Andrevv

Описание основных сетевых атак

Рекомендованные сообщения

Если чего-то не хватает, добавляйте.

 

Фрагментация данных

При передачи пакета данных протокола IP по сети может осуществляться деление этого пакета на несколько фрагментов. В последствии, при достижении адресата, пакет восстанавливается из этих фрагментов. Злоумышленник может инициировать посылку большого числа фрагментов, что приводит к переполнению программных буферов на приемной стороне и, в ряде случаев, к аварийному завершению системы.

 

Ping flood

Появился он потому, что программа "ping", предназначенная для оценки качества линии, имеет ключ для "агрессивного" тестирования. В этом режиме запросы посылаются с максимально возможной скоростью и программа позволяет оценить, как работает сеть при максимальной нагрузке. Данная атака требует от злоумышленника доступа к быстрым каналам в Internet. Вспомним, как работает ping. Программа посылает ICMP-пакет типа ECHO REQUEST, выставляя в нем время и его идентификатор. Ядро машины-получателя отвечает на подобный запрос пакетом ICMP ECHO REPLY. Получив его, ping выдает скорость прохождения пакета. При стандартном режиме работы пакеты высылаются через некоторые промежутки времени, практически не нагружая сеть. Но в "агрессивном" режиме поток ICMP echo request/reply-пакетов может вызвать перегрузку небольшой линии, лишив ее способности передавать полезную информацию. Естественно, случай с ping является частным случаем более общей ситуации, связанный с перегрузкой каналов. Например, злоумышленник может посылать множество UDP-пакетов на 19-й порт машины-жертвы, и если она, следуя общепринятым правилам, имеет на 19-м UDP-порту знакогенератор, отвечающий на пакеты строчками по 80 байт. Заметим, что злоумышленник может также подделывать обратный адрес подобных пакетов, затрудняя его обнаружение. Отследить его поможет разве что скоординированная работа специалистов на промежуточных маршрутизаторах, что практически нереально. Одной из вариантов атаки - посылать ICMP echo request-пакеты с исходным адресом, указывающем на жертву, на broadcast-адреса крупных сетей. В результате каждая из машин ответит на этот фальшивый запрос, и машина-отправитель получит больше количество ответов. Посылка множество broadcast-echo requests от имени "жертвы" на broadcast-адреса крупных сетей, можно вызвать резкой заполненение канала "жертвы". Приметы затопления - резко возросшая нагрузка на сеть (или канал) и повышение количество специфических пакетов (таких, как ICMP). В качестве защиты можно порекомендовать настройку маршрутизаторов, при которых они будут фильтровать тот же ICMP трафик, превышающие некоторую заданную заранее величину (пакетов/ед. времени). Для того чтобы убедиться, что Ваши машины не могут служить источником ping flood'а, ограничьте доступ к ping.

 

PingOfDeath или SSPing

Сущность его в следующем: на машину жертвы посылается сильно фрагментиpованный ICMP пакет большого pазмеpа (64KB). Реакцией Windows-систем на получение такого пакета является безоговорочное повисание, включая мышь и клавиатуру. Программа для атаки широко доступна в сети в виде исходника на C и в виде запускаемых файлов для некоторых версий Unix. Любопытно, что в отличие от WinNuke жертвой такой атаки могут стать не только Windows машины, атаке подвержены MacOS и некоторые веpсии Unix. Преимущества такого способа атаки в том, что обычно firewall пропускает ICMP пакеты, а если firewall и настроен на фильтрацию адресов посылателей, то, используя нехитрые приемы spoofing, можно обмануть и такой firewall. Недостаток PingOfDeath в том, что для одной атаки надо переслать более 64KB по сети, что делает вообще его говоря малопpименимым для шиpокомасштабных дивеpсий.

 

UDP bomb

Передаваемый пакет UDP содержит неправильный формат служебных полей. Некоторые старые версии сетевого ПО приводят при получении подобного пакета к аварийному завершению системы.

 

SYN flood

Затопление SYN -пакетами - самый известный способ "забить" информационный канал. Вспомним, как работает TCP/IP в случае входящих соединений. Система отвечает на пришедший C-SYN - пакет S-SYN/C-ACK -пакетом, переводит сессию в состояние SYN_RECEIVED и заносит ее в очередь. Если в течении заданного времени от клиента не придет S-ACK , соединение удаляется из очереди, в противном случае соединение переводится в состояние ESTABLISHED. Рассмотрим случай, когда очередь входных соединений уже заполнена, а система получает SYN -пакет, приглашающий к установке соединения. По RFC он будет молча проигнорирован. Затопление SYN -пакетами основано на переполнении очереди сервера, после чего сервер перестает отвечать на запросы пользователей. Самая известная атака такого рода - атака на Panix, нью-йоркского провайдера. Panix не работал в течение 2-х недель. В различных системах работа с очередью реализована по разному. Так, в BSD-системах, каждый порт имеет свою собственную очередь размером в 16 элементов. В системах SunOS, напротив, такого разделения и нет и система просто располагает большой общей очередью. Соответственно, для того, что бы заблокировать, к примеру, WWW-порт на BSD достаточно 16 SYN-пакетов, а для Solaris 2.5 их количество будет гораздо больше. После истечение некоторого времени (зависит от реализации) система удаляет запросы из очереди. Однако ничего не мешает злоумышленнику послать новую порцию запросов. Таким образом, даже находясь на соединение 2400 bps, злоумышленник может посылать каждые полторы минуты по 20-30 пакетов на FreeBSD-сервер, поддерживая его в нерабочем состоянии (естественно, эта ошибка была скорректирована в последних версиях FreeBSD). Как обычно, злоумышленник может воспользоваться случайными обратными IP-адресами при формировании пакетов, что затрудняет его обнаружение и фильтрацию его трафика. Детектирование несложно - большое количество соединений в состоянии SYN_RECEIVED, игнорирование попыток соединится с данным портом. В качестве защиты можно порекомендовать патчи, которые реализуют автоматическое "прорежение" очереди, например, на основе алгоритма Early Random Drop. Для того, что бы узнать, если к Вашей системе защита от SYN-затопления, обратитесь к поставщику системы. Другой вариант защиты - настроить firewall так, что бы все входящие TCP/IP-соединения устанавливал он сам, и только после этого перебрасывал их внутрь сети на заданную машину. Это позволит Вам ограничить syn-затопление и не пропустить его внутрь сети. Эта атака относится к атакам запрещения обслуживания, результатом которой является невозможность предоставления услуг. Атака обычно направлена на определённую, конкретную службу, например telnet или ftp. Она заключается в передаче пакетов установления соединения на порт, соответствующий атакуемой службе. При получении запроса система выделяет ресурсы для нового соединения, после чего пытается ответить на запрос (послать "SYN-ACK") по недоступному адресу. По умолчанию NT версий 3.5-4.0 будет пытаться повторить подтверждение 5 раз - через 3, 6, 12, 24 и 48 секунд. После этого еще 96 секунд система может ожидать ответ, и только после этого освободит ресурсы, выделенные для будущего соединения. Общее время занятости ресурсов - 189 секунд.

 

Smurf

Атака smurf заключается в передаче в сеть широковещательных ICMP запросов от имени компьютера-жертвы. В результате компьютеры, принявшие такие широковещательные пакеты, отвечают компьютеру-жертве, что приводит к существенному снижение пропускной способности канала связи и, в ряде случаев, к полной изоляции атакуемой сети. Атака smurf исключительно эффективна и широко распространена. Противодействие: для распознавания данной атаки необходимо анализировать загрузку канала и определять причины снижения пропускной способности.

 

Land

Атака Land использует уязвимости реализаций стека TCP/IP в некоторых ОС. Она заключается в передаче на открытый порт компьютера-жертвы TCP-пакета с установленным флагом SYN, причем исходный адрес и порт такого пакета соответственно равны адресу и порту атакуемого компьютера. Это приводит к тому, что компьютер-жертва пытается установить соединение сам с собой, в результате чего сильно возрастает загрузка процессора и может произойти "подвисание" или перезагрузка. Данная атака весьма эффективна на некоторых моделях маршрутизаторов фирмы Cisco Systems, причем успешное применение атаки к маршрутизатору может вывести из строя всю сеть организации. Противодействие: защититься от данной атаки можно, например, установив фильтр пакетов между внутренней сетью и Internet, задав на нём правило фильтрации, указывающее подавлять пакеты, пришедшие из Internet, но с исходными IP адресами компьютеров внутренней сети.

 

DNS flood

DNS flooding - это атака, направленная на сервера имён Internet. Она заключается в передаче большого числа DNS запросов и приводит к тому, что у пользователей нет возможности обращаться к сервису имен и, следовательно, обеспечивается невозможность работы обычных пользователей. Противодействие: для выявления данной атаки необходимо анализировать загрузку DNS сервера и выявлять источники запросов.

 

DNS spoofing

Результатом данной атаки является внесение навязываемого соответствия между IP адресом и доменным именем в кэш DNS сервера. В результате успешного проведения такой атаки все пользователи DNS севера получат неверную информацию о доменных именах и IP адресах. Данная атака характеризуется большим количеством DNS пакетов с одним и тем же доменным именем. Это связано с необходимостью подбора некоторых параметров DNS обмена. Противодействие: для выявления такой атаки необходимо анализировать содержимое DNS трафика.

 

IP spoofing (syslog)

Большое количество атак в сети Internet связано с подменой исходного IP адреса. К таким атакам относится и syslog spoofing, которая заключается в передаче на компьютер жертву сообщения от имени другого компьютера внутренней сети. Поскольку протокол syslog используется для ведения системных журналов, путем передачи ложных сообщений на компьютер-жертву можно навязать информацию или замести следы несанкционированного доступа. Противодействие: выявление атак, связанных с подменой IP адресов, возможно при контроле получения на одном из интерфейсов пакета с исходным адресом этого же интерфейса или при контроле получения на внешнем интерфейсе пакетов с IP адресами внутренней сети.

 

Навязывание пакетов

Злоумышленник отправляет в сеть пакеты с ложным обратным адресом. С помощью этой атаки злоумышленник может переключать на свой компьютер соединения, установленные между другими компьютерами. При этом права доступа злоумышленника становятся равными правам того пользователя, чье соединение с сервером было переключено на компьютер злоумышленника.

 

Sniffing - прослушивание канала (возможно только в сегменте локальной сети)

Практически все сетевые карты поддерживают возможность перехвата пакетов, передаваемых по общему каналу локальной сети. При этом рабочая станция может принимать пакеты, адресованные другим компьютерам того же сегмента сети. Таким образом, весь информационный обмен в сегменте сети становится доступным злоумышленнику. Для успешной реализации этой атаки компьютер злоумышленника должен располагаться в том же сегменте локальной сети, что и атакуемый компьютер.

WinNuke

Hаpяду с обычными данными пеpесылаемыми по TCP соединению cтандаpт пpедустатpивает также пеpедачу сpочных (Out Of Band) данных. Hа уpовне фоpматов пакетов TCP это выpажается в ненулевом urgent pointer. У большинства PC с установленным Windows пpисутствует сетевой пpотокол NetBIOS, котоpый использует для своих нужд 3 IP поpта: 137, 138, 139. Как выяснилось, если соединиться с Windows машиной в 139 поpт и послать туда несколько байт OutOfBand данных, то pеализация NetBIOS-а не зная что делать с этими данными попpосту подвешивает или пеpезагpужает машину. Для Windows 95 это обычно выглядит как синий текстовый экpан, сообщающий об ошибке в дpайвеpе TCP/IP и невозможность pаботы с сетью до пеpезагpузки ОC. NT 4.0 без сеpвис паков пеpезагpужается, NT 4.0 со втоpым сеpвис паком выпадает в синий экpан.

 

IP Hijacking

Метод является комбинацией 'подслушивания' и IP-spoofing'а. Необходимые условия - злоумышленник должен иметь доступ к машине, находящейся на пути сетевого потока и обладать достаточными правами на ней для генерации и перехвата IP-пакетов. Напомним, что при передаче данных постоянно используются sequence number и acknowledge number (оба поля находятся в IP-заголовке). Исходя из их значения, сервер и клиент проверяют корректность передачи пакетов. Существует возможность ввести соединение в "десинхронизированное состояние", когда присылаемые сервером sequence number и acknowledge number не будут совпадать с ожидаемым значениеми клиента, и наоборот. В данном случае злоумышленник, "прослушивая" линию, может взять на себя функции посредника, генерируя корректные пакеты для клиента и сервера и перехватывая их ответы. Метод позволяет полностью обойти такие системы защиты, как, например, одноразовые пароли, поскольку злоумышленник начинает работу уже после того, как произойдет авторизация пользователя. Есть два способа рассинхронизировать соединение. • Ранняя десинхронизация. Соединение десинхронизируется на стадии его установки. Злоумышленник прослушивает сегмент сети, по которому будут проходить пакеты интересующей его сессии. Дождавшись пакета S-SYN от сервера, злоумышленник высылает серверу пакет типа RST (сброс), конечно, с корректным sequence number, и, немедленно, вслед за ним фальшивый C-SYN-пакет от имени клиента Сервер сбрасывает первую сессию и открывает новую, на том же порту, но уже с новым sequence number, после чего посылает клиенту новый S-SYN-пакет. Клиент игнорирует S-SYN-пакет, однако злоумышленник, прослушивающий линию, высылает серверу S-ACK-пакет от имени клиента. Итак, клиент и сервер находятся в состоянии ESTABLISHED, однако сессия десинхронизирована. Естественно, 100% срабатывания у этой схемы нет, например, она не застрахована от того, что по дороге не потеряются какие-то пакеты, посланные злоумышленником. Для корректной обработки этих ситуаций программа должна быть усложнена. • Десинхронизация нулевыми данными. В данном случае злоумышленник прослушивает сессию и в какой-то момент посылает серверу пакет с "нулевыми" данными, т.е. такими, которые фактически будут проигнорированы на уровне прикладной программы и не видны клиенту (например, для telnet это может быть данные типа IAC NOP IAC NOP IAC NOP...). Аналогичный пакет посылается клиенту. Очевидно, что после этого сессия переходит в десинхронизированное состояние. ACK-буря Одна из проблем IP Hijacking заключается в том, что любой пакет, высланный в момент, когда сессия находится в десинхронизированном состоянии вызывает так называемый ACK-бурю. Например, пакет выслан сервером, и для клиента он является неприемлимым, поэтому тот отвечает ACK-пакетом. В ответ на этот неприемлимый уже для сервера пакет клиент вновь получает ответ. И так до бесконечности. К счастью современные сети строятся по технологиям, когда допускается потеря отдельных пакетов. Поскольку ACK-пакеты не несут данных, повторных передачи не происходит и "буря стихает". Как показали опыты, чем сильнее ACK-буря, тем быстрее она "утихомиривает" себя - на 10MB ethernet это происходит за доли секунды. На ненадежных соединениях типа SLIP - ненамного больше. Детектирование и защита Есть несколько путей. Например, можно реализовать TCP/IP-стек, который будут контролировать переход в десинхронизированное состояние, обмениваясь информацией о sequence number/acknowledge number. Однако в данном случае мы не застрахованы от злоумышленника, меняющего и эти значения. Поэтому более надежным способом является анализ загруженности сети, отслеживание возникающих ACK-бурь. Это можно реализовать при помощи конкретных средств контроля за сетью. Если злоумышленник не потрудиться поддерживать десинхронизированное соединение до его закрытия или не станет фильтровать вывод своих команд, это также будет сразу замечено пользователем. К сожалению, подавляющее большинство просто откруют новую сессию, не обращаясь к администратору. Стопроцентную защиту от данной атаки обеспечивает, как всегда, шифрование TCP/IP-трафика (на уровне приложений - secure shell) или на уровн протокола - IPsec). Это исключает возможность модификации сетевого потока. Для защиты почтовых сообщений может применяться PGP. Следует заметить, что метод также не срабатывает на некоторых конкретных реализациях TCP/IP. Так, несмотря на [rfc...], который требует молчаливого закрытия сесии в ответ на RST-пакет, некоторые системы генерируют встречный RST-пакет. Это делает невозможным раннюю десинхронизацию.

 

Сканирование TCP портов

Сканирование портов представляет собой известный метод распознавания конфигурации компьютера и доступных сервисов. Существует несколько методов TCP сканирования, часть из них называется скрытными (stealth), поскольку они используют уязвимости реализаций стека TCP/IP в большинстве современных ОС и не обнаруживаются стандартными средствами. Противодействие: противодействие можно осуществлять, например, передавая TCP пакеты с установленным флагом RST от имени сканируемого компьютера на компьютер злоумышленника.

Сканирование UDP портов

Другой вид сканирования портов основывается на использовании протокола UDP и заключается в следующем: на сканируемый компьютер передаётся UDP пакет, адресованный к порту, который проверяется на предмет доступности. Если порт недоступен то в ответ приходит ICMP сообщение о недоступности (destination port unreachable), в противном случае ответа нет. Данный вид сканирования достаточно эффективен. Он позволяет за короткое время сканировать все порты на компьютере-жертве. Противодействие: противодействовать сканированию данного рода возможно путём передачи сообщений о недоступности порта на компьютер злоумышленника.

 

Stealth-сканирование

Метод основан на некорректном сетевом коде, поэтому нельзя поручиться что он будет нормально работать в какой-либо конкретной обстановке. Используются TCP-пакеты с установленными ACK- и FIN-флагами. Их надо использовать, т.к. если такой пакет послать в порт при неоткрытом соединении, всегда возвратиться пакет с флагом RST. Существует несколько методов, использующих этот принцип: • Послать FIN-пакет. Если принимающий хост возвращает RST, значит порт неактивен, если RST не возвращается, значит порт активен. Данный метод работает в большинстве операционных систем. • Послать ACK-пакет. Если TTL возвращаемых пакетов меньше, чем в остальных полученных RST-пакетах, или если размер окна больше нуля, то скорее всего порт активен.

 

Пассивное сканирование

Сканирование часто применяется злоумышленниками для того, чтобы выяснить, на каких TCP-портах работают демоны, отвечающие на запросы из сети. Обычная программа-сканер последовательно открывает соединения с различными портами. В случае, когда соединение устанавливается, программа сбрасывает его, сообщая номер порта злоумышленнику. Данный способ легко детектируются по сообщениям демонов, удивленных мгновенно прерваным после установки соединением, или с помощью использования специальных программ. Лучшие из таких программ обладают некоторыми попытками внести элементы искусственного элемента в отслеживание попыток соединения с различными портами. Однако злоумышленник может воспользоваться другим методом - пассивным сканированием (английский термин "passive scan"). При его использовании злоумышленник посылает TCP/IP SYN-пакет на все порты подряд (или по какому-то заданному алгоритму). Для TCP-портов, принимающих соединения извне, будет возвращен SYN/ACK-пакет, как приглашение продолжить 3-way handshake. Остальные вернут RST-пакеты. Проанализировав данные ответ, злоумышленник может быстро понять, на каких портах работают программа. В ответ на SYN/ACK-пакеты он может также ответить RST-пакетами, показывая, что процесс установки соединения продолжен не будет (в общем случае RST-пакетами автоматический ответит TCP/IP-реализация злоумышленника, если он не предпримет специальных мер). Метод не детектируется предыдущими способами, поскольку реальное TCP/IP-соединение не устанавливается. Однако (в зависимости от поведения злоумышленника) можно отслеживать резко возросшее количество сессий, находящихся в состоянии SYN_RECEIVED. (при условии, что злоумышленник не посылает в ответ RST) прием от клиента RST-пакета в ответ на SYN/ACK. К сожалению, при достаточно умном поведении злоумышленника (например, сканирование с низкой скоростью или проверка лишь конкретных портов) детектировать пассивное сканирование невозможно, поскольку оно ничем не отличается от обычных попыток установить соединение. В качестве защиты можно лишь посоветовать закрыть на firewall все сервисы, доступ к которым не требуется извне.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Denial of service (DOS)

 

Класс атак, приводящих к отказу в обслуживание. Во время та-

ких атак происходит повышенный расход ресурсов процессора и

уменьшение канала пропускной возможности канала связи, что может

привести в сильному замедлению работы всей компьютерной системы,

отдельных задач либо вообще к полному останову задач пользовате-

ля. Пример. Вы пошли в магазин за хлебом, а там два часа назад

хулиганы побили все стекла и весь персонал занят их уборкой; воз-

ле входа в магазин выстроилась огромная очередь пенсионеров т.е.

шанса пройти без очереди когда магазин откроется - нет. К DOS

атакам относятся Floods, ICMP flooding, Identification flooding и

другие.

 

Hack

 

Класс атак, используемые для исследования операционных сис-

тем, приложений или протоколов с целью последующего анализа полу

ченной информации на предмет наличия уязвимостей, например, Ports

scan, который можно также отнести к малоэффективной DOS-атаке.

Выявленные уязвимости могут быть использованы хакером для осу-

ществления несанкционированного доступа к системе либо для подбо-

ра наиболее эффективной DOS-атаки.

 

Floods

 

Перевод с английского на русский - "затопление". Во время

floods атак происходит посылка большого количества на атакуемую

систему ICMP (чаще всего) либо UDP пакетов, которые не несут по-

лезной информации (мусор). В результате происходит уменьшение по-

лосы пропускания канала и загрузка компьютерной системы анализом

пришедших бесполезных пакетов и генерацией на них ответов.

 

ICMP flooding (flood ping)

 

Перевод с английского на русский - "поток пингов". Во время

этой атаки происходит посылка компьютерной системе жертвы большо-

го количества запросов эха ICMP (пинг системы). В результате про-

исходит уменьшение полосы пропускания канала и загрузка компь-

ютерной системы анализом пришедших пакетов и генерацией на них

ответов. Примечание: В мирных целях пинг используется администра-

торами и пользователями для проверки работоспособности основных

частей транспортной системы вычислительной сети, оценить работу

сети при максимальной нагрузке. Программа посылает ICMP-пакет ти-

па ECHO REQUEST, выставляя в нем время и его идентификатор. Ядро

машины-получателя отвечает на подобный запрос пакетом ICMP ECHO

REPLY. Получив его, ping выдает скорость прохождения пакета. При

стандартном режиме работы пакеты высылаются через некоторые про-

межутки времени, практически не нагружая сеть.

 

Identification flooding (identd)

 

 

Запрос идентификации системы. Эта атака очень похожа на ICMP

flooding, отличается только тем, что происходит запрос информации

о компьютерной системе (TCP порт 113). Атака более эффективна

т.к. анализ этих запросов и генерирование на них ответов забирают

больше процессорного времени, чем при пингах.

 

Unreachable (dest_unreach, ICMP type 3)

 

Эта атака заключается в том, что компьютерной системе посыла-

ется сообщение ICMP type 3, которое сообщает, что порт назначения

недоступен тем самым обманывая систему и вынуждая ее разорвать

соединение т.к. она будет "думать" что пакеты не доходят. ICMP

type 3 может посылаться клиентской машине, которая затем произве-

дет отключение либо посылаться серверу и инициатором отключения

станет он. Посылку ICMP type 3 осуществляет хакер

 

Boink (Bonk, Teardrop, new Tear/Tear2)

 

При передачи пакета данных протокола IP по сети может осу-

ществляться деление этого пакета на несколько фрагментов. В пос-

ледствии, при достижении адресата, пакет восстанавливается из

этих фрагментов. Хакер может инициировать посылку большого числа

фрагментов, что приводит к переполнению программных буферов на

приемной стороне и, в ряде случаев, к аварийному завершению сис-

темы. Количество реализаций этой атаки достаточно велико. На

компьютержертву передается несколько фрагментированных IP паке-

тов, которые при сборке образуют один пакет размером более 64К

(максимальный размер IP пакета равен 64К минус длина заголовка).

Данная атака была эффективна против компьютеров с ОС Windows. При

получении такого пакета Windows NT, не имеющая специального патча

icmp-fix, "зависает" или аварийно завершается. Другие варианты

подобных атак используют неправильные смещения в IP фрагментах,

что приводит к некорректному выделению памяти, переполнению буфе-

ров и, в конечном итоге, к сбоям в работе систем.

 

PingOfDeath (Ssping, IceNuke, Jolt)

 

Сущность атаки в следующем: на машину жертвы посылается силь-

но фрагментиpованный ICMP пакет большого pазмеpа (64KB). Реакцией

Windows-систем на получение такого пакета является безоговорочное

повисание, включая мышь и клавиатуру. Программа для атаки широко

доступна в сети в виде исходника на C и в виде запускаемых файлов

для некоторых версий Unix. Любопытно, что в отличие от WinNuke

жертвой такой атаки могут стать не только Windows машины, атаке

подвержены MacOS и некоторые веpсии Unix. Преимущества такого

способа атаки в том, что обычно firewall пропускает ICMP пакеты,

а если firewall и настроен на фильтрацию адресов посылателей, то,

используя нехитрые приемы spoofing, можно обмануть и такой fire-

wall. Недостаток PingOfDeath в том, что для одной атаки надо пе-

реслать более 64KB по сети, что делает вообще его говоря малопpи-

менимым для шиpокомасштабных дивеpсий.

 

Pong

 

Floods атаки, перечисленные выше, но в качестве обратного

действительного IP-адреса отправителя ( хакера ) используется

поддельный. Тем сам затрудняется обнаружение хакера.

 

Puke

 

Осуществяляется посылка хакером атакуемому хосту пакета ICMP

unreachable error (неизвестная ошибка удаленной системы), что в

свою очередь вызывает отключение хоста от сервера (обычно IRC).

 

Smurf

 

Атака заключается в передаче в сеть широковещательных ICMP

запросов от имени компьютера-жертвы. В результате компьютеры,

принявшие такие широковещательные пакеты, отвечают компьюте-

ру-жертве, что приводит к существенному снижение пропускной спо-

собности канала связи и, в ряде случаев, к полной изоляции атаку-

емой сети. Посылка множество broadcastзапросов от имени "жертвы"

на broadcast-адреса крупных сетей, можно вызвать резкой заполне-

нение канала "жертвы" - эффект |много для одного|. Атака smurf

исключительно эффективна и широко распространена.

 

Fuzzy

 

Пакет IP содержит поле, определяющее какой протокол следующе-

го уровня(TCP, UDP, ICMP) использует данные из Internet. Хакеры

могут использовать нестандартное значение данного поля для пере-

дачи данных, которые не будут фиксироваться стандартными средс-

твами контроля информационных потоков.

 

Dummy DNS

 

Внедрение в сеть Internet ложного DNS-сервера путем перехвата

DNS-запроса. Для реализации атаки хакеру необходимо перехватить

DNS-запрос, извлечь из него номер UDP-порта отправителя запроса,

двухбайтовое значение ID идентификатора DNS-запроса и искомое имя

и, затем, послать ложный DNS-ответ на извлеченный из DNS-запроса

UDP-порт, в котором указать в качестве искомого IP-адреса настоя-

щий IP-адрес ложного DNS-сервера. Это позволит в дальнейшем пол-

ностью перехватить и активно воздействовать на информацию, цирку-

лирующую между "обманутым" хостом и сервером. Необходимым услови-

ем осуществления данного варианта атаки является перехват

DNS-запроса. Это возможно только в том случае, если атакующий на-

ходится либо на пути основного трафика либо в сегменте настоящего

DNS-сервера. Выполнение одного из этих условий местонахождения

хакера в сети делает подобную удаленную атаку трудно осуществимой

на практике (попасть в сегмент DNS-сервера и тем более в межсег-

ментный канал связи атакующему скорее всего не удастся). Однако в

случае выполнения этих условий возможно осуществить межсегментную

удаленную атаку на сеть Internet.

 

Dummy DNS for host

 

Внедрение в сеть Internet ложного сервера путем создания нап-

равленного "шторма" ложных DNS-ответов на атакуемый хост. В этом

случае хакер осуществляет постоянную передачу на атакуемый хост

заранее подготовленного ложного DNS-ответа от имени настоящего

DNSсервера без приема DNS-запроса. Другими словами, атакующий

создает в сети Internet направленный "шторм" ложных DNS-ответов.

Это возможно, так как обычно для передачи DNS-запроса использует-

ся протокол UDP, в котором отсутствуют средства идентификации па-

кетов. Единственными критериями, предъявляемыми сетевой ОС хоста

к полученному от DNS-сервера ответу, является, во-первых, совпа-

дение IP-адреса отправителя ответа с IP-адресом DNS-сервера,

во-вторых, чтобы в DNS-ответе было указано то же имя, что и в

DNS-запросе, в-третьих, DNS-ответ должен быть направлен на тот же

UDPпорт, с которого был послан DNS-запрос (в данном случае это

первая проблема для атакующего), и, в-четвертых, в DNS-ответе по-

ле идентификатор запроса в заголовке DNS (ID) должно содержать то

же значение, что и в переданном DNS-запросе (а это вторая пробле-

ма). Предпологаем, что атакующий не имеет возможности перехватить

DNS-запрос, то основную проблему для него представляет номер

UDP-порта, с которого был послан запрос. Но номер порта отправи-

теля принимает ограниченный набор значений, поэтому атакующему

достаточно действовать простым перебором, направляя ложные ответы

на соответствующий перечень портов. На первый взгляд второй проб-

лемой может быть двухбайтовый идентификатор DNS-запроса, но в

данном случае он либо равен единице, либо имеет значение близкое

к нулю (один запрос - ID увеличивается на 1). Поэтому для осу-

ществления данной удаленной атаки атакующему необходимо выбрать

интересующий его хост (А), маршрут к которому требуется изменить

так, чтобы он проходил через ложный сервер - хост атакующего. Это

достигается постоянной передачей (направленным "штормом") атакую-

щим ложных DNS-ответов на атакуемый хост от имени настоящего

DNS-сервера на соответствующие UDP-порты. В этих ложных DNSотве-

тах указывается в качестве IP-адреса хоста А IP-адрес атакующего.

Далее атака развивается по следующей схеме. Как только цель атаки

(атакуемый хост) обратиться по имени к хосту А, то от данного

хоста в сеть будет передан DNS-запрос, который атакующий никогда

не получит, но этого ему и не требуется, так как на хост сразу же

поступит постоянно передаваемый ложный DNS-ответ, который и будет

воспринят ОС атакуемого хоста как настоящий ответ от DNS-сервера.

Атака состоялась и теперь атакуемый хост будет передавать все па-

кеты, предназначенные для А, на IP-адрес хоста атакующего, кото-

рый, в свою очередь, будет переправлять их на А, имея возможность

воздействовать (менять, модифицировать, анализировать и др) на

перехваченную информацию. Таким образом, реализация данной уда-

ленной атаки, использующей пробелы в безопасности службы DNS,

позволяет из любой точки сети Internet нарушить маршрутизацию

между двумя заданными объектами. То есть данная удаленная атака

осуществляется межсегментно по отношению к цели атаки и угрожает

безопасности любого хоста Internet, использующего обычную службу

DNS.

 

Dummy DNS for server

 

Внедрение в сеть Internet ложного сервера путем создания нап-

равленного "шторма" ложных DNS - ответов на атакуемый DNS - сер-

вер. Из схемы удаленного DNS-поиска следует, что в том случае,

если указанное в запросе имя DNS-сервер не обнаружил в своей базе

имен, то запрос отсылается сервером на один из корневых DNS-сер-

веров, адреса которых содержатся в файле настроек сервера ro-

ot.cache. То есть, в том случае, если DNS-сервер не имеет сведе-

ний о запрашиваемом хосте, то он пересылает запрос далее, а зна-

чит, теперь сам DNS-сервер является инициатором удаленного

DNS-поиска. Поэтому ничто не мешает атакующему, действуя методами

Dummy DNS for host, направить свою атаку на DNS-сервер. То есть,

в качестве цели атаки теперь будет выступать не хост, а DNS-сер-

вер и ложные DNS-ответы будут направляться атакующим от имени

корневого DNSсервера на атакуемый DNS-сервер. При этом важно учи-

тывать следующую особенность работы DNS-сервера. Для ускорения

работы каждый DNS-сервер кэширует в области памяти свою таблицу

соответствия имен и IP-адресов хостов. В том числе в кэш заносит-

ся динамически изменяемая информация об именах и IP-адресах хос-

тов, найденных в процессе функционирования DNSсервера. То есть,

если DNS-сервер, получив запрос, не находит у себя в кэштаблице

соответствующей записи, он пересылает ответ на следующий сервер

и, получив ответ, заносит найденные сведения в кэш-таблицу в па-

мять. Таким образом, при получении следующего запроса DNS-серверу

уже не требуется вести удаленный поиск, так как необходимые све-

дения уже находятся у него в кэш-таблице. Из анализа описанной

схемы удаленного DNS-поиска становится очевидно, что в том слу-

чае, если в ответ на запрос от DNS-сервера атакующий направит

ложный DNS-ответ (или в случае "шторма" ложных ответов будет вес-

ти их постоянную передачу), то в кэш-таблице сервера появится со-

ответствующая запись с ложными сведениями и, в дальнейшем, все

хосты, обратившиеся к данному DNS-серверу, будут дезинформированы

и при обращении к хосту, маршрут к которому атакующий решил изме-

нить, связь с ним будет осуществляться через хост атакующего. И с

течением времени эта ложная информация, попавшая в кэш DNS-серве-

ра, будет распространяться на соседние DNS-серверы высших уров-

ней, а, следовательно, все больше хостов в Internet будут дезин-

формированы и атакованы.Очевидно, что в том случае, если атакую-

щий не может перехватить DNS-запрос от DNS-сервера, то для реали-

зации атаки ему необходим "шторм" ложных DNS-ответов, направлен-

ный на DNS-сервер. При этом возникает следующая основная пробле-

ма, отличная от проблемы подбора портов в случае атаки, направ-

ленной на хост. Как уже отмечалось ранее DNS-сервер, посылая зап-

рос на другой DNS-сервер, идентифицирует этот запрос двухбайтовым

значением (ID). Это значение увеличивается на единицу с каждым

передаваемым запросом. Узнать атакующему это текущее значение

идентификатора DNS-запроса не представляется возможным. Поэтому,

ничего кроме перебора 216 возможных значений ID предложить

что-либо достаточно сложно. Зато исчезает проблема перебора пор-

тов, так как все DNS-запросы передаются DNS-сервером на 53 порт.

Следующая проблема, являющаяся условием осуществления этой уда-

ленной атаки на DNS-сервер при направленном "шторме" ложных

DNSответов состоит в том, что атака будет иметь успех, только в

том случае, если DNS-сервер пошлет запрос на поиск определенного

имени (которое содержится в ложном DNS-ответе). DNS-сервер посы-

лает этот столь необходимый и желанный для атакующего запрос в

том случае, если на него прийдет DNS-запрос от какого-либо хоста

на поиск данного имени и этого имени ни окажется в кэш-таблице

DNS-сервера. В принципе этот запрос может прийти когда угодно и

атакующему может быть придется ждать результатов атаки сколь

угодно долго. Однако ни что не мешает атакующему, не дожидаясь

никого, самому послать на атакуемый DNS-сервер подобный DNS-зап-

рос и спровоцировать DNS-сервер на поиск указанного в запросе

имени. Тогда эта атака с большой вероятностью будет иметь успех

практически сразу же после начала ее осуществления.

 

Syslog spoofing

 

Заключается в передаче на компьютер жертву сообщения от имени

другого компьютера внутренней сети. Поскольку протокол syslog ис-

пользуется для ведения системных журналов, путем передачи ложных

сообщений на компьютер-жертву можно навязать информацию или за-

мести следы несанкционированного доступа.

 

Host spoofing

 

Атака основана на протоколе ICMP, одной из функцией которого

является информирование хостов о смене текущего маршрутизатора.

Данное управляющее сообщение носит название redirect. Существует

возможность посылки с любого хоста в сегменте сети ложного redi-

rect-сообщения от имени маршрутизатора на атакуемый хост. В ре-

зультате у хоста изменяется текущая таблица маршрутизации и, в

дальнейшем, весь сетевой трафик данного хоста будет проходить,

например, через хост, отославший ложное redirectсообщение. Таким

образом возможно осуществить активное навязывание ложного маршру-

та внутри одного сегмента сети Internet.

 

Dummy ARP server

 

В сети Internet каждый хост имеет уникальный IPадрес, на ко-

торый поступают все сообщения из глобальной сети. Однако протокол

IP это не столько сетевой, сколько межсетевой протокол обмена,

предназначенный для связи между объектами в глобальной сети. На

канальном уровне пакеты адресуются по аппаратным адресам сетевых

карт. В сети Internet для взаимно однозначного соответствия IP и

Ethernet адресов используется протокол ARP (Address Resolution

Protocol). Первоначально хост может не иметь информации о Ether-

net-адресах других хостов, находящихся с ним в одном сегменте, в

том числе и о Ethernet-адресе маршрутизатора. Соответственно, при

первом обращении к сетевым ресурсам хост отправляет широковеща-

тельный ARP-запрос, который получат все станции в данном сегменте

сети. Получив данный запрос, маршрутизатор отправляет на запро-

сивший хост ARP-ответ, в котором сообщает свой Ethernet-адрес.

Данная схема работы позволяет хакеру послать ложный ARP-ответ, в

котором объявить себя искомым хостом, (например, маршрутизато-

ром), и, в дальнейшем, активно контролировать весь сетевой трафик

"обманутого" хоста.

 

Traffic analysis (sniffing)

 

Прослушивание канала. Практически все сетевые карты поддержи-

вают возможность перехвата пакетов, передаваемых по общему каналу

локальной сети. При этом рабочая станция может принимать пакеты,

адресованные другим компьютерам того же сегмента сети. Таким об-

разом, весь информационный обмен в сегменте сети становится дос-

тупным хакеру, что поможет в дальнейшем ему подобрать/придумать

другие типы атак против Вас. Для успешной реализации этой атаки

компьютер хакера должен располагаться в том же сегменте локальной

сети, что и атакуемый компьютер.

 

Brute Force

 

"Грубая сила",

атака используемая хакерами в тех случаях, когда доступ к системе

либо информации закрыт паролем, а уязвимостей не удалось обнару-

жить. Осуществляется простым перебором всех возможных либо наибо-

лее часто всречающихся паролей. Во втором случае brute force дос-

таточно часто называют "атакой по словарю".

30. Back Orifice (NetBus,Masters of Paradise и др)

ПО, используемое для удаленного администрирования ( управле-

ния ) системой. Подобные программы после установки обычно занимаю

какой-нибудь порт, например, 31337, и находятся в ожидание соеди-

нения. Хакеры сканирует Интернет в поиске инфицированного хоста.

В случае обнаружения они могут получить достаточно полный конт-

роль над системой, а именно: получать любые документы, пароли

информацию о владельце; следить за тем, что Вы набираете на кла-

виатуре; удалять, создавать, изменять и перемещать файлы; управ-

лять CD-ROM-ом; использовать Вашу систему для осуществления атак

на другие системы, так что подозрение в совершение их падет на

Вас. Представте себя, какие могут быть последствия для Вас если

хакер будет использовать Вашу систему для кражи денег у других

людей либо для противопровных действий против гос.структур. Back

Orifice может внедряться в другие программы, приложения, при за-

пуске которых происходит инфицирование системы.

 

Spam

 

Рассылка по электронной почте сообщений какого-либо характера

без согласия на это получателя. Периодически повторяющийся спам-

минг может нарушить работу пользователей из-за перегрузки сервера

электронной почты; вызвать переполнение почтовых ящиков, что при-

ведет к невозможности получения и отправки обычных сообщений;

увеличит время нахождения получателя "на линии", а это дополни-

тельные денежные расходы.

 

Virus

 

Программа, будучи однажды запущена, способная самопроизвольно

создавать свои копии, обладающие такими же способностями. Вирусы

могут искажать, модифицировать и уничтожать данные. Будучи подк-

люченным к сети Интернет вирус можно "подцепить" путем скачивания

какой-либо зараженной программы и последующего ее запуска у себя

на ПК; получить по электронной почте инфицированной программы ли-

бо в качестве присоединенного исполняемого кода при просмотре со-

общения; просмотреть интернетброузером www-страничку, содержащию

вирус; кто-либо закачает вирус на Ваш накопитель.

 

Trojan horse

 

Троянский конь, по греческому преданию, огромный деревянный

конь, в котором спрятались ахейские воины, осаждавшие Трою. Тро-

янцы, не подозревая хитрости, ввезли его в Трою. Ночью ахейцы

вышли из коня и впустили в город остальное войско. Выражение

"Троянский конь" стало нарицательным (дар врагу с целью его погу-

бить). Возвращаясь из прошлого к компьютерам и хакерам - "Троянс-

ким конем" стали называть любую функциональную возможность в

программе, специально встроенную для того, чтобы обойти системный

контроль секретности. Эта возможность может быть самоликвидируе-

мой, что делает невозможным ее обнаружение, или же может постоян-

но реализовываться, но существовать скрыто. Для хакера обычно не

составляет большого труда "заселить" Вам на ПК какую-либо версию

программы, содержащие функию "троянский конь". Хакер пишет прог-

рамму, предназначенную, например, для выполнения какой-нибудь ин-

тересной либо полезной функции: запуска игры, оптимизации работы

операционной системы или для увеличения скорости доступа в сеть

Интеренет. В программе спрятаны инструкции для прочтения файлов

паролей и отсылки их на адрес электронной почты хакера, или вы-

полнения другой скрытой операции. Затем хакер посылает Вам эту

программу по элетронной почте либо выкладывает ее для скачивания

на общедоступный www-сервер, подзагружает программу в BBS и -

внимание, это важно! - надеется, что пользватель запустит прог-

рамму. Для того чтобы это произошло хакер рассказавает в описание

на программу очень ярко ее необходимость и превосходство над дру-

гим подобным ПО, например, пишет так |эта программа позволит Вам

увеличить скорость доступа в Интернет на 300% - такого еще не бы-

ло|. Также функция "Троянкий конь" может встраиваться в вирус,

заражание которым Вашей ПЭВМ приведет к активизации этой функции.

Программа с функией "троянский конь" может также подделывать сис-

темное приглашение ввода логина и пароля. Неопытный пользователь

не сможет отличить фальшивое приглашение запроса логина и пароля

от настоящего, введет логин и пароль - тем самым отдаст их хаке-

ру. Описать все возможные способы обмана пользователя непредстов-

ляется возможным т.к. хакеры придумываю постоянно что-то новень-

кое, ранее неиспользуемое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Описание сетевых атак, определяемых продуктами фирмы Agnitum Ltd.

Они перекликаются с выше описанными атаками, но пользователям данных и других продуктов пригодится и такое описание.

post-169772-1245663029_thumb.jpg

Источник...

 

Тему закрываю.

С предложениями/дополнениями/исправлениями по данной теме просьба обращаться сюда - Жалобы и предложения

Изменено пользователем WIGF

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.