Opfer" gefüllt werden. Anzeichen einer Überflutung - eine stark erhöhte Belastung des Netzwerks (oder Kanals) und eine Zunahme der Anzahl spezifischer Pakete (wie z. B. ICMP). Zum Schutz können wir die Konfiguration von Routern empfehlen, bei denen derselbe ICMP-Verkehr über einen bestimmten Wert (Pakete / Zeiteinheit) hinaus gefiltert wird. Beschränken Sie den Zugriff auf Ping, um sicherzustellen, dass Ihre Computer nicht als Quelle für Ping-Flut fungieren können.

PingOfDeath oder SSPing

Das Wesentliche ist: Ein stark fragmentiertes ICMP-Paket mit einer Größe von 64 KB wird an den Computer des Opfers gesendet. Die Reaktion von Windows-Systemen auf den Empfang eines solchen Pakets ist ein bedingungsloser Stillstand, einschließlich Maus und Tastatur. Das Angriffsprogramm ist online als C-Quelle und als Startdatei für einige Unix-Versionen weit verbreitet. Es ist merkwürdig, dass im Gegensatz zu WinNuke nicht nur Windows-Computer Opfer eines solchen Angriffs werden können, sondern auch MacOS und einige Versionen von Unix. Die Vorteile dieser Angriffsmethode bestehen darin, dass die Firewall normalerweise ICMP-Pakete überspringt. Wenn die Firewall so konfiguriert ist, dass sie die Adressen der Absender filtert, können Sie mithilfe einfacher Spoofing-Techniken auch eine solche Firewall täuschen. Der Nachteil von PingOfDeath besteht darin, dass für einen einzelnen Angriff mehr als 64 KB über das Netzwerk gesendet werden müssen. Dies macht es im Allgemeinen für große Umleitungen nicht sehr nützlich.

UDP-Bombe

Das übertragene UDP-Paket enthält ein falsches Format von Dienstfeldern. Einige ältere Versionen der Netzwerksoftware führen beim Empfang eines solchen Pakets zu einem Systemabsturz.

SYN-Flutung

Das Überfluten von SYN-Packs ist die bekannteste Art, den Informationskanal zu „verstopfen“. Erinnern Sie sich, wie TCP / IP für eingehende Verbindungen funktioniert. Das System antwortet auf das eingehende C-SYN - S-SYN / C-ACK-Paket mit einem Paket, versetzt die Sitzung in den Zustand SYN_RECEIVED und stellt sie in eine Warteschlange. Kommt innerhalb einer festgelegten Zeit vom Client kein S-ACK, wird die Verbindung aus der Warteschlange entfernt, ansonsten wird die Verbindung in den Zustand ESTABLISHED überführt. Stellen Sie sich den Fall vor, dass die Eingangsverbindungswarteschlange bereits voll ist und das System ein SYN-Paket empfängt, das Sie auffordert, eine Verbindung herzustellen. Per RFC wird es unbemerkt ignoriert. Das Fluten von SYN-Paketen basiert auf dem Überlauf der Serverwarteschlange. Danach reagiert der Server nicht mehr auf Benutzeranforderungen. Der bekannteste Angriff dieser Art ist der Angriff auf Panix, einen New Yorker Anbieter. Panix hat 2 Wochen nicht funktioniert. In verschiedenen Systemen wird die Arbeit mit der Warteschlange auf unterschiedliche Weise implementiert. In BSD-Systemen hat jeder Port eine eigene Warteschlange mit einer Größe von 16 Elementen. Auf dem SunOS-System gibt es dagegen keine solche Trennung und das System hat einfach eine große gemeinsame Warteschlange. Um beispielsweise den WWW-Port auf BSD zu blockieren, sind dementsprechend 16 SYN-Pakete ausreichend, und für Solaris 2.5 ist ihre Anzahl viel größer. Nach einiger Zeit (abhängig von der Implementierung) löscht das System Anforderungen aus der Warteschlange. Nichts hindert den Angreifer jedoch daran, einen neuen Stapel von Anforderungen zu senden. Selbst bei einer 2400-Bit / s-Verbindung kann ein Angreifer alle anderthalb Minuten 20 bis 30 Pakete an den FreeBSD-Server senden und diesen inaktiv halten (dieser Fehler wurde in den letzten Versionen von FreeBSD natürlich behoben). Wie üblich kann ein Angreifer beim Bilden von Paketen zufällige zurückgegebene IP-Adressen verwenden, was das Erkennen und Filtern des Datenverkehrs erschwert. Die Erkennung ist einfach - eine große Anzahl von Verbindungen im Status SYN_RECEIVED ignoriert Versuche, eine Verbindung zu diesem Port herzustellen. Als Schutz können Sie Patches empfehlen, die ein automatisches „Ausdünnen“ der Warteschlange implementieren, z. B. basierend auf dem Early Random Drop-Algorithmus. Um herauszufinden, ob Ihr System gegen SYN-Flooding geschützt ist, wenden Sie sich an Ihren Systemanbieter. Eine weitere Sicherheitsoption besteht darin, die Firewall so zu konfigurieren, dass alle eingehenden TCP / IP-Verbindungen von ihm eingerichtet werden. Erst danach überträgt er sie innerhalb des Netzwerks auf den angegebenen Computer. Auf diese Weise können Sie das Syn-Flooding einschränken und dürfen es nicht im Netzwerk verpassen. Dieser Angriff bezieht sich auf einen Denial-of-Service-Angriff, der dazu führt, dass keine Dienste bereitgestellt werden können. Der Angriff richtet sich in der Regel gegen einen bestimmten Dienst wie Telnet oder FTP. Es besteht darin, Pakete zu senden, um eine Verbindung zu dem Port herzustellen, der dem angegriffenen Dienst entspricht. Wenn eine Anfrage eingeht, weist das System Ressourcen für eine neue Verbindung zu. Anschließend versucht es, auf die Anfrage zu antworten (SYN-ACK senden) und sendet sie an eine nicht verfügbare Adresse. Standardmäßig versuchen die NT-Versionen 3.5-4.0, die Bestätigung fünfmal zu wiederholen - nach 3, 6, 12, 24 und 48 Sekunden. Danach kann das System weitere 96 Sekunden auf eine Antwort warten. Erst danach werden die für die zukünftige Verbindung zugewiesenen Ressourcen freigegeben. Die Gesamtbelegungszeit für Ressourcen beträgt 189 Sekunden.

Nicht standardmäßige IP-gekapselte Protokolle

Das IP-Paket enthält ein Feld, das das Protokoll des gekapselten Pakets (TCP, UDP, ICMP) definiert. Angreifer können einen nicht standardmäßigen Wert dieses Felds verwenden, um Daten zu übertragen, die nicht standardmäßig zur Steuerung des Informationsflusses aufgezeichnet werden.

TFTP-Protokollanwendung

Dieses Protokoll enthält keine Authentifizierungsmechanismen und ist daher für Eindringlinge attraktiv.

Schlumpfangriff

Der Schlumpfangriff besteht aus dem Senden von Anforderungen an das ICMP-Broadcast-Netzwerk im Namen des Computers des Opfers. Infolgedessen reagieren Computer, die solche Rundfunkpakete empfangen haben, auf den Computer des Opfers, was zu einer signifikanten Verringerung der Bandbreite des Kommunikationskanals und in einigen Fällen zu einer vollständigen Isolierung des angegriffenen Netzwerks führt. Der Schlumpfangriff ist äußerst effektiv und weit verbreitet. Gegenmaßnahme: Um diesen Angriff zu erkennen, ist es erforderlich, die Kanallast zu analysieren und die Gründe für die Verringerung des Durchsatzes zu ermitteln.

Land Angriff

Land Attack nutzt die Sicherheitslücken bei der Implementierung von TCP / IP-Stacks in einigen Betriebssystemen aus. Es besteht darin, ein TCP-Paket mit gesetztem SYN-Flag an den offenen Port des betroffenen Computers zu senden, und die Quelladresse und der Port des Pakets sind jeweils gleich der Adresse und dem Port des angegriffenen Computers. Dies führt dazu, dass der Computer des Opfers versucht, eine Verbindung mit sich selbst herzustellen, was dazu führt, dass die Prozessorlast stark zunimmt und ein "Auflegen" oder ein Neustart auftreten kann. Dieser Angriff ist bei einigen Modellen von Cisco Systems-Routern sehr effektiv, und die erfolgreiche Anwendung des Angriffs auf den Router kann das gesamte Netzwerk der Organisation deaktivieren. Gegenmaßnahme: Sie können sich vor diesem Angriff schützen, indem Sie beispielsweise einen Paketfilter zwischen dem internen Netzwerk und dem Internet installieren und eine Filterregel festlegen, die angibt, dass aus dem Internet kommende Pakete unterdrückt werden sollen, jedoch mit den ursprünglichen IP-Adressen der Computer im internen Netzwerk.

Bereitstellen eines falschen Servers im Internet durch Erzeugen eines Richtungssturms falscher DNS-Antworten auf den angegriffenen Host

Eine andere Variante der Implementierung eines Remote-Angriffs auf den DNS-Dienst basiert auf der zweiten Art des Remote-Angriffs „Falsches Objekt der Sonne“. In diesem Fall sendet der Angreifer permanent eine zuvor vorbereitete falsche DNS-Antwort im Namen des realen DNS-Servers an den angegriffenen Host, ohne eine DNS-Anfrage zu erhalten. Mit anderen Worten, ein Angreifer erzeugt einen gezielten „Sturm“ falscher DNS-Antworten im Internet. Dies ist möglich, da normalerweise das UDP-Protokoll zum Übertragen einer DNS-Anfrage verwendet wird, bei der es keine Mittel zum Identifizieren von Paketen gibt. Die einzigen Kriterien, die das Netzwerkbetriebssystem des Hosts für die vom DNS-Server empfangene Antwort anzeigt, sind zum einen die Übereinstimmung der IP-Adresse des Absenders mit der IP-Adresse des DNS-Servers und zum anderen, dass derselbe Name in der DNS-Antwort angegeben ist. Wie bei der DNS-Abfrage muss die DNS-Antwort drittens an denselben UDP-Port gerichtet sein, von dem aus die DNS-Abfrage gesendet wurde (in diesem Fall ist dies das erste Problem für den Angreifer), und viertens an den DNS-Port - Der Antwortfeldbezeichner der Anfrage im DNS-Header (ID) muss denselben Wert enthalten wie in der übertragenen DNS-Abfrage (und dies ist das zweite Problem). In diesem Fall ist das Hauptproblem für den Angreifer die UDP-Portnummer, von der die Anforderung gesendet wurde, da er die DNS-Abfrage nicht abfangen kann. Die Portnummer des Absenders akzeptiert jedoch einen begrenzten Wertesatz (1023?). Daher genügt es für einen Angreifer, eine einfache Suche durchzuführen und falsche Antworten an die entsprechende Portliste zu senden. Auf den ersten Blick ist das zweite Problem möglicherweise eine Zwei-Byte-Kennung der DNS-Abfrage. In diesem Fall ist sie entweder gleich Eins oder hat einen Wert nahe Null (eine Abfrage - die ID wird um 1 erhöht). Um diesen Remote-Angriff auszuführen, muss ein Angreifer daher den gewünschten Host (A) auswählen und die Route festlegen, zu der er wechseln möchte, damit er über einen falschen Server - den Host des Angreifers - geleitet wird. Dies wird erreicht, indem der Angreifer im Namen des realen DNS-Servers ständig (vom „Sturm“ geleitet) falsche DNS-Antworten an den angegriffenen Host an die entsprechenden UDP-Ports sendet. Diese falschen DNS-Antworten geben die IP-Adresse von Host A als IP-Adresse des Angreifers an. Als nächstes wird der Angriff wie folgt entwickelt. Sobald das Angriffsziel (angegriffener Host) Host A namentlich anspricht , wird von diesem Host eine DNS-Anfrage an das Netzwerk gesendet, die der Angreifer niemals erhält. Dies ist jedoch nicht erforderlich, da der Host sofort ein ständig gesendetes Falsch empfängt Die DNS-Antwort, die vom Betriebssystem des angegriffenen Hosts als echte Antwort vom DNS-Server wahrgenommen wird. Der Angriff fand statt und nun überträgt der angegriffene Host alle für A bestimmten Pakete an die Host-IP-Adresse des Angreifers, die diese wiederum an A weiterleitet und die abgefangenen Informationen gemäß dem Schema "Falsches Objekt des verteilten VS" beeinflusst. Betrachten Sie das Funktionsschema des vorgeschlagenen Remoteangriffs auf den DNS-Dienst: • Kontinuierliche Übertragung falscher DNS-Antworten an den angegriffenen Host an verschiedene UDP-Ports und möglicherweise mit unterschiedlichen IDs aus dem Namen (von der IP-Adresse) dieses DNS-Servers, wobei der Name des betreffenden Hosts und dessen falsche IP-Adresse angegeben werden sei die IP-Adresse des falschen Servers - des Hosts des Angreifers; • Wenn Sie ein Paket von einem Host empfangen, ändern Sie den IP-Header des Pakets in seine IP-Adresse in die IP-Adresse des Angreifers und senden Sie das Paket an den Server. • Wenn Sie ein Paket vom Server empfangen, ändern Sie den IP-Header des Pakets in seine IP-Adresse in die IP-Adresse des falschen Servers und senden Sie das Paket an den Host (für den Host ist der falsche Server der echte Server). Die Implementierung dieses Remoteangriffs, der Sicherheitslücken im DNS-Dienst ausnutzt, ermöglicht es daher, das Routing zwischen zwei angegebenen Objekten von einer beliebigen Stelle im Internet aus zu unterbrechen. Das heißt, dieser Remote-Angriff ist intersegmental zum Angriffsziel und bedroht die Sicherheit aller Internet-Hosts, die normales DNS verwenden.

Bereitstellen eines falschen Servers im Internet durch Abfangen einer DNS-Anforderung oder Erzeugen eines gerichteten "Sturms" falscher DNS-Antworten auf den angegriffenen DNS-Server

Aus dem Remote-DNS-Suchschema folgt, dass, wenn der Name des in der Anforderung angegebenen DNS-Servers keine Namen in seiner Datenbank gefunden hat, die Anforderung vom Server an einen der Stamm-DNS-Server gesendet wird, deren Adressen in der Servereinstellungsdatei root.cache enthalten sind . Das heißt, wenn der DNS-Server keine Informationen über den angeforderten Host hat, leitet er die Anforderung weiter, was bedeutet, dass jetzt der DNS-Server selbst der Initiator der Remote-DNS-Suche ist. Daher hindert nichts den Angreifer daran, mit den im vorherigen Absatz beschriebenen Methoden seinen Angriff auf den DNS-Server zu richten. Das heißt, das Ziel des Angriffs ist jetzt nicht der Host, sondern der DNS-Server und falsche DNS-Antworten werden vom Angreifer im Namen des Stamm-DNS-Servers an den angegriffenen DNS-Server gesendet. Es ist wichtig, die folgenden Funktionen des DNS-Servers zu berücksichtigen. Um die Arbeit zu beschleunigen, speichert jeder DNS-Server seinen eigenen Hostnamen und seine eigene IP-Adresszuordnung im Speicherbereich. Das Einschließen des Caches enthält dynamisch änderbare Informationen zu den Namen und IP-Adressen der Hosts, die während des Betriebs des DNS-Servers gefunden wurden. Das heißt, wenn ein DNS-Server beim Empfang einer Anfrage den entsprechenden Eintrag in seiner Cache-Tabelle nicht findet, leitet er die Antwort an den nächsten Server weiter und speichert beim Empfang der Antwort die in der Cache-Tabelle gefundenen Informationen im Speicher. Wenn die nächste Anforderung eingeht, muss der DNS-Server daher keine Fernsuche mehr durchführen, da sich die erforderlichen Informationen bereits in seiner Cache-Tabelle befinden. Aus der Analyse des soeben beschriebenen Remote-DNS-Suchschemas geht hervor, dass ein Angreifer, der auf eine Anfrage des DNS-Servers hin eine falsche DNS-Antwort sendet (oder im Falle eines „Sturms“, falsche Antworten permanent sendet), Dann wird ein entsprechender Eintrag mit falschen Informationen in der Cache-Tabelle des Servers angezeigt. Außerdem werden alle Hosts, die auf diesen DNS-Server zugreifen, falsch informiert. Wenn der Angreifer auf den Host zugreift, wird die Verbindung über den Host des Angreifers hergestellt nach Schemata e "falsches Flugzeugobjekt." Und im Laufe der Zeit werden diese falschen Informationen, die in den Cache des DNS-Servers eingegeben werden, an benachbarte DNS-Server höherer Ebenen verteilt, und folglich werden immer mehr Hosts im Internet falsch informiert und angegriffen. Für den Fall, dass ein Angreifer keine DNS-Abfrage von einem DNS-Server abfangen kann, benötigt er offensichtlich einen „Sturm“ falscher DNS-Antworten, die an den DNS-Server gesendet werden, um einen Angriff zu starten. In diesem Fall tritt das folgende Hauptproblem auf, das sich vom Problem der Portauswahl bei einem auf den Host gerichteten Angriff unterscheidet. Wie bereits erwähnt, identifiziert der DNS-Server, der eine Anfrage an einen anderen DNS-Server sendet, die Anfrage mit einem Zwei-Byte-Wert (ID). Dieser Wert wird bei jeder gesendeten Anforderung um eins erhöht. Um den Angreifer herauszufinden, ist der aktuelle Wert der Kennung der DNS-Abfrage nicht möglich. Daher ist es ziemlich schwierig, etwas anderes als die Aufzählung von 2 16 möglichen ID-Werten vorzuschlagen. Das Problem des Port-Bustings verschwindet jedoch, da alle DNS-Abfragen vom DNS-Server an Port 53 übertragen werden. Das nächste Problem, das eine Voraussetzung für die Implementierung dieses Remoteangriffs auf den DNS-Server im Falle eines „Sturms“ falscher DNS-Antworten ist, besteht darin, dass der Angriff nur dann erfolgreich ist, wenn der DNS-Server eine Aufforderung zur Suche nach einem bestimmten Namen sendet (der enthält) in einer falschen DNS-Antwort). Der DNS-Server sendet diese Anforderung, die für einen Angreifer so notwendig und wünschenswert ist, wenn eine DNS-Anforderung von einem Host stammt, um nach einem bestimmten Namen und diesem Namen in der Cache-Tabelle des DNS-Servers zu suchen. Grundsätzlich kann diese Anforderung jederzeit erfolgen und der Angreifer muss möglicherweise beliebig lange auf die Ergebnisse des Angriffs warten. Nichts hindert den Angreifer jedoch daran, eine ähnliche DNS-Abfrage an den angegriffenen DNS-Server zu senden, ohne auf jemanden zu warten, und den DNS-Server zu veranlassen, nach dem in der Abfrage angegebenen Namen zu suchen. Dann wird dieser Angriff wahrscheinlich fast unmittelbar nach dem Beginn seiner Implementierung erfolgreich sein.

Einführung eines falschen DNS-Servers in das Internet durch Abfangen einer DNS-Abfrage

In diesem Fall handelt es sich um einen Remoteangriff, der auf einem typischen Remoteangriff basiert und mit dem Warten auf eine DNS-Suchabfrage verbunden ist. Bevor Sie sich mit dem Algorithmus für Angriffe auf den DNS-Dienst befassen, müssen Sie die folgenden Feinheiten bei der Arbeit dieses Dienstes berücksichtigen. Erstens arbeitet der DNS-Dienst standardmäßig auf der Basis des UDP-Protokolls (obwohl das TCP-Protokoll verwendet werden kann), was die Sicherheit natürlich beeinträchtigt, da das UDP-Protokoll im Gegensatz zu TCP keine Möglichkeit zur Identifizierung von Nachrichten bietet. Um von UDP zu TCP zu wechseln, muss der DNS-Serveradministrator die Dokumentation sehr gründlich lesen. Darüber hinaus wird dieser Übergang das System etwas verlangsamen, da erstens bei Verwendung von TCP eine virtuelle Verbindung erforderlich ist und zweitens die endgültigen Netzwerkbetriebssysteme zuerst eine DNS-Anforderung über das UDP-Protokoll senden und wenn sie dazu kommen eine spezielle Antwort vom DNS-Server, dann sendet das Netzwerk-Betriebssystem eine DNS-Anfrage über TCP. Zweitens ist die nächste Feinfühligkeit, die beachtet werden muss, dass der Wert des Felds "Port des Absenders" im UDP-Paket zuerst den Wert 1023 (?) Annimmt und dann mit jeder übertragenen DNS-Anforderung zunimmt. Drittens verhält sich der Wert des Bezeichners (ID) der DNS-Abfrage wie folgt. Bei einer DNS-Abfragetransfer von einem Host hängt der Wert von der spezifischen Netzwerkanwendung ab, die die DNS-Abfrage generiert. Die Experimente des Autors haben gezeigt, dass bei der Übertragung einer Anforderung von der Shell des Befehlsinterpreters der Betriebssysteme Linux und Windows '95 (z. B. ftp nic.funet.fi) dieser Wert immer gleich eins ist. Für den Fall, dass eine DNS-Abfrage von Netscape Navigator gesendet wird, erhöht der Browser diesen Wert bei jeder neuen Abfrage um eins. Wenn in diesem Fall die Anforderung direkt vom DNS-Server übertragen wird, erhöht der Server diesen Wert der Kennung bei jeder neu übertragenen Anforderung um eins. All diese Feinheiten spielen im Falle eines Angriffs eine Rolle, ohne eine DNS-Abfrage abzufangen. Um einen Angriff durch Abfangen einer DNS-Anfrage zu implementieren, muss ein Angreifer die DNS-Anfrage abfangen, die UDP-Portnummer des Absenders der Anfrage, den Zwei-Byte-Wert der ID der DNS-Anfrage und den gesuchten Namen extrahieren und anschließend eine falsche DNS-Antwort an die DNS-Anfrage senden Ein UDP-Port, an dem die echte IP-Adresse des falschen DNS-Servers als gewünschte IP-Adresse angegeben werden soll. Dies ermöglicht es in Zukunft, das Schema "False Object RVS" für den Datenverkehr zwischen dem "getäuschten" Host und dem Server vollständig abzufangen und aktiv zu beeinflussen. Stellen Sie sich ein allgemeines Schema eines falschen DNS-Servers vor: • Warten auf eine DNS-Abfrage; • Nachdem Sie eine DNS-Anfrage erhalten haben, extrahieren Sie die erforderlichen Informationen und senden Sie eine falsche DNS-Antwort über das Netzwerk an den anfragenden Host im Namen (von der IP-Adresse) des realen DNS-Servers, der die IP-Adresse des falschen DNS-Servers angibt. • im Falle des Empfangs eines Pakets von einem Host, Ändern des IP-Headers des Pakets in seine IP-Adresse in die IP-Adresse des falschen DNS-Servers und Übertragen des Pakets an den Server (dh der falsche DNS-Server arbeitet in eigenem Namen mit dem Server); • Wenn Sie ein Paket vom Server empfangen, ändern Sie dessen IP-Adresse im Paket-Header in die IP-Adresse des falschen DNS-Servers und übertragen Sie das Paket an den Host (für den Host ist der falsche DNS-Server der echte Server). Eine notwendige Voraussetzung für die Implementierung dieser Variante des Angriffs ist das Abfangen der DNS-Abfrage. Dies ist nur möglich, wenn sich der Angreifer entweder auf dem Hauptverkehrspfad oder in einem Segment eines realen DNS-Servers befindet. Die Erfüllung einer dieser Bedingungen für den Standort eines Angreifers im Netzwerk erschwert die praktische Implementierung eines solchen Remoteangriffs (es ist wahrscheinlich, dass der Angreifer nicht in der Lage ist, in das DNS-Serversegment und darüber hinaus in den Kommunikationskanal zwischen den Segmenten zu gelangen). Wenn diese Bedingungen jedoch erfüllt sind, kann ein segmentübergreifender Remoteangriff auf das Internet durchgeführt werden . Beachten Sie, dass die praktische Implementierung dieses Remote-Angriffs eine Reihe interessanter Merkmale im Betrieb des FTP-Protokolls und im Mechanismus zur Identifizierung von TCP-Paketen enthüllte. Wenn der FTP-Client auf dem Host über einen falschen DNS-Server eine Verbindung zum Remote-FTP-Server herstellt, stellt sich heraus, dass der FTP-Client jedes Mal, wenn der Benutzer einen FTP-Anwendungsbefehl ausgibt (z. B. ls, get, put usw.) Ich habe den PORT-Befehl ausgearbeitet, der darin bestand, die Portnummer und die IP-Adresse des Client-Hosts im Datenfeld des TCP-Pakets an den FTP-Server zu senden (es ist schwierig, bei diesen Aktionen eine spezielle Bedeutung zu finden - warum sollte die IP-Adresse des Clients jedes Mal an den FTP-Server gesendet werden). Dies führte dazu, dass, wenn ein falscher DNS-Server die übertragene IP-Adresse im Datenfeld eines TCP-Pakets nicht ändert und dieses Paket auf die übliche Weise an einen FTP-Server überträgt, das nächste Paket von einem FTP-Server an einen FTP-Client-Host übertragen wird. Das Umgehen eines falschen DNS-Servers und, was am interessantesten ist, dieses Paket werden als normales Paket wahrgenommen, und außerdem verliert ein falscher DNS-Server die Kontrolle über den Verkehr zwischen dem FTP-Server und dem FTP-Client! Dies liegt an der Tatsache, dass ein regulärer FTP-Server keine zusätzliche Identifikation des FTP-Clients bietet, sondern alle Probleme der Paketidentifikation und -verbindung auf eine niedrigere Ebene - die TCP-Ebene - verlagert.

Überflutung mit DNS-Angriffen

DNS-Flooding ist ein Angriff auf Internet-Nameserver. Es besteht in der Übertragung einer großen Anzahl von DNS-Abfragen und führt dazu, dass Benutzer nicht auf den Namensdienst zugreifen können und daher normale Benutzer nicht arbeiten können. Gegenmaßnahme: Um diesen Angriff zu erkennen, muss die DNS-Serverauslastung analysiert und die Quelle von Abfragen ermittelt werden.

DNS-Spoofing-Angriff

Das Ergebnis dieses Angriffs ist die Einführung einer auferlegten Übereinstimmung zwischen der IP-Adresse und dem Domänennamen im DNS-Server-Cache. Infolge des Erfolgs eines solchen Angriffs erhalten alle Benutzer des DNS des Nordens falsche Informationen über Domainnamen und IP-Adressen. Dieser Angriff ist durch eine große Anzahl von DNS-Paketen mit demselben Domainnamen gekennzeichnet. Dies liegt an der Notwendigkeit, einige Parameter des DNS-Austauschs auszuwählen. Gegenmaßnahme: Um einen solchen Angriff zu erkennen, muss der Inhalt des DNS-Verkehrs analysiert werden.

IP-Spoofing-Angriff (Syslog)

Eine große Anzahl von Angriffen auf das Internet ist mit dem Ersetzen der Quell-IP-Adresse verbunden. Diese Angriffe umfassen Syslog-Spoofing, dh das Senden einer Nachricht an den Computer des Opfers im Namen eines anderen Computers im internen Netzwerk. Da das Syslog-Protokoll zum Speichern von Systemprotokollen verwendet wird, ist es möglich, Informationen aufzuerlegen oder Spuren von nicht autorisiertem Zugriff zu entfernen, indem falsche Nachrichten an den Computer des Opfers gesendet werden. Gegenmaßnahme: Die Erkennung von Angriffen im Zusammenhang mit der Ersetzung von IP-Adressen ist möglich, wenn der Empfang eines Pakets mit der Quelladresse derselben Schnittstelle an einer der Schnittstellen gesteuert wird oder wenn der Empfang von Paketen mit den IP-Adressen des internen Netzwerks an der externen Schnittstelle gesteuert wird.

Imposante Pakete

Ein Angreifer sendet Pakete mit einer falschen Absenderadresse an das Netzwerk. Mit diesem Angriff kann ein Angreifer Verbindungen zwischen anderen Computern zu seinem Computer wechseln. In diesem Fall entsprechen die Zugriffsrechte des Angreifers den Rechten des Benutzers, dessen Verbindung zum Server auf den Computer des Angreifers umgestellt wurde.

Sniffing - Abhören des Kanals (nur im lokalen Netzwerksegment möglich)

Praktisch alle Netzwerkkarten unterstützen die Fähigkeit, Pakete abzufangen, die über einen gemeinsamen Kanal des lokalen Netzwerks übertragen werden. In diesem Fall kann die Workstation Pakete empfangen, die an andere Computer desselben Netzwerksegments gerichtet sind. Somit steht dem Angreifer der gesamte Informationsaustausch im Netzwerksegment zur Verfügung. Um diesen Angriff erfolgreich durchzuführen, muss sich der Computer des Angreifers im selben LAN-Segment wie der angegriffene Computer befinden.

Paketentführung auf dem Router

Die Netzwerksoftware des Routers hat Zugriff auf alle über diesen Router übertragenen Netzwerkpakete, wodurch das Abfangen von Paketen ermöglicht wird. Um diesen Angriff ausführen zu können, muss der Angreifer über privilegierten Zugriff auf mindestens einen Netzwerkrouter verfügen. Da viele Pakete normalerweise über einen Router übertragen werden, ist deren vollständiges Abfangen fast unmöglich. Einzelne Pakete können jedoch durchaus abgefangen und für eine spätere Analyse durch einen Angreifer gespeichert werden. Das effektivste Abfangen von FTP-Paketen, die Benutzerkennwörter sowie E-Mails enthalten.

Auferlegen einer falschen Route auf einem Host mithilfe von ICMP

Im Internet gibt es das Internet Control Message Protocol (ICMP), mit dessen Hilfe die Hosts über den Wechsel des aktuellen Routers informiert werden. Diese Steuernachricht wird als Umleitung bezeichnet. Es ist möglich, eine falsche Umleitungsnachricht von jedem Host im Netzwerksegment im Namen des Routers an den angegriffenen Host zu senden. Infolgedessen ändert der Host die aktuelle Routingtabelle und der gesamte Netzwerkverkehr dieses Hosts wird künftig beispielsweise über den Host geleitet, der eine falsche Umleitungsnachricht gesendet hat. Somit ist es möglich, eine falsche Route innerhalb eines Segments des Internets aktiv aufzuerlegen.

Winnuke

Neben den üblichen Daten, die über eine TCP-Verbindung gesendet werden, sendet der Standard auch Out-of-Band-Daten. Auf der Ebene der TCP-Paketformate wird dies in einem von Null verschiedenen dringenden Zeiger ausgedrückt. Die meisten PCs mit Windows haben ein NetBIOS-Netzwerkprotokoll, das drei IP-Ports für ihre Anforderungen verwendet: 137, 138, 139. Wenn Sie an 139 Ports eine Verbindung zu einem Windows-Computer herstellen und mehrere Bytes OutOfBand-Daten senden, wird die NetBIOS-Implementierung ausgeführt Ohne zu wissen, was mit diesen Daten geschehen soll, bleibt der Computer hängen oder wird neu gestartet. Unter Windows 95 sieht dies normalerweise wie ein blauer Textbildschirm aus, der einen Fehler im TCP / IP-Treiber und die Unfähigkeit meldet, mit dem Netzwerk zu arbeiten, bevor das Betriebssystem neu gestartet wird. NT 4.0 ohne Service Pack wird neu gestartet, NT 4.0 mit einem zweiten Service Pack stürzt in einen Bluescreen. Ein ähnliches Senden von Daten an 135 und einige andere Ports führt zu einer erheblichen Belastung des RPCSS.EXE-Prozessors. Auf NTWS führt dies zu einer deutlichen Verlangsamung, das NTS ist fast eingefroren.

Falscher ARP-Server

Im Internet hat jeder Host eine eindeutige IP-Adresse, die alle Nachrichten vom globalen Netzwerk empfängt. Das IP-Protokoll ist jedoch weniger ein Netzwerk als ein Internet-Austauschprotokoll, das für die Kommunikation zwischen Objekten in einem globalen Netzwerk entwickelt wurde. Auf der Verbindungsebene werden Pakete an die Hardwareadressen von Netzwerkkarten adressiert. Das Internet verwendet das Address Resolution Protocol (ARP) für die Eins-zu-Eins-Korrespondenz zwischen IP- und Ethernet-Adressen. Anfänglich verfügt ein Host möglicherweise nicht über Informationen zu den Ethernet-Adressen anderer Hosts, die sich im selben Segment befinden, einschließlich der Ethernet-Adresse des Routers. Dementsprechend sendet der Host beim ersten Zugriff auf die Netzwerkressourcen eine Broadcast-ARP-Anforderung, die alle Stationen im Netzwerksegment empfangen. Nach Erhalt dieser Anfrage sendet der Router eine ARP-Antwort an den anfragenden Host, in der er seine Ethernet-Adresse meldet. Dieses Betriebsschema ermöglicht es einem Angreifer, eine falsche ARP-Antwort zu senden, in der er sich zum gewünschten Host (zum Beispiel einem Router) erklärt und anschließend den gesamten Netzwerkverkehr des "getäuschten" Hosts aktiv überwacht.

TCP Sequenz Vorhersage Nummer (IP-Spoofing)

In diesem Fall besteht das Ziel des Angreifers darin, sich als ein anderes System auszugeben, dem das Opfersystem beispielsweise „vertraut“. Die Methode wird auch für andere Zwecke verwendet - zum Beispiel, um das SMTP des Opfers zum Versenden gefälschter E-Mails zu verwenden. Die TCP-Verbindung wird in drei Schritten hergestellt: Der Client wählt die Sequenznummer aus und sendet sie an den Server (nennen wir sie C-SYN). Als Antwort sendet der Server ein Datenpaket mit einer Bestätigung (C-ACK) und seiner eigenen Sequenznummer (S-SYN) an den Client. ). Nun muss der Client eine Bestätigung senden (S-ACK). Danach gilt die Verbindung als hergestellt und der Datenaustausch beginnt. Zusätzlich hat jedes Paket einen Header im Header für die Sequenznummer und die Bestätigungsnummer. Diese Zahlen nehmen mit dem Datenaustausch zu und ermöglichen es Ihnen, die Richtigkeit der Übertragung zu kontrollieren. Angenommen, ein Angreifer kann vorhersagen, welche Sequenznummer (S-SYN im Schema) vom Server gesendet wird. Dies ist aufgrund der Kenntnis einer bestimmten TCP / IP-Implementierung möglich. In 4.3BSD beispielsweise erhöht sich der Wert der Sequenznummer, die beim Festlegen des nächsten Werts verwendet wird, jede Sekunde um 125000. Durch das Senden eines Pakets an den Server erhält der Angreifer eine Antwort und ist in der Lage (möglicherweise mit mehreren Versuchen und in Bezug auf die Verbindungsgeschwindigkeit korrigiert). Die Sequenznummer für die nächste Verbindung. Wenn die TCP / IP-Implementierung zur Ermittlung der Sequenznummer einen speziellen Algorithmus verwendet, kann dies geklärt werden, indem mehrere Dutzend Pakete an den Server gesendet und deren Antworten analysiert werden. Nehmen wir also an, dass System A System B vertraut, sodass der Benutzer von System B "rlogin A" ausführen und auf A landen kann, ohne ein Kennwort einzugeben. Angenommen, der Angreifer befindet sich auf System C. System A fungiert als Server, System B und C als Clients. Die erste Aufgabe des Angreifers besteht darin, System B in einen Zustand zu versetzen, in dem es nicht auf Netzwerkanforderungen reagieren kann. Dies kann auf verschiedene Arten geschehen: Im einfachsten Fall müssen Sie nur warten, bis das System B neu gestartet wurde. Ein paar Minuten, in denen es nicht funktioniert, sollten ausreichen. Danach kann der Angreifer versuchen, sich als System B auszugeben, um (zumindest kurzfristig) Zugriff auf System A zu erhalten. Der Angreifer sendet mehrere IP-Pakete, die die Verbindung initiieren, an System A, um den aktuellen Status der Sequenznummer des Servers herauszufinden. Der Angreifer sendet ein IP-Paket, in dem die Adresse von System B bereits als Rücksprungadresse angegeben ist. System A antwortet mit einem Paket mit einer Sequenznummer, die an System B gesendet wird. System B wird es jedoch niemals empfangen (es ist deaktiviert), genau wie der Angreifer. Auf der Grundlage der vorherigen Analyse schätzt er jedoch, welche Sequenznummer an System B gesendet wurde. Der Angreifer bestätigt, dass das Paket von A empfangen wurde, und sendet ein Paket mit einer geschätzten S-ACK für B (beachten Sie, dass der Angreifer die Sequenz bestimmt, wenn sich die Systeme in demselben Segment befinden number reicht aus, um ein von System A) gesendetes Paket abzufangen. Wenn der Angreifer Glück hat und die Sequenznummer des Servers richtig erraten wurde, wird die Verbindung als hergestellt betrachtet. Jetzt kann ein Angreifer ein weiteres gefälschtes IP-Paket senden, das bereits Daten enthält. Wenn der Angriff beispielsweise gegen rsh gerichtet war, könnte er Befehle zum Erstellen einer .rhosts-Datei oder zum Senden von / etc / passwd per E-Mail an einen Angreifer enthalten. Gegenmaßnahmen: Das einfachste Signal für IP-Spoofing sind Pakete mit internen Adressen, die von außen kommen. Die Router-Software kann den Administrator benachrichtigen. Schmeicheln Sie sich jedoch nicht - der Angriff kann von innerhalb Ihres Netzwerks aus erfolgen. Bei intelligenteren Netzwerküberwachungstools kann der Administrator (im automatischen Modus) Pakete von Systemen überwachen, die sich in einem nicht verfügbaren Zustand befinden. Was hindert einen Angreifer jedoch daran, den Betrieb von System B zu imitieren, indem er auf ICMP-Pakete antwortet? Wie kann man sich vor IP-Spoofing schützen? Erstens ist es möglich, es schwierig oder unmöglich zu machen, die Sequenznummer (das Schlüsselelement des Angriffs) zu erraten. Beispielsweise können Sie die Änderungsrate der Sequenznummer auf dem Server erhöhen oder die Erhöhungsnummer der Sequenznummer zufällig auswählen (vorzugsweise unter Verwendung eines kryptografisch robusten Algorithmus zum Generieren von Zufallszahlen). Wenn das Netzwerk eine Firewall (oder einen anderen Filter von IP-Paketen) verwendet, sollten Sie Regeln hinzufügen, nach denen alle Pakete, die von außerhalb kommen und Rücksendeadressen aus unserem Adressraum haben, nicht im Netzwerk zugelassen werden dürfen. Darüber hinaus sollten Sie das Vertrauen der Maschinen untereinander minimieren. Idealerweise sollte es keine Möglichkeit geben, direkt zum nächsten Netzwerkcomputer zu gelangen, nachdem Sie die Superuser-Rechte für einen dieser Computer erhalten haben. Dies erspart natürlich nicht die Verwendung von Diensten, die keine Autorisierung erfordern, z. B. IRC (ein Angreifer kann sich als willkürlicher Internetcomputer ausgeben und eine Reihe von Befehlen senden, um in den IRC-Kanal einzutreten, willkürliche Nachrichten auszugeben usw.). Die Verschlüsselung eines TCP / IP-Streams löst das IP-Spoofing-Problem im Allgemeinen (sofern kryptografisch starke Algorithmen verwendet werden). Um die Anzahl solcher Angriffe zu verringern, wird außerdem empfohlen, die Firewall so zu konfigurieren, dass Pakete gefiltert werden, die von unserem Netzwerk nach außen gesendet werden, jedoch Adressen haben, die nicht zu unserem Adressraum gehören.

Lokaler Sturm

Lassen Sie uns einen kleinen Exkurs zur Implementierung von TCP / IP machen und die "lokalen Stürme" als Beispiel für UDP-Stürme betrachten. In der Regel unterstützen Systeme standardmäßig die Arbeit solcher UDP-Ports wie 7 ("Echo", das empfangene Paket wird zurückgesendet), 19 ("Zeichengenerator", das Zeichen des Zeichenkettengenerators wird als Antwort auf das empfangene Paket an den Absender gesendet) und andere (Datum usw.). In diesem Fall kann ein Angreifer ein einzelnes UDP-Paket senden, wobei 7 als Quellport und 19 als Empfänger angegeben wird und beispielsweise zwei Computer Ihres Netzwerks (oder sogar 127.0) als Adresse des Empfängers und des Absenders angegeben werden. 0,1). Nachdem das Paket empfangen wurde, antwortet der 19. Port mit einer Zeichenfolge, die zu Port 7 geht. Der siebte Port dupliziert es und sendet es erneut an 19. Und so weiter bis ins Unendliche. Der endlose Zyklus verschlingt die Ressourcen der Maschinen und belastet den Kanal bedeutungslos. Natürlich wird der Sturm mit dem ersten verlorenen UDP-Paket aufhören. Противодействие: в качестве защиты стоит еще раз порекомендовать не пропускать в сети пакеты с внутренними адресами, но пришедшие извне. Также рекомендуется закрыть на firewall использование большинства сервисов.

IP Hijacking

Метод является комбинацией 'подслушивания' и IP-spoofing'а. Необходимые условия - злоумышленник должен иметь доступ к машине, находящейся на пути сетевого потока и обладать достаточными правами на ней для генерации и перехвата IP-пакетов. Напомним, что при передаче данных постоянно используются sequence number и acknowledge number (оба поля находятся в IP-заголовке). Исходя из их значения, сервер и клиент проверяют корректность передачи пакетов. Существует возможность ввести соединение в "десинхронизированное состояние", когда присылаемые сервером sequence number и acknowledge number не будут совпадать с ожидаемым значениеми клиента, и наоборот. В данном случае злоумышленник, "прослушивая" линию, может взять на себя функции посредника, генерируя корректные пакеты для клиента и сервера и перехватывая их ответы. Метод позволяет полностью обойти такие системы защиты, как, например, одноразовые пароли, поскольку злоумышленник начинает работу уже после того, как произойдет авторизация пользователя. Есть два способа рассинхронизировать соединение. • Ранняя десинхронизация. Соединение десинхронизируется на стадии его установки. Злоумышленник прослушивает сегмент сети, по которому будут проходить пакеты интересующей его сессии. Дождавшись пакета S-SYN от сервера, злоумышленник высылает серверу пакет типа RST (сброс), конечно, с корректным sequence number, и, немедленно, вслед за ним фальшивый C-SYN-пакет от имени клиента Сервер сбрасывает первую сессию и открывает новую, на том же порту, но уже с новым sequence number, после чего посылает клиенту новый S-SYN-пакет. Клиент игнорирует S-SYN-пакет, однако злоумышленник, прослушивающий линию, высылает серверу S-ACK-пакет от имени клиента. Итак, клиент и сервер находятся в состоянии ESTABLISHED, однако сессия десинхронизирована. Естественно, 100% срабатывания у этой схемы нет, например, она не застрахована от того, что по дороге не потеряются какие-то пакеты, посланные злоумышленником. Для корректной обработки этих ситуаций программа должна быть усложнена. • Десинхронизация нулевыми данными. В данном случае злоумышленник прослушивает сессию и в какой-то момент посылает серверу пакет с "нулевыми" данными, т.е. такими, которые фактически будут проигнорированы на уровне прикладной программы и не видны клиенту (например, для telnet это может быть данные типа IAC NOP IAC NOP IAC NOP...). Аналогичный пакет посылается клиенту. Очевидно, что после этого сессия переходит в десинхронизированное состояние. ACK-буря Одна из проблем IP Hijacking заключается в том, что любой пакет, высланный в момент, когда сессия находится в десинхронизированном состоянии вызывает так называемый ACK-бурю. Например, пакет выслан сервером, и для клиента он является неприемлимым, поэтому тот отвечает ACK-пакетом. В ответ на этот неприемлимый уже для сервера пакет клиент вновь получает ответ. И так до бесконечности. К счастью современные сети строятся по технологиям, когда допускается потеря отдельных пакетов. Поскольку ACK-пакеты не несут данных, повторных передачи не происходит и "буря стихает". Как показали опыты, чем сильнее ACK-буря, тем быстрее она "утихомиривает" себя - на 10MB ethernet это происходит за доли секунды. На ненадежных соединениях типа SLIP - ненамного больше. Детектирование и защита Есть несколько путей. Например, можно реализовать TCP/IP-стек, который будут контролировать переход в десинхронизированное состояние, обмениваясь информацией о sequence number/acknowledge number. Однако в данном случае мы не застрахованы от злоумышленника, меняющего и эти значения. Поэтому более надежным способом является анализ загруженности сети, отслеживание возникающих ACK-бурь. Это можно реализовать при помощи конкретных средств контроля за сетью. Если злоумышленник не потрудиться поддерживать десинхронизированное соединение до его закрытия или не станет фильтровать вывод своих команд, это также будет сразу замечено пользователем. К сожалению, подавляющее большинство просто откруют новую сессию, не обращаясь к администратору. Стопроцентную защиту от данной атаки обеспечивает, как всегда, шифрование TCP/IP-трафика (на уровне приложений - secure shell) или на уровн протокола - IPsec). Это исключает возможность модификации сетевого потока. Для защиты почтовых сообщений может применяться PGP. Следует заметить, что метод также не срабатывает на некоторых конкретных реализациях TCP/IP. Так, несмотря на [rfc...], который требует молчаливого закрытия сесии в ответ на RST-пакет, некоторые системы генерируют встречный RST-пакет. Это делает невозможным раннюю десинхронизацию.

Обнаружение атак и защита от них

• Для обнаружения атак можно анализировать широковещательную активность - это пакеты UDP, NBF, SAP. • Для защиты внутренней сети, подключенной к Internet'у, не стоит пропускать из внешней сети входящие пакеты, источником в которых стоит внутренний сетевой адрес. Можно разрешить проходить пакетам только на порт 80. • Ставьте фильтрацию пакетов, если необходимо (не стоит пренебрегать даже
Control Panel\Network\Protocols\Properties\Advanced в Windows NT).

Методы сканирования

Использование протокола ARP

Данный тип запросов может быть использован злоумышленниками для определения функционирующих систем в сегментах локальной сети.

Сканирование сети посредством DNS

Es ist bekannt, dass Angreifer vor dem Auslösen eines Angriffs Ziele identifizieren, d.h. Identifizierung von Computern, die Opfer des Angriffs werden, sowie von Computern, die den Informationsaustausch mit den Opfern durchführen. Eine Möglichkeit, Ziele zu identifizieren, besteht darin, den Nameserver abzufragen und alle verfügbaren Informationen über die Domäne von ihm abzurufen. Gegenmaßnahme: Um einen solchen Scan zu ermitteln, müssen DNS-Abfragen (Adresse im Namen) analysiert werden, die möglicherweise von verschiedenen DNS-Servern stammen, jedoch für einen bestimmten, festgelegten Zeitraum. Gleichzeitig ist es notwendig zu sehen, welche Informationen in ihnen übertragen werden, und die Suche nach Adressen zu verfolgen.

UDP-Bombe

Ping-Sweep-Netzwerkscan

Ping Sweep oder Pinpointing mit ICMP ist eine effektive Methode.

Gegenmaßnahme: Um festzustellen, ob sich Ping-Scan-Ziele innerhalb des Subnetzes befinden, müssen die Quell- und Zieladressen von ICMP-Paketen analysiert werden.

TCP-Port-Scan

Port-Scanning ist eine bekannte Methode zum Erkennen der Computerkonfiguration und der verfügbaren Dienste. Es gibt verschiedene TCP-Scan-Methoden, von denen einige als Stealth bezeichnet werden, da sie die Schwachstellen der TCP / IP-Stack-Implementierungen in den meisten modernen Betriebssystemen ausnutzen und nicht mit Standardmitteln erkannt werden. Gegenmaßnahme: Gegenmaßnahme kann beispielsweise durch Senden von TCP-Paketen mit gesetztem RST-Flag im Auftrag des zu überprüfenden Computers an den Computer des Angreifers erfolgen.

UDP-Port-Scan

Eine andere Art des Port-Scans basiert auf der Verwendung des UDP-Protokolls und sieht folgendermaßen aus: Ein an den Port gerichtetes UDP-Paket wird an den gescannten Computer übertragen, der auf Verfügbarkeit überprüft wird. Wenn der Port nicht verfügbar ist, kommt die ICMP-Nachricht der Nichtverfügbarkeit (Zielport nicht erreichbar) zur Antwort, andernfalls erfolgt keine Antwort. Diese Art von Scan ist sehr effektiv. Damit können Sie in kurzer Zeit alle Ports auf dem Computer des Opfers scannen. Gegenmaßnahme: Durch das Senden von Nachrichten über die Unzugänglichkeit des Ports an den Computer des Angreifers kann der Überprüfung dieser Art entgegengewirkt werden.

Stealth-Scan

Die Methode basiert auf einem falschen Netzwerkcode, sodass Sie nicht garantieren können, dass sie in einer bestimmten Situation normal funktioniert. Es werden TCP-Pakete mit installierten ACK- und FIN-Flags verwendet. Sie sollten verwendet werden, weil Wenn ein solches Paket mit einer ungeöffneten Verbindung an den Port gesendet wird, geben Sie das Paket immer mit dem RST-Flag zurück. Es gibt verschiedene Methoden, die dieses Prinzip anwenden: • Senden Sie ein FIN-Paket. Wenn der empfangende Host eine RST zurückgibt, ist der Port inaktiv. Wenn die RST nicht zurückgegeben wird, ist der Port aktiv. Diese Methode funktioniert in den meisten Betriebssystemen. • Senden Sie ein ACK-Paket. Ist die TTL der zurückgegebenen Pakete kleiner als bei den anderen empfangenen RST-Paketen oder ist die Fenstergröße größer als Null, ist der Port höchstwahrscheinlich aktiv.

Passiver Scan

Das Scannen wird häufig von Cyberkriminellen verwendet, um herauszufinden, welche TCP-Ports die Dämonen auf Anfragen aus dem Netzwerk beantworten. Ein reguläres Scannerprogramm öffnet nacheinander Verbindungen zu verschiedenen Ports. Wenn die Verbindung hergestellt ist, setzt das Programm sie zurück und informiert die Portnummer des Angreifers. Diese Methode lässt sich leicht anhand von Nachrichten von Dämonen, die nach der Installation von einer sofort unterbrochenen Verbindung überrascht werden, oder mithilfe spezieller Programme erkennen. Die besten dieser Programme haben einige Versuche unternommen, Elemente eines künstlichen Elements in Verfolgungsversuche einzuführen, um eine Verbindung zu verschiedenen Ports herzustellen. Der Angreifer kann jedoch eine andere Methode verwenden - das passive Scannen (der englische Begriff "passives Scannen"). Bei Verwendung sendet der Angreifer ein TCP / IP-SYN-Paket an alle Ports in einer Reihe (oder nach einem bestimmten Algorithmus). Bei TCP-Ports, die Verbindungen von außen akzeptieren, wird ein SYN / ACK-Paket als Aufforderung zur Fortsetzung des 3-Wege-Handshakes zurückgesendet. Der Rest gibt RST-Pakete zurück. Nach der Analyse der Antwortdaten kann ein Angreifer schnell erkennen, auf welchen Ports das Programm ausgeführt wird. In Reaktion auf SYN / ACK-Pakete kann es auch mit RST-Paketen antworten, was darauf hinweist, dass der Verbindungsaufbau nicht fortgesetzt wird (in der Regel reagieren die RST-Pakete automatisch auf die TCP / IP-Implementierung des Angreifers, wenn er keine besonderen Maßnahmen ergreift). Die Methode wird von früheren Methoden nicht erkannt, da die echte TCP / IP-Verbindung nicht hergestellt wird. Sie können jedoch (abhängig vom Verhalten des Angreifers) die dramatisch erhöhte Anzahl von Sitzungen verfolgen, die sich im Status SYN_RECEIVED befinden. (vorausgesetzt, der Angreifer sendet keine RST-Antwort) Empfangen eines RST-Pakets vom Client als Antwort auf ein SYN / ACK. Leider ist es bei einem hinreichend intelligenten Verhalten des Angreifers (z. B. Scannen mit geringer Geschwindigkeit oder Überprüfen nur bestimmter Ports) nicht möglich, ein passives Scannen zu erkennen, da es sich nicht von den üblichen Versuchen zum Herstellen einer Verbindung unterscheidet. Zur Verteidigung können Sie nur empfehlen, alle Dienste auf der Firewall zu schließen, für die kein Zugriff von außen erforderlich ist.

Das Einladungssystem und die Gefahr der darin enthaltenen Informationen

Es ist erforderlich, die "Systemaufforderungen" zu entfernen, die von den zentralen Computern auf den RAS-Terminals angezeigt werden, damit sich der Benutzer beim System anmelden kann. Diese Anforderung hat folgende Gründe: • Die „Systemaufforderung“ enthält normalerweise Informationen, anhand derer der Eindringling den Typ und die Version des Betriebssystems des Zentralcomputers, die Art der Fernzugriffssoftware usw. identifizieren kann. Solche Informationen können die Eingabe in das System erheblich vereinfachen, da der Eindringling dies kann illegale Zugriffstools verwenden, die die Schwachstellen eines bestimmten Systems ausnutzen; • "Einladungssystem" gibt normalerweise die Zugehörigkeit der Abteilung zum System an. In dem Fall, dass das System einer Geheimagentur oder einer Finanzstruktur angehört, kann sich das Interesse des Täters erheblich erhöhen. • In einem kürzlich abgeschlossenen Gerichtsverfahren wurde eine Klage gegen eine Person abgewiesen, die illegal in das Unternehmensnetzwerk eingetreten war, da diese ihre Handlungen mit einer Inschrift auf dem Remote-Zugriffsterminal „Welcome to ...“ des Zentralcomputers erklärte.

Einige Tipps zur Netzwerkrecherche

• Scannen Sie den Server nach offenen Ports und Diensten. • Versuchen Sie, sich beim Server als IUSR_ <Computername mit Bällen> anzumelden. • Die Verzeichnisse / scripts und / cgi-bin können, wie viele wahrscheinlich wissen, alle Dateien aus diesen Verzeichnissen in NT ausführen. Sie sollten daher den Zugriff auf diese Verzeichnisse schließen. Der Start wird mit dem folgenden Befehl (wenn die ausführbare Datei in / scripts) über den Browser ausgeführt: http: //www.idahonews/scripts/getadmin.exe? Test. Sie können Administratorrechte wie folgt erhalten: Die Programme von / scripts werden nicht unter dem Benutzernamen des Benutzers gestartet, sondern über dasselbe Webkonto, woraus geschlossen werden kann, dass die Administratorkennwörter mithilfe von PWDUMP.exe einfach aus der Registrierung entfernt werden können. • Es ist zu beachten, dass die Programme von / SCRIPTS unter dem Webkonto und nicht unter dem Konto des Startbenutzers ausgeführt werden. Daher können Sie versuchen, Kennwörter mithilfe von PWDUMP.EXE aus der Registrierung zurückzusetzen. Passwörter werden verschlüsselt. In diesem Fall sollten Sie die Seite als Textdatei speichern und versuchen, die Kennwörter mit dem Programm BRUTEFORCE zu dekodieren. • Unter dem Administratorkonto können Sie die Aliase für ftp und http ändern.

Einige andere Möglichkeiten, um Informationen zu erhalten.

• Verwenden Sie whois oder NSLookUp, um alternative Namen zu ermitteln, und ermitteln Sie, wem das Netzwerk gehört. Merken Sie sich den IP-Adressbereich für das spätere Scannen. • Gehen Sie zum nächsten Router und finden Sie etwas heraus. Um den Router zu finden, müssen Sie den Pfad zu einer beliebigen IP-Adresse aus dem erkannten Bereich weiterleiten. Der nächstgelegene Router wird durch die Antwortzeit bestimmt. • Versuchen Sie, sich per Telnet beim Router anzumelden. • Starten Sie den Scanner des IP-Adressbereichs, um Dienste zu erkennen, die auf dem PC ausgeführt werden.

Löcher und Verwaltungsfehler in Windows NT

• Betrachten Sie eine Sicherheitsanfälligkeit im Zusammenhang mit einem Fehler bei der Implementierung des Systems. Diese Sicherheitsanfälligkeit führt zu einer Angriffsfunktion namens GetAdmin . Anfällig ist der NtAddAtom-Systemdienst, der die übergebenen Parameter nicht überprüft und Bit 0 auf NtGlobalFlag + 2 setzt. Öffnen Sie dazu die Datei ntoskrnl.exe und suchen Sie den Einstiegspunkt zu NtAddAtom. Durch Setzen dieses Bits wird die Berechtigungsprüfung für den Debugger in NtOpenProcess und NtOpenThread deaktiviert. Somit hat jeder Benutzer das Recht, einen beliebigen Prozess im System zu öffnen. Der Angriff öffnet den Prozess Winlogon und bettet dll in ihn ein. Da dieser Dienst über die Berechtigungen von SYSTEM verfügt, kann er einen Benutzer zur Administratorgruppe hinzufügen oder aus dieser Gruppe entfernen. Theoretisch gibt es andere mögliche Sicherheitsverletzungen. • Eine der beliebtesten Methoden, um in das System einzudringen, ist das Erraten von Passwörtern. Um dem entgegenzuwirken, wird normalerweise ein Benutzerkonto nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche gesperrt. Eine angenehme Ausnahme ist der Admin-Account. Und wenn er über das Netzwerk Zugriff auf den Eingang hat, öffnet sich eine Lücke, in der er das Kennwort ruhig erraten kann. Zum Schutz wird empfohlen, den Administratorbenutzer umzubenennen, die Kontosperrung festzulegen, dem Administrator die Anmeldung über das Netzwerk zu untersagen, die Übertragung von SMB-Paketen über TCP / IP (Ports 137, 138, 139) zu untersagen und die Protokollierung fehlgeschlagener Eingaben einzurichten.

Spam

Spammer werden nicht nur einen ISP finden, sondern höchstwahrscheinlich ein Unternehmen auswählen, da Für den Internet-Provider ist es einfacher zu verstehen, was passiert ist, und er kann solche Nachrichten wahrscheinlich schneller loswerden. Wiederkehrendes Spam kann legitime Benutzer aufgrund einer Überlastung des E-Mail-Servers stören. Das Problem ist, dass die Verbindung zu einem SMTP-Server nicht so schwierig ist. Dazu müssen Sie wissen, dass nur 7-8 Befehle an den SMTP-Server gestartet wurden, um Ihre Nachrichten zu verteilen. Zum Schutz können Sie die Adressen eingehender Nachrichten in der Datenbank registrierter Serverbenutzer überprüfen. Befindet sich die Adresse des Absenders oder eine der von ihm angeforderten Adressen nicht in der Liste, wird keine E-Mail versendet.

So schützen Sie das Mail-System vor Spammern

• Wenn Sie die Protokolle nicht lesen, werden Spammer ungestraft vorgehen. • Programmieren Sie alle Mail-Server Ihres Unternehmens bis auf einen so, dass sie nicht auf die Anfrage zur Nachrichtenübertragung antworten. Der verbleibende Server muss die IP-Adressen sorgfältig filtern. • Bewahren Sie alle E-Mail-Server, die Nachrichtenweiterleitungsanfragen empfangen können, in Reichweite Ihrer Firewall auf.

Wie funktionieren Spammer?

• Ziel ausgewählt - Der Spammer wählt zufällig den Domainnamen des Unternehmens aus und errät dann den Hostnamen des SMTP-Mail-Dienstanbieters. Wenn der Server E-Mails akzeptiert, fordert ihn der Spammer auf, die Nachricht nach Adressliste zu verbreiten. • Der Server führt die Anforderung aus und vermittelt den Eindruck, dass die Nachrichten die IP-Adresse des Opfers verlassen.

Löcher IIS, WWW, FTP

• Der Absender kann seine gefälschte Adresse wie folgt hinterlassen: Der Absender kann eine Verbindung zum SMTP-Port des Rechners herstellen, an den er den Brief senden und den Text des Briefes eingeben möchte. • Mit dem FTP-Dienst können Sie passive Verbindungen basierend auf der Adresse des vom Client angegebenen Ports herstellen. Dies kann von einem Angreifer verwendet werden, um gefährliche Befehle an den FTP-Dienst zu senden. Die Registrierung enthält den Schlüssel: <HKLM \ System \ CurrentControlSet \ Services \ MSFTPSVC \ Parameters> mit dem Wert <EnablePortAttack: REG_DWORD:> Stellen Sie sicher, dass der Wert auf "0" und nicht auf "1" festgelegt ist. • Wenn Sie eine Verbindung über Telnet zu Port 80 herstellen, wird der Befehl "GET ../ .." führt zum Absturz von IIS und der Meldung "Die Anwendung exe \ inetinfo.dbg hat eine Anwendungsfehlermeldung unter der Zeitadresse 53984655 generiert. • Adresse 'http://www.domain.com/scripts .. \ .. \ scriptname "ermöglicht es Ihnen, das angegebene Skript auszuführen. Standard ist Gast oder IUSR_WWW hat die Berechtigung, alle Dateien in allen Verzeichnissen zu lesen. So können diese Dateien angezeigt, heruntergeladen und gestartet werden. • Directories \ script \ cgi-bin sollte geschlossen sein, weil Von diesen Verzeichnissen aus können Sie beliebige Dateien direkt im Browserfenster ausführen. • Wenn von IIS eine sehr lange URL (4 bis 8 KB) angefordert wird, bleibt der Server hängen und reagiert nicht auf weitere Anforderungen. Das Problem besteht darin, dass die genaue Größe der URL vom jeweiligen Server abhängt. Daher versuchen Killer-Programme, beginnend mit einer bestimmten Basisanforderungsgröße und allmählich zunehmender Größe, den kritischen Punkt zu finden, an dem der Server angehalten wird. • Benutzer von Outlook Express 98 müssen damit rechnen, dass dieser Mailer die Verarbeitung von Visual-Basic-Skripten ermöglicht, die im Brief leicht versteckt werden können. Ein solches Skript hat vollen Zugriff auf das Dateisystem. Der eigentliche Schutz kann nur darin bestehen, die "Sicherheitsstufe" in Outlook auf "Maximum" zu setzen. • Wenn die HTML-Tags im Chat zulässig sind, kann niemand etwas wie <img src = "http://www.mysite.com/cgi-bin/sniffer.cgi"> in Ihre Nachricht einfügen. Infolgedessen rufen alle im Chat Anwesenden (die noch nicht registriert sind), ohne es zu wissen, das Skript auf. • Beschränken Sie den Zugriff auf Port 25 nur für bestimmte Benutzer.