Мрежова сигурност и мрежови атаки

Мрежова сигурностМрежова сигурности мрежови атакии мрежови атаки

Добре дошли!Добре дошли!

http://www.nedyalkov.com/security/

Атанас БъчваровАтанас Бъчваров Васил КолевВасил Колев Георги ЧорбаджийскиГеорги ЧорбаджийскиНиколай НедялковНиколай Недялков Петър ПенчевПетър Пенчев Светлин НаковСветлин Наков

Климентови дни в СУ "Св. Климент Охридски" – 26.11.2003Климентови дни в СУ "Св. Климент Охридски" – 26.11.2003

2

Относно настоящата лекцияОтносно настоящата лекция

• Настоящата демонстрационна Настоящата демонстрационна лекция е част от курса “Мрежова лекция е част от курса “Мрежова сигурност”, четен във ФМИ на СУсигурност”, четен във ФМИ на СУ

• Обхваща темата “Мрежови атаки Обхваща темата “Мрежови атаки върху datalink, network и transport върху datalink, network и transport слоевете от OSI мрежовия модел”слоевете от OSI мрежовия модел”

• Лектори ще бъдат експерти от Лектори ще бъдат експерти от екипа на курса “Мрежова екипа на курса “Мрежова сигурност”сигурност”

3

ЛекториЛектори

Атанас БъчваровАтанас Бъчваров• Системен и мрежов администраторСистемен и мрежов администратор

• Системен програмистСистемен програмист

• Състезател по информатикаСъстезател по информатика

• Специалист по Специалист по UNIX OSUNIX OS. Занимава се с . Занимава се с UNIX UNIX от 1994 (от 1994 (System V/286)System V/286)

• Старши системен администратор в Старши системен администратор в голяма българска компанияголяма българска компания

• Проектирал и изградил мрежовата й Проектирал и изградил мрежовата й инфраструктура и много вътрешни инфраструктура и много вътрешни решениярешения

4


Васил КолевВасил Колев• Системен и мрежов администратор Системен и мрежов администратор

от 1996от 1996

• Програмист и сПрограмист и състезател по ъстезател по информатика от 1992информатика от 1992

• Приет за студент във ФМИ от Приет за студент във ФМИ от олимпиада по информатикаолимпиада по информатика

• Технически директор в Технически директор в IInternet nternet компания от 2001компания от 2001

5


Георги ЧорбаджийскиГеорги Чорбаджийски• Системен и мрежов администратор от Системен и мрежов администратор от

19961996

• Технически директор и съдружникТехнически директор и съдружник в в Unix Unix SSolutionsolutions – – http://unixsol.org/

• Компанията еКомпанията е основен технически основен технически консултант и изпълнител по проекта консултант и изпълнител по проекта за изграждане на оптична (за изграждане на оптична (MANMAN) ) мрежа в гр. София и странатамрежа в гр. София и страната

• Член на “Сдружение свободен Член на “Сдружение свободен софтуер”софтуер”

6


Петър ПенчевПетър Пенчев• Системен и мрежов администратор от 1998Системен и мрежов администратор от 1998

• Програмист от 1995, еПрограмист от 1995, един от дин от разработчиците на операционната система разработчиците на операционната система FreeBSDFreeBSD

• Проектирал и изградил националната Проектирал и изградил националната мрежова инфраструктура на Office 1 мрежова инфраструктура на Office 1 SuperstoreSuperstore

• Участвал в проектирането и изграждането Участвал в проектирането и изграждането на dial-up системата на 0rbitelна dial-up системата на 0rbitel

7


Светлин НаковСветлин Наков• Консултант по разработка на софтуерКонсултант по разработка на софтуер• Състезател по информатика от 1992Състезател по информатика от 1992• Медалист от няколко международни Медалист от няколко международни

олимпиади по информатикаолимпиади по информатика• Приет за студент във ФМИ от олимпиадаПриет за студент във ФМИ от олимпиада• Автор на десетки статии в български и Автор на десетки статии в български и

чуждестранни издания, свързани с чуждестранни издания, свързани с алгоритми, софтуерни технологии и алгоритми, софтуерни технологии и мрежова сигурностмрежова сигурност

• Хоноруван преподавател в ФМИ на СУХоноруван преподавател в ФМИ на СУ• Спечелил стипендията “Джон Атанасов” за Спечелил стипендията “Джон Атанасов” за

високи постижения в компютърните наукивисоки постижения в компютърните науки

8


Николай НедялковНиколай Недялков• Програмист и състезател по Програмист и състезател по

информатика от 1995информатика от 1995

• Спечелил студентски права от Спечелил студентски права от олиампиадата по информатикаолиампиадата по информатика

• Проектирал и реализирал Проектирал и реализирал инфраструктурата за сигурност по инфраструктурата за сигурност по проекти на български министерства и проекти на български министерства и чужди компаниичужди компании

• Организатор на курсовете Организатор на курсовете “Мрежова “Мрежова сигурност” във ФМИ през сигурност” във ФМИ през 2002 и 20032002 и 2003

9

За курса “Мрежова За курса “Мрежова сигурност”сигурност”

• Курсът “Мрежова сигурност” е изборна Курсът “Мрежова сигурност” е изборна дисциплина към ФМИ на СУдисциплина към ФМИ на СУ

• Целта на курса е да запознае аудиторията Целта на курса е да запознае аудиторията с:с:• Основните принципи за сигурност в локални Основните принципи за сигурност в локални

мрежи и Интернетмрежи и Интернет

• Основните протоколи и услуги, използвани Основните протоколи и услуги, използвани в компютърните мрежи и тяхната сигурноств компютърните мрежи и тяхната сигурност

• Начини за защита на компютърни мрежи и Начини за защита на компютърни мрежи и предпазване от евентуални атакипредпазване от евентуални атаки

• Курсът е най-предпочитаната изборна Курсът е най-предпочитаната изборна дисциплина във факултетадисциплина във факултета

• Избран е от повече от 500 студентаИзбран е от повече от 500 студента!!

10

План на лекциятаПлан на лекцията

• Въведение. Цели на демонстрацията. Въведение. Цели на демонстрацията. Необходими знания и уменияНеобходими знания и умения

• Описание на тестовата мрежова Описание на тестовата мрежова инфраструктураинфраструктура

• Демонстрация на атаките:Демонстрация на атаките:• На На datalinkdatalink слоя – слоя – ARP poisoningARP poisoning, , SniffingSniffing

• На network слоя – IPID атаки (На network слоя – IPID атаки (idle scan)idle scan)

• На На transporttransport слоя – слоя – TCPTCP killkill, , TCPTCP nicenice, , SYN SYN floodflood, , Blind TCP spoofingBlind TCP spoofing

• На На applicationapplication слоя – DNS spoof слоя – DNS spoof

• Дискусия – веднага след Дискусия – веднага след демонстрациитедемонстрациите

11

ВъведениеВъведение

• Цели на демонстрациятаЦели на демонстрацията• Запознаване с често срещани атаки Запознаване с често срещани атаки

върху datalink, network и transport върху datalink, network и transport слоевете от OSI мрежовия моделслоевете от OSI мрежовия модел

• Необходими знания и уменияНеобходими знания и умения• Основни познания по компютърни Основни познания по компютърни

мрежи и протоколите TCP/IPмрежи и протоколите TCP/IP

• Не злоупотребявайте!Не злоупотребявайте!• Демонстрацията на атаките е Демонстрацията на атаките е

изключително и само с учебна целизключително и само с учебна цел

• Не злоупотребявайте с придобитите Не злоупотребявайте с придобитите знаниязнания

12

Относно тестовата Относно тестовата мрежова инфраструктурамрежова инфраструктура

• Разполагаме с 4 компютъра, свързани в Разполагаме с 4 компютъра, свързани в локална мрежалокална мрежа посредством посредством switch:switch:• server – 10.0.1.14 – gatewayserver – 10.0.1.14 – gateway – – DNS, POP3, FTP, WWWDNS, POP3, FTP, WWW• attacker – 10.0.1.190attacker – 10.0.1.190• wwin9xin9x – 10.0.1.186 – SMTP – 10.0.1.186 – SMTP• client – 10.0.1.185client – 10.0.1.185

13

План за демонстрациитеПлан за демонстрациите

• За всяка атака ще разгледаме:За всяка атака ще разгледаме:

• Цел на атакатаЦел на атаката

• Необходими условияНеобходими условия

• Теоретично обяснениеТеоретично обяснение

• Схематично представяне и Схематично представяне и участнициучастници

• ИнструментиИнструменти

• Начини за защитаванеНачини за защитаване

• Проиграване на атакатаПроиграване на атаката ( (на живона живо))

14

Начало на демонстрациятаНачало на демонстрацията

15

Слой Слой datalinkdatalink от от OSIOSI модела модела

• Слоят Слоят datalink datalink отговаря за логическата отговаря за логическата организация на битовете данни, които организация на битовете данни, които се прехвърлят по дадена преносна се прехвърлят по дадена преносна средасреда

• Например в Например в Ethernet Ethernet мрежа мрежа datalinkdatalink слоят се грижи за:слоят се грижи за:• Изпращане и получаване на Изпращане и получаване на Ethernet framesEthernet frames

• Адресирането става по Адресирането става по MAC MAC адреса на адреса на мрежовия адаптермрежовия адаптер

• Атаките, които работят на Атаките, които работят на datalink datalink слоя,слоя, се прилагат в локални мрежи се прилагат в локални мрежи

16

ARP PoisoningARP Poisoning

• Предварителна подготовкаПредварителна подготовка

• Разликата между Разликата между switch switch ии hub hub

• HubHub устройствата са най-обикновени устройствата са най-обикновени

повторители – разпращат получените повторители – разпращат получените

пакети към всичките си портовепакети към всичките си портове

• SwitchSwitch устройствата са по- устройствата са по-

интелигентни и изпращат интелигентни и изпращат

получените пакети само до порта, на получените пакети само до порта, на

който е свързан техния получателкойто е свързан техния получател

17


• Цели на атакатаЦели на атаката::• Да се промени маршрута на чужд Да се промени маршрута на чужд

мрежов трафик в мрежов трафик в EthernetEthernet локална локална мрежа, така че да преминава през мрежа, така че да преминава през атакуващата машинаатакуващата машина

• Подслушване на чужд мрежов трафик Подслушване на чужд мрежов трафик ((sniffing)sniffing)

• Възможност за промяна на чуждия Възможност за промяна на чуждия мрежов трафик, преминаващ през мрежов трафик, преминаващ през атакуващия (атакуващия (man in the middle)man in the middle)

• Използва се за осъществяване на много Използва се за осъществяване на много други мрежови атакидруги мрежови атаки

18


• Необходими условия:Необходими условия:• Ethernet Ethernet локална мрежалокална мрежа

• Свързаността може да е чрез Свързаността може да е чрез hub hub или или switchswitch – за атаката няма значение – за атаката няма значение

• Мрежата трябва да няма ефективна Мрежата трябва да няма ефективна защита срещу тази атака – така е в защита срещу тази атака – така е в почти всички почти всички EthernetEthernet мрежи мрежи

• Операционните системи нямат Операционните системи нямат значениезначение

• В някои операционни системи има В някои операционни системи има някаква защита, но тя не е ефективнанякаква защита, но тя не е ефективна

19


•Теоретично обяснениеТеоретично обяснение::• Атакуващият изпраща Атакуващият изпраща

фалшифицирани (фалшифицирани (spoofed) ARPspoofed) ARP пакети към машината-жертва и към пакети към машината-жертва и към gateway-gateway-а в мрежата и чрез тях а в мрежата и чрез тях отклонява трафика между тях през отклонява трафика между тях през себе сисебе си

• Възможно е да се отклони трафика Възможно е да се отклони трафика между произволни две машини от между произволни две машини от локалната мрежалокалната мрежа

• Жертвата не знае, че изпращайки Жертвата не знае, че изпращайки пакети към своя пакети към своя gatewaygateway, те , те преминават първо през атакуващияпреминават първо през атакуващия

20


21


• Инструменти за провеждане Инструменти за провеждане на атакатана атаката

• arpspoofarpspoof

• tcpdumptcpdump

22


Демонстрация на атакатаДемонстрация на атакатаARP PoisoningARP Poisoning

23


• Начини за защитаНачини за защита

• Разпознаване на Разпознаване на ARP PoisoningARP Poisoning атакаатака

• arparp

• ping -rping -r

• traceroutetraceroute

• Проблем: Атаката може добре да Проблем: Атаката може добре да се прикриесе прикрие

24


• Начини за защитаНачини за защита• Ефективна защита е възможна като Ефективна защита е възможна като

се използвасе използва m managed switch с филтри, anaged switch с филтри, който спира подправенитекойто спира подправените ARP ARP пакетипакети

• MManaged anaged switch-ътswitch-ът знае за всеки порт знае за всеки порт правилните правилните MAC MAC и и IPIP адреси и не адреси и не допуска измамидопуска измами

• Много скъпо устройствоМного скъпо устройство

• Статична Статична ARPARP таблица на всички таблица на всички машини в мрежата – трудно за машини в мрежата – трудно за реализация и поддръжкареализация и поддръжка

25


• Разпознаване на Разпознаване на ARP PoisoningARP Poisoning атака атака

• arparp• Командата Командата arp arp показва съдържанието показва съдържанието

на локалния на локалния ARPARP кеш – съответствието кеш – съответствието между между IPIP и и MACMAC адреси адреси

• Можем да видим, че няколко машини в Можем да видим, че няколко машини в локалната мрежа имат еднакъв локалната мрежа имат еднакъв MAC MAC адресадрес

• Проблем: възможно е само в нашата Проблем: възможно е само в нашата локална мрежалокална мрежа

• Проблем: Атакуващата машина може Проблем: Атакуващата машина може да няма адрес в локалната мрежада няма адрес в локалната мрежа

26


• Разпознаване на ARP Poisoning атакаРазпознаване на ARP Poisoning атака

• ping -rping -r• Командата Командата ping -r ping -r изпраща изпраща ICMP ICMP пакети с включен пакети с включен

““record routerecord route”” флаг в флаг в IP IP хедърахедъра

• Можем да видим, че нашият трафик минава през Можем да видим, че нашият трафик минава през съмнителна машинасъмнителна машина ( (при не повече от 8 машини)при не повече от 8 машини)

• Проблем: атакуващият може да изключи “Проблем: атакуващият може да изключи “record record routeroute” опцията от ядрото си и да стане прозрачен:” опцията от ядрото си и да стане прозрачен:

• Премахване на Премахване на “record route” “record route” опцията от опцията от Linux Linux ядрото – ядрото – http://vasil.ludost.net/22mx1.patch

• При При FreeBSD FreeBSD може да се включи IPSTEALTH може да се включи IPSTEALTH опцията на ядротоопцията на ядрото

27


• Разпознаване на ARP Poisoning атакаРазпознаване на ARP Poisoning атака

• traceroutetraceroute• Командата Командата traceroute traceroute проследява пътя проследява пътя

на пакетите между две машинина пакетите между две машини

• Можем да видим, че нашият трафик Можем да видим, че нашият трафик минава през съмнителна машинаминава през съмнителна машина

• Проблем: атакуващият може да стане Проблем: атакуващият може да стане прозрачен за прозрачен за traceroute traceroute чрез чрез ipt_TTL ipt_TTL ((http://www.iptables.org/)) или с опцията или с опцията IPSTEALTH IPSTEALTH под под FreeBSDFreeBSD

28


Демонстрация на начините за Демонстрация на начините за откриване на атаката откриване на атаката ARP PoisoningARP Poisoning

и начините за маскирането йи начините за маскирането й

29

Анализ на чужд мрежов Анализ на чужд мрежов трафиктрафик

• Цели на атакатаЦели на атаката::• Да се подслуша чужд мрежов трафик и да Да се подслуша чужд мрежов трафик и да

се извлече информация от негосе извлече информация от него

• Може да се придобие информация, Може да се придобие информация, полезна за много други атакиполезна за много други атаки

• Може да се придобие конфиденциална Може да се придобие конфиденциална информация (пароли за достъп)информация (пароли за достъп)

• Необходими условия:Необходими условия:• Локална мрежа, в която да има Локална мрежа, в която да има

възможност да се подслушва трафика или възможност да се подслушва трафика или трафикът да минава през атакуващиятрафикът да минава през атакуващия

30


• Ако чуждият мрежов трафик Ако чуждият мрежов трафик достига по някакъв начин до достига по някакъв начин до атакуващия, той може да го атакуващия, той може да го подслушаподслуша

• Инструменти за провеждане на Инструменти за провеждане на атакатаатаката

• EtherealEthereal



31

• Начини за защита:Начини за защита:

• Защита в локалната мрежаЗащита в локалната мрежа• Не използваме Не използваме hub-овеhub-ове

• Не допускаме възможност за Не допускаме възможност за ARP ARP poisoningpoisoning атака атака

• Реална защитаРеална защита• Използваме криптографска защита Използваме криптографска защита

на трафика (на трафика (VPN, SSL, PGPVPN, SSL, PGP))


32

• Демонстрация на атаката Демонстрация на атаката “подслушване на чужд трафик “подслушване на чужд трафик по мрежата”по мрежата”


33

DNS SpoofingDNS Spoofing

• DNS DNS е много важна услуга в Интернете много важна услуга в Интернет

• Атаката е върху Атаката е върху network network и и application application слоевете от слоевете от OSI OSI мрежовия моделмрежовия модел

• Цели на атаката:Цели на атаката:• Атакуващият се представя за друга Атакуващият се представя за друга

машина (например някой машина (например някой Web Web сървър) и сървър) и пренасочва трафика за тази машина към пренасочва трафика за тази машина към себе сисебе си

• Необходими условия:Необходими условия:• Трафикът на жертвата трябва да Трафикът на жертвата трябва да

преминава през машината на атакуващия – преминава през машината на атакуващия – например като резултат от например като резултат от ARP spoofing ARP spoofing атакаатака

34



• Жертвата изпраща заявка за Жертвата изпраща заявка за намиране на намиране на IPIP адреса по името адреса по името на дадена машинана дадена машина

• Атакуващият прихваща заявката Атакуващият прихваща заявката и връща неверен отговор и връща неверен отговор (собственото си (собственото си IP)IP)

• Жертвата не подозира, че Жертвата не подозира, че комуникира не с търсената комуникира не с търсената машина, а с атакуващата машинамашина, а с атакуващата машина

35


36


• Инструменти за провеждане Инструменти за провеждане на атакатана атаката

• DNSspoofDNSspoof


37

• Начини за защитаНачини за защита

• Защита в локалната мрежаЗащита в локалната мрежа• Не използваме Не използваме hub-овеhub-ове

• Не допускаме възможност за Не допускаме възможност за ARP ARP poisoningpoisoning атака атака

• Реална защитаРеална защита• Използване на протокола Използване на протокола DNSSECDNSSEC, ,

който има криптографска защитакойто има криптографска защита


38


Демонстрация на атакатаДемонстрация на атакатаDNS SpoofingDNS Spoofing

39

Слой Слой networknetwork от от OSIOSI модела модела

• Слоят Слоят network network дефинира по какъв начин дефинира по какъв начин чрез последователност от обмяна на чрез последователност от обмяна на framesframes от от datalink datalink слоя могат да се пренасят данни слоя могат да се пренасят данни между две машини в мрежамежду две машини в мрежа

• Например в Например в TCP/IPTCP/IP мрежи мрежи networknetwork слоят: слоят:• Е представен от Е представен от IPIP протокола протокола

• Пренася данните като последователност от Пренася данните като последователност от IPIP пакетипакети

• Адресирането става по Адресирането става по IPIP адрес адрес

• Пакетите могат да се рутират и да преминават Пакетите могат да се рутират и да преминават през междинни машини по пътя сипрез междинни машини по пътя си

• Атаките, които работят на Атаките, които работят на network network слоя,слоя, могат да се прилагат както в локални могат да се прилагат както в локални мрежи, така и в Интернетмрежи, така и в Интернет

40

IPID GamesIPID Games – – Idle ScanIdle Scan

• Цели на атаката:Цели на атаката:• Да се сканират Да се сканират TCP TCP портовете на портовете на

дадена машина без сканираният да дадена машина без сканираният да разбере кой наистина го сканираразбере кой наистина го сканира

• Необходими условия:Необходими условия:• Свързаност между атакуващата Свързаност между атакуващата

машина, машината-жертва и машина, машината-жертва и ZombieZombie машината машината

• Zombie Zombie наричаме машина в наричаме машина в Интернет, която генерира лесно Интернет, която генерира лесно предвидими предвидими IPID-IPID-та (например та (например Windows)Windows)

41


• Теоретично обяснение:Теоретично обяснение:• Атакуващата машина изпраща Атакуващата машина изпраща spoofed spoofed

SYNSYN пакет до някой порт на машината- пакет до някой порт на машината-жертва от името на жертва от името на Zombie Zombie машинатамашината

• Машината-жертва отговаря с Машината-жертва отговаря с ACKACK или или RSTRST в зависимост дали съответният порт е в зависимост дали съответният порт е отворенотворен

• IPIDIPID-то на -то на Zombie Zombie машината се увеличава машината се увеличава с различна константа в зависимост дали е с различна константа в зависимост дали е получила получила ACK ACK илиили RST RST пакет от жертвата пакет от жертвата

• Атакуващата машина проверява Атакуващата машина проверява IPIDIPID-то на -то на машината машината ZombieZombie и по него разбира дали и по него разбира дали сканираният порт е бил отворенсканираният порт е бил отворен

42


43

• Инструменти за провеждане на Инструменти за провеждане на атакатаатаката• hpinghping

• Начини за защитаНачини за защита• Zombie Zombie машината може да се защити, машината може да се защити,

като си смени операционната системакато си смени операционната система или или поне имплементацията на поне имплементацията на TCP/IP TCP/IP стекастека

• Интернет доставчиците могат да защитят Интернет доставчиците могат да защитят Интернет от своите клиенти чрез Интернет от своите клиенти чрез egress egress филтриране, което не допуска филтриране, което не допуска spoofed spoofed пакетипакети


44


Демонстрация на атакатаДемонстрация на атакатаIdle ScanIdle Scan

45

• Измерване на трафика на Измерване на трафика на дадена машинададена машина

• Чрез следене как се променят Чрез следене как се променят стойностите на стойностите на IPIDIPID-то може да -то може да се установи колко трафик се установи колко трафик генерира дадена машинагенерира дадена машина

• Машината-жертва трябва да има Машината-жертва трябва да има лесно предвидими лесно предвидими IPID-IPID-та та (например (например Windows)Windows)

IPID GamesIPID Games – измерване на – измерване на трафиктрафик

46

Слой Слой transporttransport от от OSIOSI модела модела

• Слоят Слоят transport transport дефинира как да се извършва дефинира как да се извършва пренасянето на информация по пренасянето на информация по networknetwork слоя, слоя, така, че да се гарантира надеждносттака, че да се гарантира надеждност

• Например в Например в TCP/IPTCP/IP мрежи мрежи transporttransport слоят: слоят:

• Е представен чрез Е представен чрез TCP TCP ии UDP UDP протоколитепротоколите

• Осигурява надеждни сесийни двупосочни Осигурява надеждни сесийни двупосочни комуникационни канали между две точки в комуникационни канали между две точки в мрежата, използвайки мрежата, използвайки network network слояслоя

• Адресирането става по Адресирането става по IPIP адрес + номер на адрес + номер на портпорт

• Атаките, които работят на Атаките, които работят на transport transport слоя,слоя, могат да се прилагат както в локални мрежи, могат да се прилагат както в локални мрежи, така и в Интернеттака и в Интернет

47

TCP TCP KKillill

• 3-3-way handshaking way handshaking при при TCPTCP протокола: протокола:

48

TCP TCP KKillill

• Първоначалното установяване на Първоначалното установяване на TCPTCP връзка става с връзка става с SYNSYN пакет пакет посредством посредством 3-way handshaking3-way handshaking

• RST RST пакетите прекратяват пакетите прекратяват безусловно връзката, независимо безусловно връзката, независимо от коя от страните ги изпращаот коя от страните ги изпраща

• FINFIN пакетите служат за нормално пакетите служат за нормално прекратяване на прекратяване на TCPTCP връзка връзка

49

TCP TCP KKillill

• Цел на атаката:Цел на атаката:• Да се прекрати насилствено Да се прекрати насилствено TCPTCP връзка връзка

• Да не се позволява отваряне на Да не се позволява отваряне на TCP TCP връзкивръзки

• Необходими условия:Необходими условия:• Да имаме възможност да подслушваме Да имаме възможност да подслушваме

мрежовия трафик на атакуваните машини мрежовия трафик на атакуваните машини (например чрез (например чрез ARP poisoningARP poisoning) или да ) или да можем лесно да отгатваме можем лесно да отгатваме ISNISN номерата номерата

• Операционните системи нямат значениеОперационните системи нямат значение

50

TCP TCP KKillill

• Теоретично обяснениеТеоретично обяснение• Атакуващата страна подслушва трафика Атакуващата страна подслушва трафика

на жертвата и прихваща неговите на жертвата и прихваща неговите TCP TCP sequence sequence номераномера

• Знаейки Знаейки TCPTCP sequence sequence номерата, номерата, атакуващата страна генерира и изпраща атакуващата страна генерира и изпраща подходящ подходящ RST RST пакет, който прекратява пакет, който прекратява незабавно връзкатанезабавно връзката

• Инструменти за провеждане на Инструменти за провеждане на атакатаатаката• tcpkilltcpkill


51

TCP TCP KKillill

• Начини за защита:Начини за защита:• Не допускаме нашият трафик да Не допускаме нашият трафик да

бъде подслушванбъде подслушван

• В локална мрежаВ локална мрежа• Не използваме мрежа с Не използваме мрежа с hubhub

• Не допускаме възможност за Не допускаме възможност за ARP ARP PoisoningPoisoning атака (използваме атака (използваме интелигентен интелигентен Managed SwitchManaged Switch))

• Използване на ОСИзползване на ОС, , при която не е при която не е лесно да се отгатнат лесно да се отгатнат ISNISN номерата номерата

52

TCP TCP KKillill

Демонстрация на атакатаДемонстрация на атакатаTCP TCP KKillill

53

TCP TCP NiceNice

• Методи за контрол на скоростта в Методи за контрол на скоростта в TCP/IPTCP/IP::• TCP window sizeTCP window size

• Количеството чакащи данни Количеството чакащи данни (непотвърдени от получателя с (непотвърдени от получателя с ACK ACK пакет), пакет), които изпращачът може да изпрати по които изпращачът може да изпрати по дадена отворена дадена отворена TCPTCP връзка без да чака връзка без да чака потвърждениепотвърждение

• MTUMTU – – Maximum Transmit UnitMaximum Transmit Unit• Максималното количество данни в един Максималното количество данни в един IPIP

пакетпакет

• ICMP source quenchICMP source quench• ICMP ICMP пакет, който сигнализира, че някъде пакет, който сигнализира, че някъде

по пътя има препълване на капацитета на по пътя има препълване на капацитета на някоя линиянякоя линия

54

TCP TCP NiceNice

• Цел на атаката:Цел на атаката:• Да се забави скоростта на отворена Да се забави скоростта на отворена

TCPTCP връзка връзка

• Необходими условия:Необходими условия:• Атакуващият трябва да има Атакуващият трябва да има

възможност да разбира текущия възможност да разбира текущия TCP TCP sequence sequence за дадена за дадена TCP TCP сесия, сесия, например чрез подслушване (например чрез подслушване (ARP ARP poisoningpoisoning))

• Операционните системи нямат Операционните системи нямат значениезначение

55

TCP TCP NiceNice

• Теоретично обяснениеТеоретично обяснение• Чрез подходящи Чрез подходящи spoofed spoofed пакети пакети

атакуващият принуждава машините-атакуващият принуждава машините-жертви да си изпращат данните една на жертви да си изпращат данните една на друга по-бавно:друга по-бавно:• чрез намаляване на чрез намаляване на TCP window sizeTCP window size-а-а

• чрез намаляване на чрез намаляване на MTUMTU-то на пакетите-то на пакетите

• чрез изпращане на фалшифицирани чрез изпращане на фалшифицирани ICMP ICMP source quench source quench пакетипакети

• Инструменти за провеждане на атакатаИнструменти за провеждане на атаката• tcpnicetcpnice


56

TCP TCP NiceNice

• Начини за защита:Начини за защита:• Не допускаме нашият трафик да Не допускаме нашият трафик да

бъде подслушванбъде подслушван

• В локална мрежаВ локална мрежа• Не използваме мрежа с Не използваме мрежа с hubhub

• Не допускаме възможност за Не допускаме възможност за ARP ARP PoisoningPoisoning атака (използваме атака (използваме интелигентен интелигентен Managed SwitchManaged Switch))

• Използване на ОСИзползване на ОС, , при която не е при която не е лесно да се отгатнат лесно да се отгатнат ISNISN номерата номерата

57

TCP TCP NiceNice

Демонстрация на атакатаДемонстрация на атакатаTCP TCP NiceNice

58

SYN FloodSYN Flood

• Цел на атаката:Цел на атаката:• Да направим невъзможно приемането Да направим невъзможно приемането

на нови на нови TCPTCP връзки на определен порт връзки на определен порт

• По този начин може да се блокира По този начин може да се блокира дадена услугададена услуга

• Необходими условия:Необходими условия:• Атакуваната машина трябва да няма Атакуваната машина трябва да няма

защита от защита от SYNSYN floodflood

• Необходими са множество недостъпни Необходими са множество недостъпни машини, за които атакуващият се машини, за които атакуващият се представяпредставя

59

SYN FloodSYN Flood

• Теоретично обяснениеТеоретично обяснение• Атакуващият изпраща голям брой Атакуващият изпраща голям брой

фалшифициранифалшифицирани SYN SYN пакети от името на пакети от името на различни недостъпни машиниразлични недостъпни машини

• Операционната система на жертвата им Операционната система на жертвата им отговаря по нормалния начин – добавя ги в отговаря по нормалния начин – добавя ги в опашката за опашката за TCPTCP връзки връзки в състояние в състояние SYN_RCDVSYN_RCDV, т.е. чакащи да завършат своя 3-, т.е. чакащи да завършат своя 3-way handshakeway handshake

• Тъй като няма кой да завърши Тъй като няма кой да завърши handshake-handshake-а, а, опашката се препълва с чакащи връзкиопашката се препълва с чакащи връзки

• Операционната система започва да не приема Операционната система започва да не приема нови заявки за нови заявки за TCPTCP връзки на атакувания порт връзки на атакувания порт

60

SYN FloodSYN Flood

61

SYN FloodSYN Flood

• Инструменти за провеждане на Инструменти за провеждане на атакатаатаката• synksynk

• Начини за защита:Начини за защита:• SYN cookiesSYN cookies

• Не се използва опашка заНе се използва опашка за частично частично отворените отворените TCPTCP връзки връзки

• Информацията за опашката се кодира Информацията за опашката се кодира в в ISNISN чрез криптографски алгоритми чрез криптографски алгоритми

• Реализирани са в Реализирани са в Linux, Linux, **BSDBSD, ..., ...

• В В Windows Windows няма защитаняма защита

62

SYN FloodSYN Flood

Демонстрация на атакатаДемонстрация на атакатаSYN FloodSYN Flood

63

Blind TCP SpoofingBlind TCP Spoofing

• Цел на атаката:Цел на атаката:• Да се осъществи Да се осъществи TCPTCP връзка до връзка до

определена машина от името на определена машина от името на произволен произволен IPIP адрес адрес

• Необходими условия:Необходими условия:• Атакуваната машина трябва да има Атакуваната машина трябва да има

лесно предвидими лесно предвидими ISNISN (например (например Windows 95/98)Windows 95/98)

• Машината, за която атакуващият се Машината, за която атакуващият се представя, не трябва да има връзка до представя, не трябва да има връзка до машината-жертвамашината-жертва

64


• Теоретично обяснение:Теоретично обяснение:• Атакуващият изпраща Атакуващият изпраща SYNSYN пакет към жертвата от пакет към жертвата от

името на някоя недостижима машина името на някоя недостижима машина MM, която , която няма връзка до жертватаняма връзка до жертвата

• Жертвата изпраща Жертвата изпраща SYN+ACKSYN+ACK до машината до машината MM

• Атакуващият налучква Атакуващият налучква ISNISN на изпратения от на изпратения от жертвата пакет и изпраща правилен жертвата пакет и изпраща правилен ACK ACK пакет, пакет, данни и данни и FINFIN

• Възможно е да се изпратят няколко пакета с Възможно е да се изпратят няколко пакета с данниданни

• Жертвата не разбира, че пакетите не идват от Жертвата не разбира, че пакетите не идват от MM, , а от атакуващата машинаа от атакуващата машина

• Като резултат атакуващата машина реално Като резултат атакуващата машина реално отваря еднопосочна отваря еднопосочна TCPTCP връзка от името на връзка от името на MM

65


66


• Инструменти за провеждане на Инструменти за провеждане на атакатаатаката

• Саморъчно разработени инструментиСаморъчно разработени инструменти

• Начини за защита:Начини за защита:

• Смяна на операционната система или Смяна на операционната система или поне на поне на TCP/IPTCP/IP имплементацията, така имплементацията, така че да се използват трудно предвидими че да се използват трудно предвидими ISNISN

67


Демонстрация на атакатаДемонстрация на атаката


68

ДискусияДискусия

Вашите въпроси?Вашите въпроси?

Documents

Мрежова сигурност и мрежови атаки