Netzwerkangriffe und etwas anderes

Einführung in die Netzwerkangriffe

Kurzbeschreibungen von Netzwerkangriffen

Die Fragmentierung der Daten

Übertragung von fragmentierten IP - Pakete

Ping Flooding - Attacke

PingOfDeath oder SSPing

UDP Bombe

SYN flooding

Kundenspezifische Protokolle werden in IP gekapselt

Die Verwendung des TFTP - Protokoll

Angriff smurf

Land Attack

Einführung in den Internet - Server durch eine falsche Richtung zu schaffen, "Sturm" false DNS-Antworten auf den Ziel - Host

Einführung in das Internet - DNS - Server durch falsche Interception - eine Anforderung oder eine Richtungs "Sturm" false DNS erstellen - DNS - Antworten auf das Opfer - Server

Einführung in das Internet falsche DNS-Server durch das Abfangen DNS-Abfrage

DNS - Angriff Überschwemmungen

DNS - Spoofing - Attacke

IP - Spoofing - Attacke

Die Einführung eines Pakets

Sniffing - hören Kanal (nur im lokalen Netzwerk - Segment)

Intercept - Pakete auf dem Router

Imposante eine Vielzahl von falschen Weg über das ICMP - Protokoll

WinNuke

Falsch ARP - Server

Die Vorhersage der TCP - Sequenznummer (IP-Spoofing)

Lokale Sturm

IP - Hijacking

Intrusion Detection und Schutz gegen sie

Scan - Methoden

Mit Hilfe der ARP

Scannen Netzwerk von DNS

UDP Bombe

Scannen TCP - Ports

Scannen UDP - Ports

Stealth-Scan

Passive Scanning

Die Einladungssystem und das Risiko der darin enthaltenen Informationen

Einige Räte bei Netzwerkforschung

Einige andere Möglichkeiten der Gewinnung von Informationen

Löcher und Verwaltung Fehler in Windows NT

Spam

Wie das Mail - System von Spammern zu schützen

Wie Spammer

Holes IIS, WWW, FTP

Einführung in die Netzwerkangriffe

Steigendes Interesse in TCP / IP-Netze durch das schnelle Wachstum des Internets. Doch dies wirft Fragen darüber, wie ihre Informationsressourcen vor Angriffen von außen Netzwerk zu schützen. Wenn Sie mit dem Internet verbunden sind, können Sie Ihr System angegriffen werden. Familie von IP-Protokolle sind die Basis für die Konstruktion von Intranet-Netzwerke und das globale Internet. Trotz der Tatsache, dass TCP / IP-Entwicklung durch das US Department of Defense finanziert wurde, TCP / IP haben keinen absoluten Schutz und ermöglicht es, verschiedene Arten von in diesem Kapitel behandelt Angriffe. Zur Durchführung solcher Angriffe ein potentieller Angreifer muß mindestens eine der Kontrolle über Systeme haben mit dem Internet verbunden. Ein Ansatz für die Analyse von Bedrohungen für die Sicherheit von Computersystemen ist die Zuweisung einer eigenen Klasse von Bedrohungen, die auf einem Computer-Netzwerk eindeutig sind. Diese Klasse wird Bedrohungen genannt - Klasse Remote-Angriffe. Dieser Ansatz zur Klassifizierung scheint berechtigt, weil der grundlegenden Merkmale in der Konstruktion des Netzwerk-Betriebssystem. Das Hauptmerkmal von jedem Netzwerk-Betriebssystem ist, dass seine Komponenten im Raum verteilt sind, und die Beziehung zwischen ihnen ist physikalisch durch spezielle Netzwerkverbindung (Koaxialkabel, Twisted Pair, Glasfaser, etc.) und Software durchgeführt - mit der Messaging-Mechanismus. Somit sind alle Steuernachrichten und Daten gesendet eine andere Komponente der Netzwerkbetriebssystemkomponente, übertragen über die Netzwerkverbindungen in einem Paketaustausch. Diese Funktion ist der Hauptgrund für die Entstehung einer neuen Klasse von Bedrohungen - Remote-Angriffe. Bei dieser Art von Angriff interagiert der Angreifer mit dem Informationsempfänger, Sender und / oder Zwischensysteme, möglicherweise durch Modifizieren und / oder Filtern der Gehalt an TCP / IP-Paketen. Diese Angriffe scheinen oft technisch anspruchsvoll zu sein, zu implementieren, aber es ist leicht, geeignete Werkzeuge für eine gute Programmierer zu implementieren. Die Möglichkeit der Bildung von beliebigen IP-Paketen ist ein wesentlicher Punkt für die Umsetzung der aktiven Angriffen. aktiv oder passiv: Remote-Angriffe können durch die Art der Exposition einzustufen. Aktive Angriffe können in zwei Teile aufgeteilt werden. Im ersten Fall nimmt der Angreifer einige Schritte, Netzwerkverkehr und Versuche, "vorgeben" ein anderes System abzufangen und zu modifizieren. Im zweiten Fall wird das TCP / IP-Protokoll, um das System der Opfer inoperable verwendet. Wenn passive Angriffe Angreifer in keiner Weise offenbaren sich und kommen nicht in direkten Kontakt mit anderen Systemen. In der Tat, es kommt alles auf die verfügbaren Daten oder Kommunikationssitzungen zu überwachen. Obwohl passive Angriffe können die Sicherheitsrichtlinien des Netzwerks verletzen. Die Idee, einen Angriff zu identifizieren, ist einfach: jeder Angriff auf einen bestimmten Netzwerkverkehr entspricht daher Traffic-Analyse ermöglicht es Ihnen, den Angriff "Spur" der Angreifer zu identifizieren und zu erkennen, das heißt Ermitteln der IP-Adresse, von der Information Einfluss durchgeführt. Somit erfolgt Detektion von Angriffen durch die Steuerung des Informationsflusses, der durch die Analyse des Netzwerkverkehrs erreicht wird.

Kurzbeschreibungen von Netzwerkangriffen

Beachten Sie, dass rohe Methoden wie große Pakete oder SYN-Flooding Pingen, überwältigen kann jede Internet-Maschine oder ein Subnetz, unabhängig von der Konfiguration.

Die Fragmentierung der Daten

Wenn im Netzwerk IP-Datenpaket-Protokoll Übertragung kann eine Unterteilung des Pakets in mehrere Fragmente sein. Anschließend an das Ziel zu erreichen, wird das Paket aus den Fragmenten rekonstruiert. Ein Angreifer kann eine große Anzahl von Fragmenten initiieren sendet, die auf der Empfangsseite zu einem Pufferüberlauf-Software führt, und in einigen Fällen das System zum Absturz bringen.

Übertragung von fragmentierten IP - Pakete c mehr als 64 KB in Höhe von insgesamt

Die Zahl der Angriffe Implementierungen die Möglichkeit der Fragmentierung von IP-Paketen verwendet wird, ist ausreichend groß. Auf dem Opfer Computer mehrere fragmentierte IP-Pakete übertragen werden, die, wenn sie zusammengebauter Form einer einzigen Paketgröße mehr als 64 KB (die maximale Größe des IP-Pakets zu 64K minus der Header-Länge gleich ist). Dieser Angriff war wirksam gegen Computer von Windows. Nach dem Empfang des Pakets Windows NT keine speziellen Patch icmp-fix hat, "friert" oder stürzt ab. Weitere Varianten dieser Angriffe nutzen die falsche in den IP-Fragmente versetzt, was zu fehlerhaften Speicherzuweisung führt, Pufferüberlauf und letztlich auf die Störung von Systemen.

Opposition: auf solche Angriffe erkennen sollte "on the fly" durchgeführt und analysieren Paketierung werden, und dies wird die Hardwareanforderungen deutlich erhöhen.

Ping Flooding - Attacke

Es zeigte sich daher, dass das Programm "die ping", soll die Qualität der Leitung zu beurteilen, ist der Schlüssel zum "aggressive" Test. In diesem Modus wird die Anfrage so schnell wie möglich ist und das Programm zu bewerten, wie das Netzwerk arbeitet bei maximaler Last gesendet. Dieser Angriff muss der Angreifer Zugriff auf die schnellen Kanäle im Internet. Daran erinnern, wie die Ping. Das Programm sendet eine ICMP-Typ-Paket ECHO REQUEST, es in der Zeit und seine Identität ausgesetzt wird. Der Kern der Maschine, reagiert der Empfänger auf eine solche Anforderung Paket ICMP ECHO REPLY. Holen Sie es, Ping-Paketübertragungsrate zur Verfügung stellt. Im Standardmodus werden die Pakete in Intervallen gesendet werden, fast ohne das Netzwerk zu beeinflussen. Aber in der "aggressive" -Modus, der Fluss von ICMP-Echo-Request / Reply-Paket eine kleine Zeile überlasten kann, ist es von der Fähigkeit berauben nützliche Informationen zu übertragen. Selbstverständlich ist der Fall von Ping ist ein Spezialfall einer allgemeineren Situation, in Verbindung mit den Überlastkanäle. Zum Beispiel könnte ein Angreifer mehrere Pakete senden, die UDP auf Port 19. Opfer-Maschine, und wenn es nach allgemein anerkannten Regeln, ist am 19. die UDP-Port-CG bei 80 Bytes auf Linien von Paketen entspricht. Beachten Sie, dass der Angreifer auch die Absenderadresse dieser Pakete schmieden kann, ist es schwierig zu erkennen, zu machen. Verfolgen Sie seine Hilfe, es sei denn koordinierte Arbeit von Spezialisten in den Zwischenroutern, die praktisch unmöglich ist. Einer der Angriffsoptionen - ICMP-Echo-Request-Pakete mit einer Quell-Adresse zu senden, um das Opfer zeigt, auf die großen Netze in Broadcast-Adresse. Als Ergebnis wird jeder der Maschinen auf diese Anforderung für eine Fälschung reagieren und Maschine-zu-Absender empfängt, eine große Anzahl von Antworten. Machen eine Menge von Broadcast-Echo-Anfragen im Namen der "Opfer" auf den Broadcast-Adresse großen Netzwerken kann scharf Kanal zapolnenenie "Opfer" verursachen. Anzeichen für eine Überflutung - dramatisch Netzwerklast (oder Kanal) und erhöhen die Anzahl der spezifischen Pakete (wie ICMP) erhöht. Als Schutz kann Konfiguration von Routern empfohlen werden, in dem sie das gleiche Filter ICMP-Verkehr einen vorgegebenen Wert überschreitet im Voraus (Pakete / Einheiten. Zeit) sein. Um sicherzustellen, dass Ihr Auto nicht eine Quelle der Ping-Flood-Funktionen sein kann, den Zugriff auf den Ping.

PingOfDeath oder SSPing

Sein Wesen ist wie folgt: auf dem Auto des Opfers ein ICMP stark fragmentipovanny pazmepa große gesendet wird (64 KB). Reaktion von Windows-Systeme für eine solche Verpackung hängt oder unbedingte, einschließlich der Maus und Tastatur. das Programm zum Angriff ist auf der Bahn in Form eines Quellcodes in C und in Form von ausführbaren Dateien für einige Versionen von Unix weithin verfügbar. Interessanterweise kann im Gegensatz zum WinNuke Opfer eines solchen Angriffs nicht nur ein Windows-Rechner sein, ausgesetzt der Angriff MacOS-Version mit der richtigen Formatierung und einige Unix. Die Vorteile dieser Methode des Angriffs ist, dass die Firewall ist in der Regel sendet ICMP-Pakete, und wenn die Firewall und konfiguriert posylateley Adressen zu filtern, dann einige einfache Techniken von Spoofing verwenden, können Sie betrügen und eine Firewall. Mangelnde PingOfDeath, dass für einen einzigen Angriff sollte ein 64KB im Netzwerk zu senden, die es sogar maloppimenimym für shipokomasshtabnyh divepsy erwähnen macht.

UDP Bombe

Das gesendete UDP-Paket enthält ein ungültiges Dienstleistungsfelder. Einige ältere Versionen von Netzwerk-Software führen bei der Herstellung eines solchen Pakets, das System zum Absturz bringen.

SYN flooding

SYN-Flooding -Package - der berühmteste Weg zum Informationskanal "Score". Daran erinnern, wie die TCP / IP für eingehende Verbindungen. Das System reagiert C-SYN zu kommen - Paket S-SYN / ACK - C--Package übersetzt Sitzung SYN_RECEIVED Zustand und legt sie in der Warteschlange. Wenn innerhalb einer vorgegebenen Zeit vom Client kommt S-ACK wird die Verbindung aus der Warteschlange entfernt, sonst wird die Verbindung übertragen Staat niedergelassen sind. Betrachten wir den Fall, wo alle Eingangsanschlüsse bereits gefüllt sind, und das System erhält SYN -Package eingeladen werden, um die Verbindung zu installieren. Laut RFC, wird er stillschweigend ignoriert. SYN-Flooding -Package basierend auf Warteschlangenüberlauf-Server, dann stoppt der Server auf Benutzeranforderungen zu reagieren. Der berühmteste von einem solchen Angriff - ein Angriff auf Panix, New York ansässige Anbieter. Panix war für 2 Wochen nicht arbeiten. In verschiedenen Systemen arbeiten Warteschlange wird auf verschiedene Weise implementiert. So wird in den BSD-Systeme, jeder Port hat seinen eigenen Platz in der Größe von 16 Elementen. In SunOS-Systemen, im Gegenteil, eine solche Trennung, und es gibt kein System, einfach eine große gemeinsame Warteschlange hat. Dementsprechend wird, um zu blockieren, beispielsweise die WWW-Port 16 auf BSD genug SYN-Pakete und ihre Anzahl wird für die Solaris 2.5 viel größer sein. Nach Ablauf einer bestimmten Zeit (abhängig von der Implementierung), fordert das System aus der Warteschlange gelöscht. Doch nichts verhindert, dass ein Angreifer eine neue Charge von Anfragen zu senden. Somit kann, selbst wenn die Verbindung zu 2400 bps, kann ein Angreifer alle fünfzehn Minuten bei 20 bis 30 Pakete auf FreeBSD-Server zu senden, ist es in Ordnung zu halten (natürlich wurde dieser Fehler in neueren Versionen von FreeBSD korrigiert). Wie üblich, kann ein Angreifer die inverse zufällige IP-Adressen bei der Bildung eines Pakets nutzen, die es schwer zu erkennen und zu filtern seinen Verkehr macht. Der Nachweis ist einfach - eine große Anzahl von Verbindungen in SYN_RECEIVED Zustand, zu ignorieren versucht, diesen Port zu verbinden. Als Schutz können Patches empfohlen werden, die automatische Umsetzung "ausgedünnt" Linie, zum Beispiel auf der Basis der frühen Random Drop-Algorithmus. Um herauszufinden, ob Ihr System gegen SYN-Überflutung zu schützen, um herauszufinden, kontaktieren Sie Ihren Systemanbieter. Eine weitere Schutzmöglichkeit - Firewall so konfigurieren, dass die eingehenden TCP / IP-Verbindungen selbst festgelegt werden, und erst dann warf sie in das Netz auf einer bestimmten Maschine. Dies ermöglicht es Ihnen, die syn-Überschwemmungen zu begrenzen und verpassen Sie es nicht innerhalb des Netzwerks. Dieser Angriff bezieht sich auf das Verbot von Service-Attacken, die in der Unfähigkeit, Dienstleistungen zu erbringen führt. Der Angriff ist in der Regel konzentriert sich auf bestimmte, spezifische Dienste wie Telnet oder FTP. Es ist Pakete zu übertragen, die Verbindung mit dem Port entsprechend der Zieldienst zu schaffen. Wenn Sie gefragt werden, versucht das System verteilt die Ressourcen für die neue Verbindung, dann auf die Anfrage zu reagieren auf der unzugänglichen Adresse (eine "SYN-ACK" senden). Standard NT-Versionen 3.5-4.0 Bestätigung wird 5-mal wiederholen - nach 3, 6, 12, 24 und 48 Sekunden. Danach weitere 96 Sekunden kann das System auf eine Antwort warten, und nur befreit dann die für zukünftige Verbindungen zugewiesenen Ressourcen. Die Gesamtzeit der Beschäftigung Ressourcen - 189 Sekunden.

Kundenspezifische Protokolle werden in IP gekapselt

Das IP-Paket enthält ein Feld, das Protokoll gekapselte Paket (TCP, UDP, ICMP) identifiziert. Angreifer können einen Nicht-Standard-Wert dieses Feldes für Daten verwenden, die nicht mit Standardinformationen Strömungssteuermittel festgelegt werden.

Die Verwendung des TFTP - Protokoll

Dieses Protokoll enthält keine Authentifizierungsmechanismen, so dass ist attraktiv für Kriminelle.

Angriff smurf

Smurf Angriff auf das Netzwerk-Broadcast-ICMP-Anforderungen im Namen des Opfers Computer zu übertragen. Als Ergebnis Computer, die diese Sendungen angenommen haben entsprechen den Zielcomputer, die in der Bandbreite des Kommunikationskanals, und in einigen Fällen zur vollständigen Isolierung des Zielnetzwerk zu einer signifikanten Reduktion führt. Smurf Angriff ist äußerst wirksam und weit verbreitet. Opposition: Anerkennung dieser Angriff muss analysiert werden , um die Kanalbelastung zu ermitteln und die Ursachen für die Bandbreite zu reduzieren.

Land Attack

Land Attack Vulnerability verwendet TCP / IP-Stack-Implementierungen in einigen Betriebssystemen. Es wird übertragen, um den Computer des Opfers zu öffnen, das TCP-Paket an Port die SYN-Flag gesetzt, und die Quelladresse und den Port des Pakets sind gleich der Adresse und den Port des Computers angegriffen. Dies führt zu der Tatsache, dass das Opfer Computer mit sich selbst zu verbinden versucht, was zu einer stark die CPU-Auslastung erhöht und kann "podvisanie" oder Neustart auftreten. Dieser Angriff ist sehr effektiv bei einigen Modellen der Firma Cisco Systems Router, die erfolgreiche Anwendung der Angriffe auf den Router kann das gesamte Firmennetz bringen. Opposition: gegen diesen Angriff zu schützen , kann zum Beispiel durch eine Filterpakete zwischen dem internen Netzwerk, Internet installiert, sondern auf einer Filterregel Einstellung, die die Unterdrückungs - Pakete an , die aus dem Internet kommen, aber mit der Quell - IP - Adresse des internen Netzwerkcomputers.

Einführung in den Internet - Server durch eine falsche Richtung zu schaffen, "Sturm" false DNS-Antworten auf den Ziel - Host

Eine weitere Ausführungsform eines Remote-Angriff auf den DNS-Dienst, basierend auf einer zweiten Spezies typische Fern Angriff "false sun-Objekt." In diesem Fall führt der Angreifer eine permanente Übertragung auf den Zielhost aus eine vorbereitete falsche DNS-Antwort im Namen der DNS-Server, ohne die DNS-Abfrage zu empfangen. Mit anderen Worten, erstellt der Angreifer über das Internet gerichtet "Sturm" falscher DNS-Antworten. Dies ist möglich, da in der Regel die DNS-Anfrage Übertragung das UDP-Protokoll verwendet, die keine Identifikationsmittel Pakete hat. Die einzigen Kriterien für die Netzwerk-Betriebssystem-Host aus dem DNS-Server Antwort erhalten ist zum einen die Vereinbarung zwischen den IP-Adressen der Antwort an den Absender mit der IP-Adresse des DNS-Servers, und zweitens, dass der gleiche Name wurde in der DNS-Antwort angegeben als eine DNS-Abfrage sollte drittens DNS-Antwort an den gleichen UDP-Port geleitet werden, um die für DNS-Abfrage gesendet wurde (in diesem Fall das erste Problem für den Angreifer), und viertens zu DNS -response Feld DNS-Abfrage-ID im Header (ID) müssen den gleichen Wert wie in der DNS-Abfrage enthalten übertragen (das ist ein zweites Problem ist). In diesem Fall, da ein Angreifer keine Möglichkeit hat, die DNS-Abfrage, die zugrunde liegende Problem ist für ihn UDP-Portnummer, von dem die Anforderung gesendet wurde, abzufangen. Aber die Port-Nummer nimmt eine begrenzte Anzahl von Werten (1023?), So dass der Angreifer genug, um einen einfachen Brute-Force zu betreiben, das Senden von falschen Antworten auf die entsprechende Liste der Ports. Auf den ersten Blick kann das zweite Problem Zwei-Byte-Identifikator DNS-Abfrage sein, aber in diesem Fall ist es entweder ein oder ein Wert nahe Null (eine Abfrage - ID wird um 1 erhöht). Daher ist für die Durchführung des Angreifers Remote-Angriff ist es notwendig, interessant Host (A) zu wählen, um eine Route, die Sie so ändern wollen, dass es durch den gefälschten Server übergibt - der Host des Angreifers. Dies wird durch eine ständige Übertragung (Regie "Sturm") angreifen falsche DNS-Antworten auf den Ziel-Host im Namen der DNS-Server an die entsprechenden UDP-Ports erreicht. In diesen falschen DNS-Antworten wie die IP-Adresse des Host A IP-Adresse des Angreifers angegeben. Nächster Angriff entwickelt wie folgt. Sobald das Ziel ihres Angriffs (Ziel - Host) Adresse im Namen des Host A, dann von einem bestimmten Host an das Netzwerk auf die DNS-Abfrage übertragen werden, wodurch ein Angreifer nie bekommen, aber dass es nicht erforderlich ist, da der Host sofort ständig falsch übermittelt gehen DNS-Antwort, die wie eine Antwort von dem DNS-Server angegriffen vom Host-Betriebssystem erhalten wird. Der Angriff erfolgte und nun der angegriffene Host alle Pakete für A, an die IP-Adresse des Hosts der Angreifer, der sie wiederum wird auf das A, die auf das abgefangenen Informationen auf einem "falschen Objekt verteilt CS" dazu bestimmt , zu senden. Betrachten wir ein Funktionsblockdiagramm des vorgeschlagenen Fern Angriff auf den DNS-Dienst: • konstante Übertragungs Angriff falsche DNS-Antworten auf den Ziel-Host auf einer Vielzahl von UDP-Ports und möglicherweise mit unterschiedlichen ID im Namen der (mit der IP-Adresse) des DNS-Server mit dem Namen von Interesse für den Wirt und seine falsche IP-Adresse, die sein wird, kann die IP-Adresse des gefälschten Server - der Host-Angreifer; • im Falle eines Pakets von einem Host, eine Änderung in der IP-Paket-Header der IP-Adresse auf die IP-Adresse des Angreifers und das Paket an den Server gesendet werden (dh ein falscher Server mit dem Server im eigenen Namen in Verbindung steht - von Ihrer IP-Adresse); • im Falle eines Pakets vom Server, die Änderung der IP-Paket-Header der IP-Adresse auf dem falschen Server-IP-Adresse und die Übertragung an den Host-Paket (Host gefälschte Server ist der reale Server). Somit ermöglicht die Implementierung des Remote-Angriff mit Leerzeichen in DNS-Sicherheit, von jedem Punkt des Internets das Routing zwischen zwei bestimmten Objekten zu brechen. Das heißt, diese Fern Angriff in Bezug durchgeführt Angriff Zwecke Intersegmentäre und bedroht die Sicherheit der Internet-Host, der normalen DNS-Dienst verwendet.

Einführung in das Internet - DNS - Server durch falsche Interception - eine Anforderung oder eine Richtungs "Sturm" false DNS erstellen - DNS - Antworten auf das Opfer - Server

der Name des DNS-Server in den Datenbanknamen auf dem Server wird die Anfrage gesendet wird, nicht an einem der Wurzel von DNS-Servern, deren Adressen enthalten in der Server-Konfigurationsdatei root.cache gefunden angegeben von einem Remote-DNS-Suchschema, das in dem Fall, dass in dem Antrag . Das heißt, wenn der DNS-Server nicht die angeforderten Informationen Gastgeber, sie leitet die Anfrage an, und daher jetzt selbst DNS-Server ist ein DNS-initiierte Remote-Suche. Daher gibt es nichts einen Angreifer zu stoppen, Methoden arbeiten im vorherigen Absatz beschrieben, ihre Angriff auf die DNS-Server zu leiten. Das heißt, da das Ziel des Angriffs nicht der Host wird jetzt handeln und DNS-Server und DNS-falsche Antworten werden an den Angreifer gesendet werden, im Namen der Root-DNS-Server auf dem Ziel DNS-Server. Es ist wichtig, die folgende Funktion DNS-Server zu prüfen. Zur Beschleunigung der einzelnen DNS-Server-Caches in Erinnerung an ihre Namen und eine Tabelle von Hosts IP Adresse. den Cache einschließlich dynamisch ändernden Informationen über die Namen und IP-Adressen der Rechner während der DNS-Server-Betrieb gefunden gespeichert. Das heißt, wenn der DNS-Server die Anforderung empfängt, nicht in seinem jeweiligen Datensatz-Cache-Tabelle nicht finden, ist es die Antwort auf den nächsten Server weiterleitet, und erhielt die Antwort, legt die Informationen in der Cache-Tabelle im Speicher gefunden. Somit ist es kein entferntes Suche durchzuführen erforderlich, da notwendigen Daten bereits in der Cache-Tabelle sind, wenn die nächste Abfrage der DNS-Server. Aus der Analyse beschrieben nur im Detail Remote-DNS-Suchmuster wird deutlich, dass in Reaktion auf eine Anfrage von dem DNS-Server, wenn, wird der Angreifer eine falsche DNS-Antwort (oder im Fall von "Sturm" falsche Antworten ihre fortgesetzte Übertragung führen wird) senden dann wird der Server-Cache-Tabelle ein entsprechender Eintrag mit falschen Informationen und in der Zukunft sein, alle Hosts, auf diese DNS-Server beziehen, werden fehlgeleitet und unter Bezugnahme auf den Host, auf der Route, die der Angreifer hat beschlossen, den Link zu ändern, um es durch des Angreifers Gastgeber sein wird, in einem "falschen Sonne Objekt." Und im Laufe der Zeit, diese falsche Informationen gelangt in den DNS-Server-Cache, wird es verbreitet DNS-Server von höheren Ebenen zu benachbarten und daher mehr Hosts im Internet wird falsch informiert und angegriffen werden. Offensichtlich in diesem Fall, wenn ein Angreifer die DNS-Anfrage vom DNS-Server für die Realisierung des Angriffs abfangen kann es erfordert einen "Sturm" DNS-falsche Antworten auf DNS-Server weitergeleitet. Damit stellt sich die folgende grundlegende Problem, das Problem ist, unterscheidet sich von der Auswahl der Ports im Falle eines an dem Host-Ziel angreifen. Wie zuvor DNS-Server festgestellt, identifiziert die Anforderung an einen anderen DNS-Server zu senden, dass die Anfrage Zwei-Byte-Wert (ID). Dieser Wert wird bei jedem Durchlauf-Anforderungen erhöht. der Angreifer Lernen ist der aktuelle Wert des DNS-Anforderungskennung nicht möglich ist. Daher nichts anderes als Brute-Force 16. Februar möglichen Werte von ID etwas ziemlich schwierig zu bieten. Aber das Problem verschwindet Ports Zerschlagung, da alle DNS-Anfragen 53 an den DNS-Server auf Port weitergeleitet werden. Das nächste Problem, das auf dem DNS-Server unter der Leitung von "Sturm" false DNS-Antwort liegt in der Tatsache, dass der Angriff eine Voraussetzung für die Implementierung des Remote-Angriff ist nur dann erfolgreich sein wird, wenn der DNS-Server sendet eine Anforderung für einen bestimmten Namen zu suchen (enthält in einer falschen DNS-Antwort). DNS-Server sendet diese nach Bedarf und durch den Angreifer in der Anforderung gewünscht, wenn es DNS-Anfrage von einem Host zum Listennamen kommen wird und dieser Name in jedem DNS-Server-Cache-Tabelle angezeigt. Im Prinzip kann diese Anforderung zu jeder Zeit kommen, kann der Angreifer auf unbestimmte Zeit für die Ergebnisse der Angriffe warten. Allerdings hindert nichts ein Angreifer, ohne zu warten , für jeden auf das Ziel DNS-Server DNS-ähnliche Abfrage zu senden und einen DNS-Server - Suche in der Abfrage angegebenen Namen auslösen. Dann ist der Angriff wahrscheinlich ein Erfolg fast unmittelbar nach dem Beginn der Umsetzung zu sein.

Einführung in das Internet falsche DNS-Server durch das Abfangen DNS-Abfrage

In diesem Fall assoziiert der Remote-Angriff auf die Standardprobe Remote-Angriff mit DNS-Abfrage Such warten. Bevor wir den Angriff Algorithmus auf den DNS-Dienst ist notwendig, die Aufmerksamkeit auf diese Feinheiten in der Arbeit dieses Dienstes prüfen. Erstens auf der Basis von UDP-Protokoll die Standard-DNS-Dienst arbeitet (obwohl möglicherweise TCP-Protokoll), die es natürlicherweise macht weniger sicher, da das UDP-Protokoll im Gegensatz zu TCP keine Mittel zur Identifizierung von Nachrichten bereitstellt. Zum Umschalten von UDP auf TCP-DNS-Administrator - der Server muss ernsthaft die Dokumentation studieren. Darüber hinaus wird dieser Übergang das System verlangsamen, da zum einen durch TCP mit der Erstellung einer virtuellen Verbindung erfordert, und zum anderen das letzte Netzwerk-Betriebssystem sendet erste DNS-Abfrage UDP-Protokoll verwenden und es in, wenn spezielle Antwort vom DNS-Server, dann wird das Netzwerk-Betriebssystem, das eine DNS-Abfrage über TCP senden. Zweitens die folgende Feinheit, die zu beachten, erforderlich ist, ist, dass der Wert des Feldes "source port" in dem ersten UDP-Paket zu 1023 eingestellt ist (?), Und steigt dann mit jedem übertragenen DNS-Anfrage. Drittens verhält sich die Kennung (ID) DNS-Abfrage wie folgt. Im Fall von DNS-Anforderungsübertragung vom Host seiner Wert hängt von der speziellen Netzwerkanwendung, DNS-Abfrage Erzeugungs. Autor Versuche haben, daß im Falle des Übertragungsanforderungsbefehlsinterpreter shell Linux-Betriebssysteme gezeigt, Windows 95 (zum Beispiel ftp nic.funet.fi), dieser Wert ist immer gleich Eins. In diesem Fall wird die DNS-Abfrage aus dem Netscape Navigator übertragen werden, dass mit jedem neuen Browser-Anforderung selbst, ist dieser Wert um eins erhöht. In diesem Fall, wenn die Anfrage direkt an den DNS-Server gesendet wird, erhöht sich der Server diesen Wert um eine Kennung, die mit jeder Wiedertragenen Anfrage. All diese Details sind wichtig, im Falle eines Angriffs ohne DNS-Abfrage abfängt. Zur Umsetzung Angriffe durch das Abfangen DNS-Abfrage der Angreifer braucht DNS-Abfrage abzufangen, extrahieren daraus die Nummer des UDP-Port-Anforderung des Senders, ein Zwei-Byte-Wert ID DNS-Abfrage-Kennung und den gewünschten Namen und dann falsche DNS-Antwort von der DNS-Abfrage abgerufen senden UDP-Port, der für die gewünschte IP-Adresse des realen IP-Adresse des gefälschten DNS-Server angeben. Dies wird in Zukunft vollständig abfangen und aktiv beeinflussen unter dem "falschen Objekt PBC" für den Verkehr zwischen der "betrogenen" von dem Host und dem Server. Betrachten wir die verallgemeinerte Schema falscher DNS - Server: • DNS-Warte Anfrage; • erhielt eine DNS-Abfrage, die Extraktion der notwendigen Informationen und Netzwerk-Übertragung an den anfordernden Host falscher DNS-Antwort im Namen von (mit der IP-Adresse) des DNS-Server, der die IP-Adresse des gefälschten DNS-Server anzeigt; • in dem Fall eines Pakets von einem Host, eine Änderung in der IP-Paket-Header der IP-Adresse auf dem falschen DNS-Server-IP-Adresse und das Übertragungspaket an den Server (dh ein falscher DNS-Server kommuniziert mit dem Server in ihrem Namen); • im Falle eines Pakets vom Server, die Änderung der IP-Paket-Header der IP-Adresse auf die IP-Adresse des gefälschten DNS-Server und Transfer zum Host-Paket (Host ein falscher DNS-Server der reale Server ist). Eine notwendige Voraussetzung für die Durchführung dieser Ausführungsform ist der Angriff DNS-Abfrage abzufangen. Dies ist nur möglich, wenn der Angreifer auf dem Weg oder der Hauptverkehr ist in entweder Segment des DNS-Servers. Führen Sie einen dieser Standortbedingungen des Angreifers auf das Netzwerk diese Fern Angriff erschwert ist in der Praxis zu realisieren (um in die DNS-Server-Segment, und vor allem im Intersegment-Link ist der Angreifer wahrscheinlich scheitern). Allerdings kann im Falle der Erfüllung dieser Bedingungen zwischen den Segmenten Fern Angriff auf das Internet realisiert werden. Es sollte beachtet werden, dass die praktische Umsetzung dieser Fern Angriff eine Anzahl interessanter Merkmale im FTP-Protokoll und den Mechanismus der Identifikation für TCP-Pakete offenbart. Wenn FTP-Client auf einem Host auf einen FTP-Server über einen falschen DNS-Server verbunden ist, es stellt sich heraus, dass der Benutzer jedes Mal die Anwendung FTP-Befehle (zB ls erhalten, setzen, und so weiter. D.) FTP-Client zog einen pORT Befehl auf, die bei der Übertragung auf einen FTP-Server im Datenfeld die Portnummer TCP-Paket und der Client - Host - IP-Adressen (eine besondere Bedeutung in dieser Aktionen sind schwer zu finden - warum jedes Mal auf FTP-Server des Clients IP-Adresse zu übertragen) bestanden! Dies führte zu der Tatsache, dass, wenn ein falscher DNS-Server im Datenfeld des TCP-IP-Paket-Adresse nicht die übertragenen ändern und das Paket auf FTP-Server auf dem normalen Schema, das nächste Paket auf den FTP-Server auf dem Host in FTP-Client übertragen werden senden, Vermeidung falscher DNS-Server, und, interessanterweise wird dieses Paket als normales Paket und danach behandelt werden, ein falscher DNS-Server wird die Kontrolle des Verkehrs zwischen dem FTP-Server und FTP-Client zu verlieren! Dies ist aufgrund der Tatsache, dass die herkömmliche FTP-Server keine zusätzliche Identifizierung FTP-Client bereitstellt und alle verschiebt das Problem der Identifizierung von Paketen, und eine Verbindung zu einem niedrigeren Niveau - TCP-Ebene.

DNS - Angriff Überschwemmungen

DNS Überschwemmungen - dieser Angriff auf den Internet-Nameserver. Es ist eine große Anzahl von DNS-Abfragen und führt zu der Tatsache zu übertragen, dass die Nutzer haben keine Möglichkeit, den Service-Namen zu kontaktieren und damit die Unmöglichkeit des Betriebs zur Verfügung gestellt normale Benutzer. Opposition: um diesen Angriff zu erkennen ist notwendig , DNS - Serverbelastung zu analysieren und die Quellen der Anfragen zu identifizieren.

DNS - Spoofing - Attacke

Das Ergebnis dieses Angriffs ist es, die verhängten Übereinstimmung zwischen IP-Adressen und Domänennamen in der DNS-Server-Cache zu machen. Als Ergebnis des Erfolgs eines solchen Angriffs alle DNS-Benutzer im Norden wird die falsche Informationen über Domain-Namen und IP-Adressen zu bekommen. Dieser Angriff wird durch eine große Anzahl von DNS-Pakete mit der gleichen Domain-Namen gekennzeichnet. Dies ist aufgrund der Notwendigkeit DNS passend bestimmte Parameter auszutauschen. Opposition: einen solchen Angriff zu erkennen , ist notwendig , um den Inhalt des DNS - Datenverkehr zu analysieren.

Angriff IP - Spoofing (syslog)

Eine große Anzahl von Angriffen auf das Internet-Netzwerk mit der Substitution des ursprünglichen IP-Adresse verbunden ist. Solche Angriffe gilt auch syslog-Spoofing, die auf dem Computer des Opfers Nachrichten im Auftrag eines anderen Computers internen Netzwerk übertragen wird. Da Syslog-Protokoll wird verwendet, indem er falsche Nachrichten an die Opfercomputer die Systemprotokolle zu pflegen können Informationen oder Spuren von nicht autorisierten Zugriff zu verhängen. Opposition: Nachweis von mit der Substitution von IP - Adressen zugeordnet sind Angriffe, möglicherweise unter der Kontrolle des Empfangens an einer der Paketschnittstelle mit einer Quelladresse von der gleichen Oberfläche oder unter der Kontrolle von Paketen auf der externen Schnittstelle mit IP - Adressen , interne Netzwerk empfängt.

Die Einführung eines Pakets

Der Angreifer sendet Pakete an ein Netzwerk mit einem falschen Absender-Adresse. Mit diesem Angriff ist der Angreifer auf Ihrem Computer Verbindung zwischen anderen Computern hergestellt wechseln können. In diesem Fall wird die Zugriffsrechte des Angreifers sind gleiche Rechte des Benutzers, dessen Verbindung zum Server des Angreifers Computer eingeschaltet wurde.

Sniffing - hören Kanal (nur im lokalen Netzwerk - Segment)

Praktisch alle NICs unterstützen das Abfangen von Paketen auf einem gemeinsam genutzten Kanal Netzwerk übertragen werden. Diese Workstation kann Pakete empfangen adressiert an andere Computer im gleichen Netzwerk-Segment. Somit sind alle Informationsaustausch auf einem Netzwerksegment wird zu dem Angreifer zur Verfügung. Für eine erfolgreiche Umsetzung dieses Angriffs, den Computer des Angreifers muss im gleichen LAN-Segment wie der Zielcomputer sein.

Intercept - Pakete auf dem Router

Netzwerksoftware Router hat Zugriff auf alle Netzwerkpakete über den Router übertragen, die Pakete abfangen können. Für diesen Angriff muss der Angreifer einen privilegierten Zugang zu mindestens einem Netzwerk-Router haben. Da der Router in der Regel eine Menge von Paketen übertragen wird, ist die totale Abfangen praktisch unmöglich. Jedoch können auch einige Pakete für eine spätere Analyse durch einen Angreifer erfasst und gespeichert werden. Die effektivste Abhören von FTP-Pakete Passwörter und E-Mail enthalten.

Imposante eine Vielzahl von falschen Weg über das ICMP - Protokoll

Im Internet gibt es Protokoll ICMP (Internet Control Message Protocol), eine Funktion, von denen der Host über die Änderung des aktuellen Router zu informieren. Diese Steuernachricht wird eine Umleitung genannt. Sie können im Netzwerksegment falsch Redirect-Mail im Namen des Routers mit dem Ziel-Host von einem beliebigen Host zu senden. Als Ergebnis ändert der Host die aktuelle Routing-Tabelle und in der Zukunft, die alle Netzwerkverkehr von dem Host stattfinden wird, beispielsweise durch den Host durch falsche Umleitungs-Nachricht sendet. Somit ist es möglich, eine aktive Auferlegung einer falschen Route innerhalb eines Segments des Internet zu implementieren.

WinNuke

Hapyadu normale Datenverbindung über TCP sendet erneut ctandapt ppedustatpivaet auch pepedachu spochnyh (Out-of-Band) Daten. Ha upovnya Dateiformat TCP-Pakete in einem nicht-Null vypazhaetsya Dringlichkeitszeiger. Die meisten PC-Windows ausgeführt ppisutstvuet NetBIOS-Protokoll des Netzes, und die Exzentrizität verwendet für ihre Bedürfnisse 3 IP Popta: 137, 138, 139. Wie sich herausstellte, wenn Sie in 139 popt auf Windows-Rechnern verbinden und einige Bytes outofband Daten zurückschicken, und NetBIOS-pealizatsiya aussetzt oder pepezagpuzhaet Auto nicht zu wissen, was mit diesen Daten poppostu zu tun. Für Windows 95, es sieht in der Regel wie ein blauer Text ek.pana Fehler in TCP / IP-Treiber berichten ist die Unmöglichkeit, Jobs Network OC pepezagpuzki. NT 4.0-Service Packs ohne pepezagpuzhaetsya, NT 4.0-basierten Dienst mit einer zweiten Art von Puck fällt in blau ek.pana. Ein ähnliches Paket 135 und die Daten in einigen anderen Anschlüssen führt zu erheblichen Belastungs RPCSS.EXE Prozessor. Auf NTWS führt dies zu einer erheblichen Verlangsamung, NTS praktisch eingefroren.

Falsch ARP - Server

Im Internet, hat jeder Host eine eindeutige IP-Adresse, die alle Nachrichten von dem Weitbereichsnetzwerk empfängt. Allerdings ist das IP-Protokoll nicht so sehr das Netzwerk als ein Gateway-Protokoll für die Kommunikation zwischen Objekten in einem globalen Netzwerk entwickelt. Die Verbindungsschicht-Pakete werden durch die Hardware-Adresse der Netzwerkkarte gerichtet. Im Internet Protocol ARP ist für Eins-zu-Eins-Entsprechung IP und Ethernet-Adresse (Address Resolution Protocol) verwendet. Zunächst haben die Host kann keine Informationen über die Ethernet-Adressen von anderen Hosts, die mit ihm im gleichen Segment, einschließlich Ethernet-Adresse des Routers. Dementsprechend wird, wenn der erste Zugriff auf die Netzwerkressourcen des Host eine Broadcast-ARP-Anfrage sendet, die von allen Stationen im Netzwerksegment empfangen wird. Nach dem Empfang der Anforderung, sendet der Router an den anfordernden Host ARP-Antwort, die die Ethernet-Adresse informiert. Diese Regelung der Arbeit ermöglicht es einem Angreifer falsche ARP-Antwort zu senden, die sich um den Host zu erklären gesucht (zB ein Router), und weiterhin aktiv den gesamten Netzwerkverkehr "getäuscht" Host überwachen.

Die Vorhersage der TCP - Sequenznummer (IP-Spoofing)

In diesem Fall wird das Ziel der Angreifer - zu tun, als ein anderes System zu sein, die, zum Beispiel, "Vertrauen" System-Opfer. zum Beispiel des Opfers SMTP für das Senden von gefälschten Schreiben zu verwenden - Das Verfahren ist auch für andere Zwecke verwendet. Installation TCP-Verbindung erfolgt in drei Schritten: Der Client wählt und sendet die Server-Sequenznummer (nennen wir es C-SYN), in Reaktion darauf sendet der Server die Client-Datenpaket enthält die Bestätigung (C-ACK) und seiner eigenen Sequenz Servernummer (S-SYN ). Nun muss der Kunde eine Bestätigung (S-ACK) senden. Nachdem diese Verbindung hergestellt ist und die Kommunikation beginnt. Zusätzlich weist jedes Paket einen Header-Feld für die Sequenznummer und bestätigen Nummer. Diese Zahlen steigen in den Austausch von Daten und ermöglichen es Ihnen, die Richtigkeit der Übertragung zu steuern. Nehmen wir an, dass ein Angreifer kann vorhersagen, welche Sequenznummer (S-SYN-Schema) werden an den Server gesendet werden. Dies kann basierend auf der Kenntnis eines bestimmten TCP / IP-Implementierung durchgeführt werden. Zum Beispiel kann der Wert von 4.3BSD Sequenznummer, die bei der Installation der folgenden Werte, wobei jeder zweite erhöht sich um 125.000. Daher sendet ein Paket an den Server verwendet wird, wird der Angreifer in der Lage sein, eine Antwort zu erhalten und (möglicherweise mit mehreren popytkok und Verbindungsgeschwindigkeit eingestellt) vorherzusagen Sequenznummer für die nächste Verbindung. Wenn TCP / IP-Implementierung einen speziellen Algorithmus zur Bestimmung der Sequenznummer verwendet wird, kann es durch Senden von Paketen von mehreren zehn Server und Analysieren der Antwort geklärt werden. Daher gehen wir davon aus, dass System A Trusted System B, so dass B kann der Benutzer "rlogin A" machen und schalten Sie das A, ohne ein Passwort einzugeben. Es sei angenommen, dass ein Angreifer auf dem C-System befindet. Ein System fungiert als Server, das System B und C - als Kunden. Die erste Aufgabe der Eindringling - geben Sie das System B zu einem Zustand, in dem es nicht auf Netzwerkanforderungen reagieren zu können. Dies kann auf verschiedene Weise geschehen, den einfachsten Fall, Sie müssen nur für die B-Neustart des Systems warten. Wenige Minuten, während der es unbrauchbar wird, sollte ausreichend sein. Ein Angreifer könnte versuchen, das System B, so zu tun, für das, was den Zugang zum System A (zumindest kurzfristig) haben würde. Der Angreifer sendet mehrere IP-Paket, welches die Verbindung initiiert, wobei das System A, den aktuellen Status des Servers Sequenznummer zu bestimmen. Der Angreifer sendet IP-Paket, wobei die Absenderadresse bereits Adresse B-System angegeben. Transportables System antwortet mit einer Sequenznummer, die an das System B gesendet wird, Allerdings wird das System B bekommen es nie (es aus dem System abgeleitet ist), wie, ja, und der Angreifer. Es wird jedoch auf der Grundlage der vorherigen Analyse realisiert wurde eine Sequenznummer zu System B gesendet Der Angreifer quittiert "Empfang von" packet von A, B im Namen des Sendepakets an den beabsichtigten S-ACK (beachten Sie, dass, wenn das System in dem gleichen Segment befinden, dass der Angreifer die Sequenz zu bestimmen, Anzahl ausreicht, um das Paket durch das System A gesendet abzufangen). Danach, wenn der Angreifer Glück und Sequenznummer der Server korrekt wurde war erraten, ist die Verbindung hergestellt. Jetzt kann ein Angreifer eine andere gefälschte IP-Paket zu senden, die bereits Daten enthält. Zum Beispiel, wenn der Angriff auf die rsh gerichtet war, kann es Befehle enthalten .rhosts Datei oder das Versenden von / etc / passwd Angreifer per E-Mail zu erstellen. Opposition: einfache IP-Spoofing - Signal wird dazu dienen , Pakete mit internen Adressen, die von der Außenwelt kam. Router-Software kann der Administrator benachrichtigen. Aber wir sollten uns nicht täuschen - der Angriff kann von innerhalb des Netzwerks sein. Bei der Verwendung von mehreren intelligenten Netzwerksteuereinrichtung für einen Administrator (automatischer Modus) Pakete von Systemen überwachen, die der Lage sind, zu erreichen. Doch was verhindert, dass ein Angreifer das System B, die Antwort auf die ICMP-Pakete zu simulieren? Welche Möglichkeiten gibt es, gegen IP-Spoofing zu schützen? Zum einen kann es erraten die Sequenznummer (Schlüsselelement des Angriffs) erschweren oder zu verhindern. Zum Beispiel können Sie die Änderungsrate der Sequenznummer auf dem Server zu erhöhen, oder die Vergrößerung Unfallfolgenummer wählen (vorzugsweise eine kryptographisch starke Algorithmen zur Erzeugung von Zufallszahlen verwendet wird). Wenn Ihr Netzwerk eine Firewall (oder eine andere IP-Paketfilter) verwendet, müssen Sie Regeln, um es hinzuzufügen, in dem alle Pakete, die von außen kommen und eine Absenderadresse aus unserem Adressraum hat, sollte nicht innerhalb des Netzwerks zu übersehen. Darüber hinaus sollte es die Beglaubigungs Maschinen miteinander minimieren. Idealerweise sollte es keinen Weg, um direkt zum nächsten Maschinennetzwerk zu bekommen, root auf einem von ihnen zu gewinnen. Natürlich ist es nicht auf die Nutzung der Dienste zu sparen, die keine Authentifizierung erforderlich ist, beispielsweise IRC (in einem IRC-Kanal können Internet-Angreifer zu jeder Maschine vorgeben und eine Reihe von Befehlen übergeben, um sich einzuloggen, beliebige Nachrichten Ausgabe, etc.). Verschlüsselung TCP / IP-Flow löst im Allgemeinen IP-spoofing'a Problem (mit der Maßgabe, dass ein kryptographisch starke Algorithmen verwendet). Um die Zahl solcher Angriffe zu reduzieren, ist es auch zu filtern Pakete empfohlen Firewall einzurichten, die außerhalb unseres Netzwerks gesendet werden, aber mit Adressen, die zu unserer Adressraum nicht gehören.

Lokale Sturm

Lassen Sie uns auf TCP / IP-Implementierung abschweifen und betrachten "lokale Sturm" am Beispiel des UDP-Sturm. Typischerweise ist das Standardsystem die Arbeit der UDP-Ports als 7 unterstützt (wird als "Echo", das empfangene Paket zurückgeschickt), 19 und andere (Datum usw.) ( "CG" in Reaktion auf das empfangene Paket an den Absender Leitung CG gesendet). In diesem Fall kann ein Angreifer einen einzigen UDP-Sack zu senden, wo Sie den Quellport 7, wie das Ziel angegeben werden - 19 Minuten, und als Zieladresse und der Absender angegeben werden, zum Beispiel zwei Maschinen in Ihrem Netzwerk (oder sogar 127,0. 0,1). Nach dem Empfang des Pakets erfüllt der 19. Port die Zeile, die es in den Hafen geht und sendet ihn zurück zum 19. .. und so weiter bis ins Unendliche 7. Der siebte Port dupliziert. Die endlosen Kreislauf der Maschine Ressourcen zu essen und fügt eine sinnlose Belastung pro Kanal. Natürlich verlor zunächst den Sturm Stop UDP-Paket. Opposition: als eine Verteidigung sollte wieder empfehlen nicht die Netzwerk - Pakete , die von internen Adressen zu verpassen, sondern kam von außen. Es wird auch empfohlen, dass Sie auf der Firewall schließen die meisten Dienste zu nutzen.

IP - Hijacking

Das Verfahren ist eine Kombination aus 'Hören' und IP-spoofing'a. Voraussetzungen - muss ein Angreifer Zugriff auf die Maschine haben, auf dem Straßennetz Fluss befindet und über ausreichende Rechte darauf haben zu generieren und Intercept IP-Pakete. Daran erinnern, dass, wenn die Daten regelmäßig verwendeten Sequenznummer übertragen und bestätigen Nummer (beide Felder sind in der IP-Header). Auf der Basis von ihrem Wert, der Server und der Client überprüft die Richtigkeit des Pakets. Es ist möglich, die Verbindung in einem "desynchronisierte Zustand" zu verabreichen, wenn der Server-Sequenznummer und bestätigen Nummer gesendet werden, nicht mit dem erwarteten znacheniemi Client übereinstimmen, und umgekehrt. In diesem Fall kann der Angreifer, "Hören" Linie über die Funktionen eines Vermittlers übernehmen die richtigen Pakete für den Client und dem Server und Abfangen ihre Antworten zu generieren. Das Verfahren erlaubt es gänzlich auf diese Schutzsysteme umgehen, um, wie Einmalpasswörter, da bereits der Angreifer beginnt, nachdem die Benutzerauthentifizierung erfolgt. Es gibt zwei Möglichkeiten Unsync Verbindung. • Früh Dyssynchronie. Verbindung der sync in der Phase der Installation. Der Angreifer wartet im Netzwerk-Segment, auf dem die Pakete seiner interessanten Sitzung übergeben. Warten auf S-SYN-Paket vom Server sendet der Angreifer einen Typ RST-Server-Paket (Reset), natürlich mit der richtigen Sequenznummer, und sofort durch eine gefälschte C-SYN-Paket, das von dem Client-Nameserver verwirft die erste Sitzung gefolgt und öffnet eine neue auf die gleichen Port, aber mit einer neuen Sequenznummer, und dann sendet der Client eine neue S-SYN-Paket. Der Client ignoriert die S-SYN-Paket, aber der Angreifer auf der Linie hören, sendet der Server die S-ACK-Paket aus dem Namen des Kunden. So sind die Client und Server in einem Zustand gegründet, aber die Sitzung desynchronisiert wird. Natürlich ist 100% der Reaktion in diesem Schema nicht, beispielsweise ist es der Tatsache nicht immun, dass die Straße keine Pakete durch den Angreifer gesendet verloren. Für die korrekte Verarbeitung dieser Situationen muss das Programm kompliziert sein. • Desynchronisation gleich Null. In diesem Fall hört ein Angreifer für Sitzung und an einem gewissen Punkt sendet ein Paket an den Server mit dem "Null" Daten, dh, solche, die tatsächlich auf Anwendungsebene und nicht sichtbar für den Kunden außer Acht gelassen werden (zum Beispiel kann es sich um eine Telnet-Typ Daten IAC IAC NOP NOP IAC NOP ... sein). Ein ähnliches Paket wird an den Client gesendet. Es ist offensichtlich, dass nach diesem Sitzungszustand desynchronisiert wird. ACK-Sturm Ein Problem IP-Hijacking ist, dass jedes Paket, das gesendet wurde, wenn die Sitzung im desynchronisierte Zustand ist ACK genannte Sturm. Beispielsweise auf dem Server und dem Client das Paket Es ist nicht akzeptabel, so dass die Antworten ACK-Paket gesendet. Die Antwort auf diese ist nicht akzeptabel, auch für ein Client-Server-Paket wieder eine Antwort erhält. Und so weiter bis ins Unendliche. Glücklicherweise sind die heutigen Netzwerke auf Technologien aufgebaut, die den Verlust einzelner Pakete erlaubt. Da die ACK-Pakete keine erneute Datenübertragungen tragen nicht auf, und "Sturm nachlässt." Versuche haben gezeigt, dass die mehr ACK-Sturm, desto schneller "beruhigt" sich - bei 10 MB Ethernet diese in Sekundenbruchteilen geschieht. Für unzuverlässige Verbindungen wie SLIP - nicht viel mehr. Erkennung und Schutz Es gibt mehrere Möglichkeiten. Zum Beispiel können Sie eine TCP / IP-Stack implementieren, die den Übergang zu einer desynchronisierte Zustand überwachen, Informationen über die Sequenznummer teilen / quittieren Nummer. Doch in diesem Fall sind wir nicht immun gegen den Angreifer, mich und diese Werte. Daher ist eine zuverlässigere Methode Netzwerkverkehr zu analysieren, Tracking Schwellen ACK-Stürme. Dies kann durch die Verwendung spezieller Mittel für die Netzwerksteuerung realisiert werden. Wenn der Angreifer desynchronisierenden Verbindung aufrechtzuerhalten nicht hart arbeiten, bevor sie zu schließen oder die Ausgabe der Befehle nicht zu filtern, das auch sofort wird für den Benutzer sichtbar. Leider öffnen die überwiegende Mehrheit einfach eine neue Sitzung, ohne an den Administrator zurückzugreifen. Ein hundertprozentiger Schutz gegen diesen Angriff bietet wie immer TCP / IP-Datenverkehr verschlüsselt (auf der Anwendungsebene - Secure Shell) oder Protokollschicht - IPsec). Dies beseitigt die Möglichkeit, den Netzwerkfluss modifiziert wird. Zum Schutz können die PGP-E-Mails verwendet werden. Es sei darauf hingewiesen, dass das Verfahren auf einige spezielle TCP / IP-Implementierungen nicht gut funktioniert. Somit ist trotz der [rfc ...], die in Reaktion auf die Session RST-Paket Systeme erzeugen eine Gegen RST-Paket ein leises Schließen erfordert. Dies macht es unmöglich früher Desynchronisation.

Intrusion Detection und Schutz gegen sie

• Zur Erkennung von Angriffen Broadcast Aktivität analysieren können - es UDP-Pakete, NBF, SAP. • Um das interne Netzwerk zu schützen, um Internet'u verbunden ist, nicht von den externen eingehenden Pakete zu verpassen, deren Quelle ist das interne Netzwerk-Adresse. Sie können Pass-Pakete nur auf Port 80. • Legen Sie die Paketfilterung lassen, falls erforderlich (nicht vernachlässigen sogar
Control Panel \ Network \ Protokolle \ Properties \ Erweitert in Windows NT).

Scan - Methoden

Mit Hilfe der ARP

Diese Art der Anfrage kann von Angreifern genutzt werden, um die Betriebssysteme auf dem lokalen Netzwerksegment zu bestimmen.

Scannen Netzwerk von DNS

Es ist bekannt, dass vor dem Angriff beginnen, die Angreifer die Identifizierung von Zielen durchgeführt, dh Identifizierung Computer, die Opfer des Angriffs sind, sowie Computer, die mit einem Opfer kommunizieren. Eine Möglichkeit, die Ziele zu identifizieren, ist die Servernamen abzufragen und ihm alle verfügbaren Informationen über die Domain zu bekommen. Opposition: für die Bestimmung eines solchen Scans ist notwendig , DNS-Anfragen (Adresse Name) kommt vielleicht von anderen DNS - Servern, sondern für einen bestimmten, festgelegten Zeitraum zu analysieren. Es ist notwendig, diese Art von Informationen in ihnen zu sehen ist, übertragen und Sortier Adressen verfolgen.

UDP Bombe

Scannen Netzwerk von Ping Sweep

Ping-Sweep oder Identifizierung mit ICMP-Protokoll ist eine wirksame Methode.

Opposition: zu bestimmen , ob die Ping-Scan - Zielen innerhalb eines Subnetz befinden, müssen Sie die Quell- und Zieladresse der ICMP - Pakete zu analysieren.

Scannen TCP - Ports

Port-Scanning ist ein bekannter Computer und verfügbare Dienste Konfiguration Erkennungsverfahren. Es gibt verschiedene Methoden der TCP Scanning, einige von ihnen geheimnisvoll genannt (Stealth), weil sie in den meisten modernen Betriebssystemen Schwachstellen in TCP / IP-Stack-Implementierungen nutzen und nicht durch Standardmittel nachgewiesen. Opposition: Kontern durchgeführt werden, beispielsweise TCP - Pakete mit dem RST - Flag Übertragung im Namen des gescannten Computer an den Computer des Angreifers.

Scannen UDP - Ports

Eine andere Art von Port-Scanning auf UDP-Protokoll basiert und ist wie folgt: auf dem gescannten Computer übertragen wird UDP-Paket an einen Port adressiert, die auf Verfügbarkeit geprüft wird. Wenn der Port nicht verfügbar ist, dann kommt die Antwort ICMP nicht erreichbar Nachricht (Ziel-Port nicht erreichbar), ansonsten gibt es keine Antwort gibt. Diese Art der Abtastung ist sehr effektiv. Es ermöglicht eine kurze Zeit alle Ports auf dem infizierten Computer zu scannen. Opposition: entgegenzuwirken , diese Art von Scan möglich ist , durch Port - Messaging unerreichbar auf den Computer des Angreifers.

Stealth-Scan

Das Verfahren ist auf dem falschen Netzwerk-Code basiert, so können wir nicht garantieren, dass es in einer bestimmten Situation gut funktionieren wird. Verwendet TCP-Pakete mit der FIN-ACK- und Fahnen. Sie sollten so verwendet werden, wenn ein solches Paket an den Port an der ungeöffnet Verbindung gesendet wird, immer ein RST-Paket zurück. Es gibt mehrere Methoden, die verwendet werden bedeutet dies: • Senden Sie FIN-Pack. Wenn der empfangende Host RST zurückgibt, dann wird der Port inaktiv ist, wenn die RST nicht zurückgegeben wird, dann wird der Port aktiv ist. Diese Methode funktioniert in den meisten Betriebssystemen. • Senden ACK-Paket. Wenn der TTL von Paketen zurück weniger als der Rest der empfangenen RST-Paketen, oder, wenn die Fenstergröße größer als Null ist, ist es wahrscheinlich, daß der Port aktiv ist.

Passive Scanning

Der Scanvorgang wird häufig von Hackern verwendet, um herauszufinden, was TCP-Ports Dämonen betreiben, reagiert auf Anfragen aus dem Netz. Die übliche Anti-Virus-Scanner-Serie bietet Verbindungen zu verschiedenen Häfen. In dem Fall, wo die Verbindung hergestellt ist, setzt das Programm es, Information der Angreifer Portnummer. Dieses Verfahren ist leicht erkannt angeblich Dämonen überrascht Interrupt unmittelbar nach der Verbindung, oder durch spezielle Software. Die meisten dieser Programme sind einige Versuche unternommen Elemente künstliches Element einzuführen versucht in Überwachung zu den verschiedenen Anschlüssen zu verbinden. Allerdings kann ein Angreifer eine alternative Strategie verwenden - eine passive Überprüfung (der englische Begriff "passive scan"). Wenn Sie es, sendet der Angreifer eine TCP / IP-SYN-Paket an alle Ports in einer Reihe (oder einem festgelegten Algorithmus). Für TCP-Port von Host-Verbindungen von außen, wird es zurückgegeben SYN / ACK-Paket als eine Einladung sein, um die 3-Wege-Handshake, um fortzufahren. Der Rest wird wieder RST-Pakete. Nachdem die Datenantwort zu analysieren, verstehen kann der Angreifer das Programm schnell auf beliebigen Ports laufen. Als Reaktion auf die SYN / ACK-Pakete können auch RST-Pakete reagieren, was darauf hinweist, dass die Verbindung Setup-Prozess wird nicht fortgesetzt wird (in der Regel die RST-Pakete TCP / IP-Implementierung des Angreifers automatisch reagieren, wenn er nicht spezielle Maßnahmen ergreift). Das Verfahren ist nicht durch frühere Verfahren nachgewiesen, da die tatsächliche TCP / IP-Verbindung nicht aufgebaut ist. Jedoch (je nach dem Verhalten des Angreifers) kann stark die Anzahl der Sitzungen erhöht nachverfolgt werden, die in SYN_RECEIVED Zustand sind. (Vorausgesetzt, dass der Angreifer nicht RST nicht zurückschicken) empfängt von der Client-RST-Paket als Antwort auf eine SYN / ACK. Leider zu erkennen, sehr clever Eindringling Verhalten (zum Beispiel Scannen mit niedriger Geschwindigkeit oder eine bestimmte Inspektionsöffnungen) passives Scannen nicht möglich ist, da es sich nicht anders als herkömmliche Versuche ist es, eine Verbindung herzustellen. Als Schutz kann nur auf der Firewall raten alle Dienste zu schließen, zu dem Zugang von außen nicht erforderlich ist.

Die Einladungssystem und das Risiko der darin enthaltenen Informationen

Es ist notwendig, die zu entfernen "Einladungssystem" angezeigt einen zentralen Computer auf den Remote-Access-Terminals für die Benutzeranmeldung. Diese Anforderung ist aufgrund der folgenden Gründe: • "die Aufforderung" in der Regel enthält Informationen, die es einem Angreifer ermöglicht, den Typ und die Version des Haupt-PC-Betriebssystem Art von Software Remote-Zugriff usw. Solche Informationen zu identifizieren, kann die Aufgabe, das Eindringen des Systems erheblich vereinfachen, weil der Täter kann. Einsatz illegaler Mittel für den Zugang, eine spezifische Schwäche des Systems; • "Einladungssystem" bezieht sich allgemein auf ein System von Abteilungszugehörigkeit. In dem Fall, in dem das System durch eine geheime Agentur oder die Finanzstruktur gehört, könnte der Täter das Interesse deutlich erhöhen; • Die jüngste Studie wies die Klage einer Person, die illegal in das Firmennetz eingedrungen, weil sie durch die Inschrift auf dem Terminal-Remote-Zugriff auf einen zentralen Computer "Welcome to ..." ( "Welcome to ...") sein Handeln motiviert.

Einige Räte bei Netzwerkforschung

• Scannen Sie den Server für offene Ports und Dienste. • Versuchen Sie, den Server zu gehen namens IUSR_ <Hostname mit Kugeln> • Versuchen von Sam._ / REPAIR zu stehlen (Passwörter von SAM entstehen, das Team zu erweitern). • Verzeichnisse / Scripts und / cgi-bin, wie Sie wahrscheinlich viele in der NT kennen, können Sie alle Dateien aus diesen Verzeichnissen laufen, so sicher sein, Zugriff auf diese Verzeichnisse zu schließen. Launching ist wie so (wenn die ausführbare Datei im Verzeichnis / Scripts) von brovzera - http: //www.idahonews/scripts/getadmin.exe Test ?. Sie können adminovskie Rechte erhalten wie folgt: - beugen einige der / Skripte werden unter dem Benutzer yuzerneym nicht ausgeführt, und ab dem Web-Konto, von dem kann geschlossen werden, dass das Admin-Passwort elementaren sdampit Registrierung mit PWDUMP.exe sein kann. • Beachten Sie, dass von den / scripts Programme laufen unter der Web-Konto und nicht unter dem Benutzerkonto ausgeführt. Daher können Sie sdampit Passwörter aus der Registrierung mit PWDUMP.EXE versuchen. Passwörter werden verschlüsselt. In diesem Fall speichern Sie die Seite als Textdatei und versuchen, die Passwörter mit Brute-Force-Programm zu entschlüsseln. • Unter dem Administratorkonto können auf den Aliasnamen ftp und http geändert werden.

Einige andere Möglichkeiten der Gewinnung von Informationen

• Mit einem whois oder NSLOOKUP herausfinden, wer das Netzwerk besitzt die alternativen Namen zu bestimmen. Denken Sie daran, den Bereich der IP-Adressen für die spätere Scannen. • Gehen Sie zum nächsten Router und alles zu erfahren. Um den Router notwendig finden zu verfolgen es den ganzen Weg, um die IP-Adresse des erfassten Bereichs. Der lokale Router wird durch die Reaktionszeit bestimmt. • Versuchen Sie, den Router Telnet zu gehen. • Führen Sie den Scanner IP-Adressbereich zur Erfassung auf dem PC-Dienste ausgeführt werden.

Löcher und Verwaltung Fehler in Windows NT

• Betrachten Sie die Verwundbarkeit im Zusammenhang mit einem Fehler in der Implementierung des Systems. Diese Sicherheitsanfälligkeit führt zu der Möglichkeit eines Angriffs, genannt GetAdmin. Vulnerability ist ein Systemdienst NtAddAtom, nicht überprüfen Sie die Parameter an sie übergeben, und das Setzen von Bit 0 bei NtGlobalFlag + 2. Um dies zu tun, öffnen Sie die Datei Ntoskrnl.exe und finden Einstiegspunkt in NtAddAtom. Das Setzen dieses Bits deaktiviert Privilegien Überprüfung Debugger NtOpenProcess und NtOpenThread. Somit hat jeder Benutzer das Recht vor, jeden Prozess im System zu öffnen. Angriff öffnet den Prozess und der Winlogon-Prozess bettet dll zu. Da dieser Dienst SYSTEM-Privilegien hat, kann er einen Benutzer der Administrator-Gruppe hinzufügen, oder sie aus der Gruppe zu entfernen. Theoretisch gibt es andere Sicherheitsverletzung. • Eines der beliebtesten Methoden auf ein System zuzugreifen - Passwort zu erraten. Um dies zu bekämpfen, setzen in der Regel die Sperre des Benutzerkontos nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche. Eine angenehme Ausnahme ist das Administrator-Konto. Und wenn er den Zugang zum Eingang über ein Netzwerk hat, öffnet es ein Schlupfloch für einen erholsamen Passwort zu erraten. Zum Schutz, benennen Sie die Benutzer von Administrator, stellen Sie die Kontosperrung, Administrator-Anmeldung über ein Netzwerk zu deaktivieren, um die Übertragung von SMB-Paketen über TCP / IP (Port 137.138.139) zu verbieten, setzen Sie die Protokollierung von fehlgeschlagenen Logins.

Spam

Spammers podyschut ihre Junk-Mail nicht nur der ISP zu beginnen Senden ist, und wird wahrscheinlich ein Unternehmen zu wählen, weil Internet-Provider ist es leichter zu verstehen, was passiert ist, und er könnte in der Lage sein, diese Botschaften loszuwerden. Von Zeit zu Zeit kann wiederholt Spamming legitime Benutzer stören aufgrund einer Überlastung des Mail-Servers. Das Problem ist, dass an den SMTP-Server zu verbinden, ist nicht so schwierig. Um dies zu tun, müssen Sie nur 7-8 Teams kennen zu der SMTP-Server begann Ihre Botschaft zu verbreiten. Zum Schutz vor dieser möglichen Adressen der eingehenden Nachrichten zu überprüfen, um die Datenbank der registrierten Nutzer der Server-Daten. Wenn die Adresse des Absenders oder Nachricht einer von ihnen Adresse angefordert nicht aufgeführt ist, E-Mail wird nicht mit anderen geteilt werden.

Wie das Mail - System von Spammern zu schützen

• Wenn Sie nicht lesen, Log-Dateien, werden die Spammer ungestraft handeln. • Programm alle bis auf einen der Mail-Server Ihres Unternehmens, so dass sie hatten auf eine Anfrage reagieren nicht zum Senden von Nachrichten. Der verbleibende Server muss sorgfältig auswählen, IP-Adressen. • Halten Sie alle E-Mail-Server, die Anfragen für Message-Passing annehmen können, Ihrer Firewall in Reichweite.

Wie Spammer

• Das Ziel wird ausgewählt - macht der Spammer eine zufällige Wahl des Domain-Namens des Unternehmens und dann schätzt den Namen des Host-Sentry SMTP-Server. Wenn der Server-Mail akzeptiert, fragt der Spammer ihm die Nachricht an die Adressliste zu verbreiten. • Der Server die Abfrage ausgeführt wird, den Eindruck zu erwecken, dass die Nachricht mit der IP-Adresse des Opfers geht.

Holes IIS, WWW, FTP

• Der Absender eine falsche Adresse in der folgenden Art und Weise verlassen kann: Der Absender kann er mit SMTP-Port auf dem Rechner zu verbinden, dessen Namen will er einen Brief zu schicken, und den Text des Buchstaben eingeben. • FTP-Dienst ermöglicht es Ihnen, einen passiven Verbindungsanschluss zu installieren, auf der Grundlage der Adresse angegeben durch den Auftraggeber. Dies kann von einem Angreifer verwendet werden, um Befehle gefährlichen FTP-Dienst zu erteilen. Die Registrierung enthält einen Schlüssel: <HKLM \ System \ CurrentControlSet \ Services \ MSFTPSVC \ Parameters> mit dem Wert <EnablePortAttack: REG_DWORD:> Stellen Sie sicher, dass der Wert auf "0" gesetzt wird anstelle von "1". • Wenn Sie per Telnet auf Port 80, der Befehl "GET ../ .." connect IIS wird zum Zusammenbruch führen und post "Die Anwendung, exe \ inetinfo.dbg, hat einen Programmfehler Der Fehler am Tag @ Zeit aufgetreten Die Ausnahme generiert wurde 53984655. • Adresse bei der Adresse C0000005 'http://www.domain.com/scripts .. \ .. \ skript "können Sie das angegebene Skript auszuführen. Standardbenutzer ist Gast oder IUSR_WWW hat alle Dateien in allen Ordnern lesen. Damit diese Dateien angezeigt werden können, heruntergeladen und gestartet. • Verzeichnis \ script \ cgi-bin sollte wegen geschlossen werden dieser Verzeichnisse können Sie beliebige Dateien direkt aus browser'a Fenster ausgeführt. • Während der IIS-Anforderung für Gebühren in einer sehr langen URL (4 - 8 KB) Server hängt und reagiert nicht auf die weitere Anforderung für Gebühren. Probleme, die die genaue Größe der URL auf dem Server abhängig ist, so dass Programme wird mit einigen grundlegenden Abfrage Größe Killer beginnen und nach und nach die Größe der Erhöhung versuchen, den kpiticheskuyu Punkt zu finden, die die zheptvu wird-Server hängen. • Outlook Express 98 Benutzer haben mit der Tatsache zu rechnen, dass der Mailer verarbeiten kann, einschließlich der Leistung Visual-Basic-Skripte, die leicht in den Buchstaben versteckt werden kann. Dieses Skript hat vollen Zugriff auf das Dateisystem. Echtschutz kann nur auf "Maximum" auf "Sicherheit" in der Outlook gesetzt werden. • Wenn der Chat-Eintrag HTML-Tag erlaubt ist, niemand verletzt einfügen in Ihre Nachricht so etwas wie <img src = "http://www.mysite.com/cgi-bin/sniffer.cgi">. Als Ergebnis jeder im Chat (nicht registriert) wird, ohne es zu wissen, führen Sie das Skript. • Beschränken Sie den Zugriff auf Port 25 nur für bestimmte Benutzer.