This page has been robot translated, sorry for typos if any. Original content here.

Les attaques de réseau et autre chose

Introduction aux attaques réseau

Brève description des attaques de réseau

Fragmentation des données

Transmission IP fragmentée

Attaque d'inondation Ping

PingOfDeath ou SSPing

Bombe UDP

SYN inondation

Protocoles personnalisés IP encapsulés

Utiliser TFTP

Attaque de Schtroumpf

Attaque terre

Introduction d'un faux serveur sur Internet en créant une "tempête" dirigée de fausses réponses DNS vers l'hôte attaqué

Introduction d'un faux serveur sur Internet en interceptant une requête DNS ou en créant une «tempête» dirigée de fausses réponses DNS sur le serveur DNS attaqué

Introduction d'un faux serveur DNS sur Internet en interceptant une requête DNS

Attaque par inondation DNS

Usurpation d'attaque DNS

Attaque d'usurpation d'adresse IP

Forfaits imposants

Sniffing - écoute du canal (possible uniquement dans le segment de réseau local)

Capture de paquets sur le routeur

Imposer une fausse route à un hôte en utilisant ICMP

Winnuke

Faux serveur ARP

Numéro de séquence TCP de prédiction (usurpation d'adresse IP)

Tempête locale

Détournement d'IP

Détection et protection des attaques

Méthodes d'analyse

Utiliser ARP

Scan réseau via DNS

Bombe UDP

Scan du port TCP

Balayage du port UDP

Balayage furtif

Analyse passive

Messages système et danger des informations qu'il contient

Quelques astuces lors de la recherche sur le réseau

Quelques autres moyens d'obtenir de l'information

Trous et erreurs administratives dans Windows NT

Spamming

Comment protéger le système de messagerie contre les spammeurs

Comment fonctionnent les spammeurs

Trous IIS, WWW, FTP

Introduction aux attaques réseau

L’intérêt croissant pour les réseaux TCP / IP est dû à la croissance rapide d’Internet. Cependant, cela vous amène à réfléchir à la manière de protéger vos ressources d'informations contre les attaques provenant d'un réseau externe. Si vous êtes connecté à Internet, votre système peut être attaqué. Les protocoles IP constituent la base de la construction de réseaux Intranet et d’Internet mondial. Bien que TCP / IP ait été financé par le département américain de la Défense, TCP / IP n'est pas totalement sécurisé et autorise les différents types d'attaques décrits dans ce chapitre. Pour mener de telles attaques, un attaquant potentiel doit pouvoir contrôler au moins un des systèmes connectés à Internet. L’une des approches de l’analyse des menaces à la sécurité des systèmes informatiques est l’affectation à une classe distincte de menaces inhérentes uniquement aux réseaux informatiques. Nous appellerons cette classe de menaces - la classe des attaques à distance. Cette approche de la classification semble légitime en raison de la présence de caractéristiques fondamentales dans la construction de systèmes d'exploitation de réseau. La principale caractéristique de tout système d’exploitation réseau est que ses composants sont répartis dans l’espace et que la communication entre eux est réalisée physiquement à l’aide de connexions réseau spéciales (câble coaxial, paire torsadée, fibre, etc.) et par programme, à l’aide du mécanisme de messagerie. Dans ce cas, tous les messages de contrôle et les données envoyés par un composant du système d'exploitation réseau à un autre composant sont transmis via des connexions réseau sous la forme de paquets d'échange. Cette fonctionnalité est la principale raison de l'émergence d'une nouvelle classe de menaces: les attaques à distance. Avec ce type d'attaque, l'attaquant interagit avec le destinataire des informations, l'expéditeur et / ou les systèmes intermédiaires, éventuellement en modifiant et / ou en filtrant le contenu des paquets TCP / IP. Ces types d'attaques semblent souvent techniquement difficiles à mettre en œuvre, cependant, pour un bon programmeur, il n'est pas difficile d'implémenter les outils appropriés. La capacité à générer des paquets IP arbitraires est un point clé pour la mise en œuvre d'attaques actives. Les attaques à distance peuvent être classées par type d'impact: actif ou passif. Les attaques actives peuvent être divisées en deux parties. Dans le premier cas, l'attaquant prend certaines mesures pour intercepter et modifier le flux de réseau ou pour tenter de "prétendre" être un autre système. Dans le second cas, le protocole TCP / IP est utilisé pour mettre le système victime hors service. Dans les attaques passives, les attaquants ne se détectent en aucune manière et n'interagissent pas directement avec d'autres systèmes. En fait, tout se résume à surveiller les données disponibles ou les sessions de communication. Bien que les attaques passives puissent violer les politiques de sécurité du réseau. L'idée de détecter une attaque est simple: un certain trafic réseau correspond à n'importe quelle attaque. Par conséquent, l'analyse du trafic vous permet de déterminer l'attaque et de détecter les «traces» de l'attaquant, c'est-à-dire déterminer les adresses IP à partir desquelles l'impact de l'information a été effectué. Ainsi, la détection d'attaques est effectuée par le procédé de surveillance des flux d'informations, qui est réalisé en analysant le trafic réseau.

Brève description des attaques de réseau

Il convient de rappeler que des méthodes brutes telles que le ping de paquets volumineux ou l'inondation SYN peuvent submerger toute machine Internet ou tout sous-réseau, quelle que soit la configuration.

Fragmentation des données

Lorsqu'un paquet de données de protocole IP est transmis sur le réseau, ce paquet peut être divisé en plusieurs fragments. Ensuite, lorsque la destination est atteinte, le paquet est restauré à partir de ces fragments. Un attaquant peut provoquer l'envoi d'un grand nombre de fragments, ce qui provoque un débordement de la mémoire tampon logicielle côté réception et, dans certains cas, une panne du système.

Transmission de paquets IP fragmentés avec un volume total de plus de 64 Ko

Le nombre d'implémentations d'attaques utilisant la possibilité de fragmenter des paquets IP est assez important. Plusieurs paquets IP fragmentés sont transmis à l'ordinateur victime. Lors de l'assemblage, ils forment un paquet supérieur à 64 Ko (la taille maximale du paquet IP est de 64 Ko moins la longueur de l'en-tête). Cette attaque était efficace contre les ordinateurs exécutant Windows. À la réception d'un tel package, Windows NT, qui ne possède pas de correctif icmp-fix spécial, se bloque ou se bloque. D'autres variantes de telles attaques utilisent des décalages incorrects dans les fragments IP, ce qui entraîne une allocation incorrecte de la mémoire, des dépassements de mémoire tampon et, finalement, des dysfonctionnements du système.

Contre-réaction: pour identifier de telles attaques, il est nécessaire de réaliser et d'analyser l'assemblage de paquets à la volée, ce qui augmentera considérablement les exigences en matériel.

Attaque d'inondation Ping

Il est apparu parce que le programme "ping", conçu pour évaluer la qualité de la ligne, a la clé des tests "agressifs". Dans ce mode, les demandes sont envoyées le plus rapidement possible et le programme vous permet d’évaluer le fonctionnement du réseau à la charge maximale. Cette attaque nécessite un attaquant pour accéder aux canaux rapides sur Internet. Rappelez-vous comment fonctionne le ping. Le programme envoie un paquet ICMP de type ECHO REQUEST, en définissant l'heure et son identifiant. Le noyau de la machine réceptrice répond à une requête similaire avec le paquet ICMP ECHO REPLY. Après l'avoir reçu, ping donne la vitesse du paquet. En mode de fonctionnement standard, les paquets sont envoyés à certains intervalles, pratiquement sans charger le réseau. Mais dans le mode «agressif», le flux de paquets demande / réponse d'écho ICMP peut surcharger une petite ligne, le privant de la possibilité de transmettre des informations utiles. Naturellement, le cas du ping est un cas particulier d’une situation plus générale liée à la congestion des canaux. Par exemple, un attaquant peut envoyer de nombreux paquets UDP sur le 19ème port de la machine victime et si, conformément aux règles généralement acceptées, il dispose d’un générateur de caractères sur le 19ème port UDP qui répond aux paquets contenant des lignes de 80 octets. Notez qu'un attaquant peut également simuler l'adresse de retour de tels paquets, ce qui la rend difficile à détecter. Seul le travail coordonné de spécialistes sur les routeurs intermédiaires aidera à le suivre, ce qui est presque impossible. L'une des options d'attaque consiste à envoyer des paquets de requête d'écho ICMP avec l'adresse source pointant vers la victime pour diffuser les adresses de réseaux étendus. En conséquence, chacune des machines répondra à cette demande fictive et la machine émettrice recevra plus de réponses. En envoyant un grand nombre de demandes d'écho de diffusion au nom de la "victime" aux adresses de diffusion de grands réseaux, vous pouvez provoquer un remplissage précis du canal "victime". Les signes d’inondation sont une forte augmentation de la charge sur le réseau (ou le canal) et une augmentation du nombre de paquets spécifiques (tels que ICMP). À titre de protection, il est recommandé de configurer les routeurs dans lesquels ils filtreront le même trafic ICMP dépassant une valeur prédéfinie (paquets / unité de temps). Pour vous assurer que vos machines ne peuvent pas servir de source d’inondation de ping, limitez l’accès à ping.

PingOfDeath ou SSPing

Son essence est la suivante: un paquet ICMP de grande taille et très fragmenté (64 Ko) est envoyé à la machine de la victime. La réaction des systèmes Windows à recevoir un tel paquet est un blocage inconditionnel, y compris une souris et un clavier. Le programme d’attaque est largement disponible sur le réseau en tant que source en C et en tant que fichier exécutable pour certaines versions d’Unix. Il est curieux de constater que, contrairement à WinNuke, non seulement les machines Windows peuvent être victimes d’une telle attaque, mais également les versions MacOS et Unix. Cette méthode d’attaque présente les avantages suivants: en général, le pare-feu transmet les paquets ICMP. Si le pare-feu est configuré pour filtrer les adresses des expéditeurs, vous pouvez également tromper ce pare-feu à l’aide de simples techniques d’espionnage. L'inconvénient de PingOfDeath est que, pour une attaque, vous devez envoyer plus de 64 Ko sur le réseau, ce qui le rend généralement impropre à un sabotage à grande échelle.

Bombe UDP

Le paquet UDP transmis contient le mauvais format de champ de service. Certaines versions plus anciennes du logiciel réseau entraînent un plantage lors de la réception d'un tel paquet.

SYN inondation

L'inondation des paquets SYN est le moyen le plus connu de «boucher» un canal d'information. Rappelez le fonctionnement de TCP / IP avec les connexions entrantes. Le système répond au paquet S-SYN / C-ACK entrant du paquet C-SYN, met la session à l'état SYN_RECEIVED et la place dans la file d'attente. Si le client ne reçoit pas le S-ACK dans le délai spécifié, la connexion est retirée de la file d'attente, sinon la connexion est transférée à l'état ESTABLISHED. Prenons le cas où la file d'attente des connexions d'entrée est déjà pleine et que le système reçoit un paquet SYN qui vous invite à établir une connexion. Par RFC, il sera silencieusement ignoré. L'inondation des paquets SYN est basée sur le débordement de la file d'attente du serveur, après quoi le serveur cesse de répondre aux demandes des utilisateurs. L’attaque la plus célèbre de ce type est l’attaque de Panix, un fournisseur new-yorkais. Panix n'a pas fonctionné pendant 2 semaines. Dans différents systèmes, le travail avec la file d'attente est implémenté différemment. Ainsi, dans les systèmes BSD, chaque port a sa propre file d’attente de 16 éléments. Au contraire, dans les systèmes SunOS, une telle séparation n’existe pas et le système a simplement une file d’attente commune de grande taille. Par conséquent, pour bloquer, par exemple, le port WWW du BSD, 16 paquets SYN suffisent et, pour Solaris 2.5, leur nombre sera beaucoup plus important. Après un certain temps (selon l'implémentation), le système supprime les demandes de la file d'attente. Cependant, rien n'empêche l'attaquant d'envoyer un nouveau lot de demandes. Ainsi, même en étant sur une connexion 2400 bps, un attaquant peut envoyer 20-30 paquets toutes les minutes et demie au serveur FreeBSD, le maintenant inopérant (naturellement, cette erreur a été corrigée dans les dernières versions de FreeBSD). Comme d'habitude, un attaquant peut tirer parti des adresses IP de retour aléatoires lors de la génération de paquets, ce qui rend difficile la détection et le filtrage de son trafic. La détection est simple: un grand nombre de connexions sont à l'état SYN_RECEIVED, ignorant les tentatives de connexion à ce port. Comme protection, nous pouvons recommander des correctifs qui implémentent un «amincissement» automatique de la file d'attente, par exemple, basé sur l'algorithme Early Random Drop. Pour savoir si votre système est protégé contre les inondations SYN, contactez votre fournisseur de système. Une autre option de protection consiste à configurer le pare-feu de manière à ce qu'il établisse toutes les connexions TCP / IP entrantes, puis seulement les transfère à l'intérieur du réseau vers la machine donnée. Cela vous permettra de limiter l’inondation de synchronisation et de ne pas la laisser pénétrer à l’intérieur du réseau. Cette attaque fait référence à des attaques par déni de service qui empêchent de fournir des services. L'attaque vise généralement un service spécifique, par exemple telnet ou ftp. Il consiste à transmettre des paquets d'établissement de connexion au port correspondant au service attaqué. À la réception de la demande, le système alloue des ressources pour la nouvelle connexion, après quoi il tente de répondre à la demande (envoie le message "SYN-ACK") à une adresse inaccessible. Par défaut, les versions 3.5 à 4.0 de NT essaieront de répéter la confirmation 5 fois - après 3, 6, 12, 24 et 48 secondes. Après cela, pendant 96 secondes supplémentaires, le système peut attendre une réponse et libère ensuite les ressources allouées pour la prochaine connexion. Le temps total pris par les ressources est de 189 secondes.

Protocoles personnalisés IP encapsulés

Le paquet IP contient un champ qui définit le protocole du paquet encapsulé (TCP, UDP, ICMP). Les attaquants peuvent utiliser la valeur non standard de ce champ pour transférer des données qui ne seront pas enregistrées par des moyens standard de contrôle des flux d'informations.

Utiliser TFTP

Ce protocole ne contient pas de mécanismes d'authentification, raison pour laquelle il est attrayant pour les attaquants.

Attaque de Schtroumpf

L'attaque de smurf consiste à envoyer des demandes de diffusion ICMP au réseau pour le compte de l'ordinateur victime. En conséquence, les ordinateurs qui reçoivent de tels paquets de diffusion répondent à l'ordinateur victime, ce qui entraîne une diminution significative de la bande passante du canal de communication et, dans certains cas, une isolation complète du réseau attaqué. L’attaque de Schtroumpf est exceptionnellement efficace et généralisée. Contre-réaction: pour reconnaître cette attaque, il est nécessaire d'analyser la charge du canal et de déterminer les raisons de la diminution du débit.

Attaque terre

L'attaque terrestre exploite les vulnérabilités de la mise en œuvre de la pile TCP / IP dans certains systèmes d'exploitation. Il consiste à transmettre un paquet TCP avec le drapeau SYN défini sur le port ouvert de l'ordinateur victime, l'adresse source et le port d'un tel paquet étant égaux à l'adresse et au port de l'ordinateur attaqué. Cela entraîne le fait que l'ordinateur victime tente d'établir une connexion avec lui-même, ce qui augmente considérablement la charge du processeur et peut provoquer un «gel» ou un redémarrage. Cette attaque est très efficace sur certains modèles de routeurs Cisco Systems et l'application réussie d'une attaque sur un routeur peut endommager tout le réseau de l'organisation. Counteraction: vous pouvez vous protéger de cette attaque, par exemple en installant un filtre de paquets entre le réseau interne et Internet, en définissant une règle de filtrage afin de supprimer les paquets provenant d'Internet, mais avec les adresses IP source des ordinateurs du réseau interne.

Introduction d'un faux serveur sur Internet en créant une "tempête" dirigée de fausses réponses DNS vers l'hôte attaqué

Un autre mode de réalisation d'une attaque à distance dirigée vers le service DNS est basé sur le deuxième type d'attaque à distance typique «objet fictif d'aéronef». Dans ce cas, l'attaquant transmet en permanence à l'hôte attaqué une réponse DNS fausse préalablement préparée pour le compte du serveur DNS réel sans recevoir de requête DNS. En d’autres termes, l’attaquant crée une «tempête» dirigée de fausses réponses DNS sur Internet. Cela est possible, car UDP est généralement utilisé pour transmettre la requête DNS, qui ne dispose pas d'outils d'identification de paquets. Le seul critère présenté par le système d'exploitation hôte à la réponse reçue du serveur DNS est, d'une part, que l'adresse IP de l'expéditeur de la réponse correspond à l'adresse IP du serveur DNS, et, d'autre part, que le nom DNS doit contenir le même nom, comme dans la requête DNS, troisièmement, la réponse DNS devrait être dirigée vers le même port UDP à partir duquel la requête DNS a été envoyée (dans ce cas, il s'agit du premier problème pour l'attaquant) et, quatrièmement, dans DNS -réponse le champ d'identifiant de requête dans l'en-tête DNS (ID) doit contenir la même valeur que dans la requête DNS transmise (c'est le deuxième problème). Dans ce cas, l'attaquant ne pouvant pas intercepter la requête DNS, le principal problème pour lui est le numéro de port UDP à partir duquel la requête a été envoyée. Mais le numéro de port de l'expéditeur accepte un ensemble limité de valeurs (1023?). Par conséquent, il suffit qu'un attaquant se contente de la force brutale et envoie de fausses réponses à la liste de ports correspondante. À première vue, le deuxième problème peut être l'identifiant à deux octets de la requête DNS, mais dans ce cas, il est égal à un ou sa valeur est proche de zéro (une requête - l'ID est augmenté de 1). Par conséquent, pour mener à bien cette attaque à distance, l'attaquant doit sélectionner l'hôte (A) qui l'intéresse, la route sur laquelle vous souhaitez changer, afin qu'il passe par un faux serveur, l'hôte de l'attaquant. Ceci est réalisé par une transmission constante (dirigée par un "orage") à l'attaquant de fausses réponses DNS à l'hôte attaqué pour le compte du serveur DNS réel aux ports UDP correspondants. Dans ces fausses réponses DNS, l'adresse IP de l'attaquant est indiquée en tant qu'adresse IP d'hôte A. En outre, l'attaque se développe comme suit. Dès que la cible de l'attaque (l'hôte attaqué) est adressée à l'hôte A par son nom , une requête DNS est transmise de cet hôte au réseau, ce que l'attaquant ne recevra jamais, mais cela n'est pas obligatoire, car l'hôte recevra immédiatement un faux La réponse DNS, qui sera perçue par le système d'exploitation de l'hôte attaqué comme une réponse réelle du serveur DNS. L’attaque a eu lieu et l’hôte attaqué transfèrera tous les paquets destinés à A à l’adresse IP de l’hôte de l’attaquant, qui les transmettra à A en agissant sur les informations interceptées conformément au schéma «structure fictive distribuée distribuée distribuée». Examinons le schéma fonctionnel de l'attaque à distance proposée sur le service DNS: • transmission constante de fausses réponses DNS à l'hôte attaqué vers divers ports UDP et, éventuellement, avec différents ID, pour le compte du serveur DNS réel (à partir de l'adresse IP) avec le nom de l'hôte d'intérêt et sa fausse adresse IP, qui seront est l'adresse IP du faux serveur - l'hôte de l'attaquant; • en cas de réception d'un paquet de l'hôte, changer l'adresse IP du paquet dans l'en-tête IP du paquet en adresse IP de l'attaquant et transmettre le paquet au serveur (en d'autres termes, le faux serveur travaille avec le serveur en son nom - à partir de son adresse IP); • en cas de réception d'un paquet du serveur, changer l'adresse IP du paquet dans l'en-tête IP du paquet en l'adresse IP du faux serveur et transférer le paquet à l'hôte (pour l'hôte, le faux serveur est le vrai serveur). Ainsi, la mise en œuvre de cette attaque à distance, qui utilise les lacunes de la sécurité du DNS, vous permet de perturber le routage entre deux objets donnés à partir de n’importe où sur Internet. C'est-à-dire que cette attaque à distance est effectuée entre segments par rapport à la cible de l'attaque et menace la sécurité de tout hôte Internet utilisant le service DNS normal.

Introduction d'un faux serveur sur Internet en interceptant une requête DNS ou en créant une «tempête» dirigée de fausses réponses DNS sur le serveur DNS attaqué

Dans le schéma de recherche DNS distant, il s'ensuit que si le serveur DNS n'a pas trouvé le nom spécifié dans la requête dans sa base de données de noms, la requête est alors envoyée par le serveur à l'un des serveurs DNS racine dont les adresses figurent dans le fichier de paramètres du serveur root.cache. . En d’autres termes, si le serveur DNS ne dispose pas d’informations sur l’hôte demandé, il transmet ensuite la demande, ce qui signifie que le serveur DNS lui-même est à l’origine de la recherche DNS à distance. Par conséquent, rien n'empêche l'attaquant, à l'aide des méthodes décrites dans le paragraphe précédent, d'envoyer son attaque au serveur DNS. En d'autres termes, la cible de l'attaque ne sera plus l'hôte, mais le serveur DNS et les réponses DNS fausses seront envoyées par l'attaquant pour le compte du serveur DNS racine au serveur DNS attaqué. Il est important de prendre en compte la fonctionnalité suivante du serveur DNS. Pour accélérer les opérations, chaque serveur DNS met en cache dans la zone de mémoire sa propre table de noms d’hôte et d’adresses IP. Des informations changeantes de manière dynamique sur les noms et les adresses IP des hôtes trouvés lors du fonctionnement du serveur DNS sont entrées dans le cache. En d’autres termes, si le serveur DNS, après avoir reçu la demande, ne trouve pas l’enregistrement correspondant dans sa table de cache, il transmet la réponse au serveur suivant et, lorsqu’il reçoit la réponse, stocke en mémoire les informations trouvées dans la table de cache. Ainsi, lors de la réception de la demande suivante, le serveur DNS n'a plus besoin d'effectuer de recherche à distance, car les informations nécessaires se trouvent déjà dans sa table de mémoire cache. L'analyse du schéma détaillé de la recherche DNS à distance décrite ci-dessus montre qu'il est évident que si l'attaquant envoie une fausse réponse DNS en réponse à une requête du serveur DNS (ou dans le cas d'une «tempête» de fausses réponses, il les transmettra constamment), une entrée correspondante contenant de fausses informations apparaîtra dans la table de cache du serveur et, à l'avenir, tous les hôtes accédant à ce serveur DNS seront mal informés. Lors de l'accès à l'hôte, la route sur laquelle l'attaquant a décidé de changer, la communication avec lui passe par l'hôte de l'attaquant. selon les schémas e "faux objet du soleil". Et au fil du temps, ces fausses informations qui pénètrent dans la mémoire cache du serveur DNS seront distribuées aux serveurs DNS voisins de niveau supérieur et, par conséquent, de plus en plus d'hôtes sur Internet seront mal informés et attaqués. Évidemment, si l'attaquant ne peut pas intercepter la requête DNS du serveur DNS, il a besoin d'un «assaut» de fausses réponses DNS dirigées vers le serveur DNS pour mettre en œuvre l'attaque. Dans ce cas, le problème principal suivant se pose, qui est différent du problème de sélection de port en cas d'attaque dirigée contre l'hôte. Comme indiqué précédemment, le serveur DNS, en envoyant une demande à un autre serveur DNS, identifie cette demande avec une valeur à double octet (ID). Cette valeur est incrémentée de un à chaque demande transmise. L'attaquant ne peut pas connaître la valeur actuelle de l'identificateur de requête DNS. Il est donc plutôt difficile d’offrir autre chose que d’énumérer 2 16 valeurs d’ID possibles. Mais le problème de l'énumération des ports disparaît, car toutes les requêtes DNS sont transmises par le serveur DNS au port 53. Le problème suivant, qui conditionne cette attaque à distance sur le serveur DNS avec une "tempête" dirigée de réponses DNS fausses, est que l'attaque ne réussira que si le serveur DNS envoie une requête pour rechercher un nom spécifique (qui contient dans une fausse réponse DNS). Le serveur DNS envoie cette requête, qui est si nécessaire et souhaitable pour l’attaquant, s’il reçoit une requête DNS de tout hôte pour rechercher ce nom et que ce nom n’apparaît pas dans la table de cache du serveur DNS. En principe, cette demande peut arriver à tout moment et l'attaquant peut être obligé d'attendre les résultats de l'attaque aussi longtemps qu'il le souhaite. Cependant, rien n'empêche l'attaquant, sans attendre que quiconque n'envoie lui-même une requête DNS similaire au serveur DNS attaqué et provoque le serveur DNS à rechercher le nom spécifié dans la requête. Ensuite, cette attaque est susceptible de réussir presque immédiatement après le début de sa mise en œuvre.

Introduction d'un faux serveur DNS sur Internet en interceptant une requête DNS

Dans ce cas, il s'agit d'une attaque à distance basée sur une attaque à distance typique standard associée à l'attente d'une recherche DNS. Avant de considérer l'algorithme utilisé pour attaquer le service DNS, vous devez faire attention aux subtilités suivantes dans le travail de ce service. Tout d'abord, par défaut, le service DNS fonctionne sur la base du protocole UDP (bien qu'il soit possible d'utiliser le protocole TCP), ce qui le rend naturellement moins sécurisé, car le protocole UDP, contrairement à TCP, ne fournit aucun moyen d'identifier les messages. Afin de passer d'UDP à TCP, l'administrateur du serveur DNS devra étudier sérieusement la documentation. De plus, cette transition ralentira quelque peu le système, car d’une part, lorsqu’on utilise TCP, une connexion virtuelle est requise et, d’autre part, les systèmes d’exploitation réseau finaux envoient d’abord une requête DNS en utilisant le protocole UDP et, le cas échéant, une réponse spéciale du serveur DNS, le système d’exploitation du réseau enverra une requête DNS à l’aide de TCP. Deuxièmement, la subtilité suivante à laquelle vous devez faire attention est que la valeur du champ "port de l'expéditeur" dans le paquet UDP prend d'abord la valeur 1023 (?) Et augmente ensuite à chaque requête DNS transmise. Troisièmement, la valeur de l'identifiant (ID) de la requête DNS se comporte comme suit. Si une requête DNS est envoyée à partir de l'hôte, sa valeur dépend de l'application réseau particulière qui génère la requête DNS. Les expériences de l’auteur ont montré que, dans le cas du transfert d’une requête depuis le shell du shell des systèmes d’exploitation Linux et Windows '95 (par exemple, ftp nic.funet.fi), cette valeur est toujours égale à un. Si une requête DNS est transmise à partir de Netscape Navigator, le navigateur lui-même augmente cette valeur d'une unité à chaque nouvelle requête. Si la demande est transmise directement par le serveur DNS, le serveur augmente la valeur de cet identificateur de un à chaque nouvelle demande transmise. Toutes ces subtilités importent en cas d’attaque sans intercepter une requête DNS. Pour mettre en œuvre une attaque en interceptant une requête DNS, l'attaquant doit intercepter la requête DNS, en extraire le numéro de port UDP de l'expéditeur de la requête, la valeur à double octet de l'identifiant d'identifiant de requête DNS et le nom à rechercher, puis envoyer une fausse réponse DNS à la requête DNS extraite. Port UDP où spécifier l'adresse IP réelle du faux serveur DNS en tant qu'adresse IP à rechercher. Cela permettra à l'avenir d'intercepter complètement et d'influencer activement le trafic entre l'hôte "trompé" et le serveur selon le schéma "RVS False Object". Considérons un schéma généralisé d'un faux serveur DNS: • en attente d'une requête DNS; • avoir reçu une requête DNS, en extrayant les informations nécessaires et en transmettant une fausse réponse DNS sur le réseau à l'hôte demandeur, au nom du serveur DNS réel (à partir de l'adresse IP), qui indique l'adresse IP du faux serveur DNS; • dans le cas de la réception d'un paquet de l'hôte, changer l'adresse IP du paquet dans l'en-tête IP du paquet en l'adresse IP du faux serveur DNS et envoyer le paquet au serveur (en d'autres termes, le faux serveur DNS travaille avec le serveur en son nom); • en cas de réception d'un paquet du serveur, changer l'adresse IP du paquet dans l'en-tête IP du paquet en l'adresse IP du faux serveur DNS et transférer le paquet à l'hôte (pour l'hôte, le faux serveur DNS est le serveur réel). Une condition préalable à la mise en œuvre de cette option d'attaque consiste à intercepter une requête DNS. Cela n'est possible que si l'attaquant se trouve sur le chemin de trafic principal ou dans un segment d'un serveur DNS réel. La réalisation de l'une de ces conditions pour l'emplacement de l'attaquant sur le réseau rend une telle attaque distante difficile à pratiquer (en pénétrant dans le segment du serveur DNS et, de plus, dans le canal de communication inter-segment, l'attaquant échouera probablement). Toutefois, si ces conditions sont remplies, il est possible de mener une attaque intersegment à distance sur Internet . Notez que la mise en œuvre pratique de cette attaque à distance a révélé un certain nombre de fonctionnalités intéressantes dans le fonctionnement du protocole FTP et dans le mécanisme d'identification des paquets TCP. Si le client FTP de l'hôte connecté au serveur FTP distant via un faux serveur DNS, il s'est avéré que chaque fois que l'utilisateur exécutait une commande d'application FTP (par exemple, ls, get, put, etc.), le client FTP J’ai développé la commande PORT, qui consistait à transférer le numéro de port et l’adresse IP de l’hôte client au serveur FTP dans le champ de données des paquets TCP (il est difficile de trouver une signification spéciale - pourquoi transférer chaque fois l’adresse IP du client vers le serveur FTP)! Cela a entraîné le fait que si vous ne modifiez pas l'adresse IP transmise dans le champ de données du paquet TCP sur le faux serveur DNS et si vous transférez ce paquet sur le serveur FTP de la manière habituelle, le paquet suivant sera transféré par le serveur FTP à l'hôte du client FTP. en contournant le faux serveur DNS et, ce qui est le plus intéressant, ce paquet sera perçu comme un paquet normal et, à l'avenir, le faux serveur DNS perdra le contrôle du trafic entre le serveur FTP et le client FTP! Cela est dû au fait qu'un serveur FTP standard ne fournit aucune identification supplémentaire d'un client FTP, mais transfère tous les problèmes d'identification de paquet et de connexion à un niveau inférieur - le niveau TCP.

Attaque par inondation DNS

L'inondation DNS est une attaque dirigée contre les serveurs de noms Internet. Elle consiste à transmettre un grand nombre de requêtes DNS et conduit au fait que les utilisateurs ne peuvent pas accéder au service de noms. Ainsi, l'incapacité des utilisateurs ordinaires à travailler est assurée. Counteraction: pour identifier cette attaque, il est nécessaire d'analyser la charge du serveur DNS et d'identifier les sources des requêtes.

Usurpation d'attaque DNS

Le résultat de cette attaque est l’introduction d’une correspondance imposée entre l’adresse IP et le nom de domaine dans le cache du serveur DNS. Suite au succès d’une telle attaque, tous les utilisateurs du DNS Nord recevront des informations incorrectes sur les noms de domaine et les adresses IP. Cette attaque est caractérisée par un grand nombre de paquets DNS portant le même nom de domaine. Cela est dû à la nécessité de sélectionner certains paramètres de l'échange DNS. Counteraction: afin de détecter une telle attaque, il est nécessaire d'analyser le contenu du trafic DNS.

Attaque d'usurpation d'adresse IP (syslog)

Un grand nombre d'attaques sur Internet sont associées à la substitution de l'adresse IP source. L'usurpation d'identité Syslog fait également référence à de telles attaques, qui consistent à envoyer un message à un ordinateur victime pour le compte d'un autre ordinateur du réseau interne. Etant donné que le protocole syslog est utilisé pour la maintenance des journaux du système, la transmission de faux messages à l'ordinateur victime peut imposer des informations ou remplacer les traces d'accès non autorisé. Contre-mesures: l' identification d'attaques liées à la substitution d'adresses IP est possible lors du contrôle de la réception d'un paquet avec l'adresse source de la même interface sur l'une des interfaces ou lors du contrôle de la réception des paquets sur l'interface externe avec les adresses IP du réseau interne.

Forfaits imposants

Un attaquant envoie des paquets avec une fausse adresse de retour sur le réseau. Avec cette attaque, un attaquant peut commuter les connexions établies entre d’autres ordinateurs sur son ordinateur. Dans ce cas, les droits d'accès de l'attaquant deviennent égaux à ceux de l'utilisateur dont la connexion au serveur a été commutée sur l'ordinateur de l'attaquant.

Sniffing - écoute du canal (possible uniquement dans le segment de réseau local)

Presque toutes les cartes réseau prennent en charge la capacité d'intercepter les paquets transmis sur un canal commun sur un réseau local. Dans ce cas, le poste de travail peut recevoir des paquets adressés à d'autres ordinateurs du même segment de réseau. Ainsi, tout échange d'informations dans un segment de réseau devient disponible pour un attaquant. Pour réussir la mise en œuvre de cette attaque, l'ordinateur de l'attaquant doit se situer dans le même segment du réseau local que l'ordinateur attaqué.

Capture de paquets sur le routeur

Le logiciel réseau du routeur a accès à tous les paquets réseau transmis par ce routeur, ce qui permet la capture de paquets. Pour mettre en œuvre cette attaque, un attaquant doit disposer d'un accès privilégié à au moins un routeur de réseau. Étant donné qu'un grand nombre de paquets sont généralement transmis via un routeur, leur interception totale est presque impossible. Cependant, des paquets individuels peuvent très bien être interceptés et stockés pour une analyse ultérieure par un attaquant. L'interception la plus efficace des paquets FTP contenant des mots de passe utilisateur, ainsi que du courrier électronique.

Imposer une fausse route à un hôte en utilisant ICMP

Sur Internet, il existe ICMP (Internet Control Message Protocol), dont l’une des fonctions est d’informer les hôtes du changement de routeur actuel. Ce message de contrôle s'appelle redirection. Il est possible d'envoyer depuis n'importe quel hôte du segment de réseau un faux message de redirection de la part du routeur à l'hôte attaqué. En conséquence, l'hôte modifie la table de routage actuelle et, par la suite, tout le trafic réseau de cet hôte passera, par exemple, l'hôte qui a envoyé le faux message de redirection. Ainsi, il est possible d'imposer activement une fausse route au sein d'un seul segment d'Internet.

Winnuke

Outre les données habituelles envoyées via une connexion TCP, le standard permet également la transmission de données urgentes (hors bande). En termes de formats de paquets TCP, cela se traduit par un pointeur urgent différent de zéro. La plupart des PC avec Windows ont un protocole réseau NetBIOS, qui utilise 3 ports IP pour leurs besoins: 137, 138, 139. Comme il s’est avéré, si vous vous connectez à une machine Windows à 139 ports et envoyez plusieurs octets de données OutOfBand, puis la mise en œuvre de NetBIOS ne sachant pas quoi faire avec ces données suspend simplement ou recharge la machine. Pour Windows 95, cela ressemble généralement à un écran de texte bleu, signalant une erreur dans le pilote TCP / IP et l'impossibilité de travailler avec le réseau jusqu'à ce que le système d'exploitation soit redémarré. NT 4.0 sans Service Pack est redémarré, NT 4.0 avec un deuxième Service Pack s'affiche à l'écran bleu. Un envoi similaire de données à 135 et à certains autres ports entraîne une charge importante du processeur RPCSS.EXE. Sur NTWS, cela entraîne un ralentissement important, le SNRC est pratiquement gelé.

Faux serveur ARP

Sur Internet, chaque hôte a une adresse IP unique, qui reçoit tous les messages du réseau mondial. Cependant, IP n'est pas tant un protocole de réseau qu'un protocole d'échange interréseau conçu pour la communication entre objets d'un réseau mondial. Au niveau de la couche liaison, les paquets sont adressés aux adresses matérielles des cartes réseau. Internet utilise ARP (Address Resolution Protocol) pour une correspondance un à un entre adresses IP et Ethernet. Initialement, un hôte peut ne pas avoir d'informations sur les adresses Ethernet d'autres hôtes se trouvant dans le même segment que lui, y compris l'adresse Ethernet du routeur. En conséquence, au premier accès aux ressources du réseau, l'hôte envoie une demande ARP de diffusion, qui sera reçue par toutes les stations de ce segment de réseau. Après réception de cette demande, le routeur envoie une réponse ARP à l'hôte demandeur, dans laquelle il indique son adresse Ethernet. Ce schéma de travail permet à un attaquant d'envoyer une fausse réponse ARP, dans laquelle il se déclare hôte (par exemple, un routeur) et surveille activement tout le trafic réseau de l'hôte "fraudé".

Numéro de séquence TCP de prédiction (usurpation d'adresse IP)

Dans ce cas, le but de l'attaquant est de prétendre être un autre système, qui, par exemple, est «approuvé» par le système victime. La méthode est également utilisée à d’autres fins - par exemple, utiliser le SMTP de la victime pour envoyer de faux courriels. Une connexion TCP est établie en trois étapes: le client sélectionne et transmet le numéro de séquence au serveur (appelons-le C-SYN). En réponse, le serveur envoie au client un paquet de données contenant une confirmation (C-ACK) et son propre numéro de séquence (S-SYN). ) Maintenant, le client doit envoyer une confirmation (S-ACK). Après cela, la connexion est considérée comme établie et l'échange de données commence. En même temps, chaque paquet a un champ pour le numéro de séquence et le numéro d'accusé de réception dans l'en-tête. Ces nombres augmentent lors de l'échange de données et vous permettent de contrôler l'exactitude de la transmission. Supposons qu'un attaquant puisse prédire quel numéro de séquence (S-SYN selon le schéma) sera envoyé par le serveur. Cela peut être fait en fonction de la connaissance d'une implémentation TCP / IP particulière. Par exemple, dans 4.3BSD, la valeur du numéro de séquence, qui sera utilisée lors de la définition de la valeur suivante, augmente de 125 000 toutes les secondes. Ainsi, en envoyant un paquet au serveur, l’attaquant recevra une réponse et pourra (en quelques tentatives et avec l’ajustement de la vitesse de connexion) prédire numéro de séquence pour la prochaine connexion. Si la mise en œuvre TCP / IP utilise un algorithme spécial pour déterminer le numéro de séquence, vous pouvez le déterminer en envoyant plusieurs dizaines de paquets au serveur et en analysant ses réponses. Supposons donc que le système A approuve le système B, de sorte que l'utilisateur du système B puisse créer "rlogin A" et se retrouver sur A sans entrer de mot de passe. Supposons que l'attaquant se trouve sur le système C. Le système A agit en tant que serveur, les systèmes B et C en tant que clients. La première tâche de l'attaquant consiste à amener le système B dans un état tel qu'il ne peut pas répondre aux requêtes du réseau. Cela peut être fait de plusieurs façons. Dans le cas le plus simple, il vous suffit d'attendre le redémarrage du système B. Quelques minutes, pendant lesquelles il sera inopérant, devraient suffire. Ensuite, l’attaquant peut prétendre être le système B pour pouvoir accéder au système A (au moins pendant une courte période). L'attaquant envoie plusieurs paquets IP initiant la connexion au système A afin de déterminer l'état actuel du numéro de séquence du serveur. L'attaquant envoie un paquet IP dans lequel l'adresse du système B est déjà indiquée comme adresse de retour. Le système A répond avec un paquet de numéro de séquence, qui est envoyé au système B. Cependant, le système B ne le recevra jamais (il est désactivé), car, d’ailleurs, est un attaquant. Mais sur la base d'une analyse précédente, il devine quel numéro de séquence a été envoyé au système B. L'attaquant confirme la «réception» du paquet de A en envoyant un paquet avec le prétendu S-ACK pour le compte de B (notez que si les systèmes sont situés dans un segment, il devra déterminer la séquence. nombre est suffisant pour intercepter le paquet envoyé par le système A). Après cela, si l'attaquant a eu de la chance et que le numéro de séquence du serveur a été correctement deviné, la connexion est considérée comme établie. L’attaquant peut désormais envoyer un autre faux paquet IP contenant déjà des données. Par exemple, si l'attaque visait rsh, elle pourrait contenir des commandes permettant de créer un fichier .rhosts ou d'envoyer / etc / passwd à un attaquant par courrier électronique. Counteraction: les paquets avec des adresses internes provenant du monde extérieur serviront de signal d'usurpation d'adresse IP le plus simple. Le logiciel du routeur peut alerter l'administrateur. Toutefois, ne vous flattez pas - une attaque peut également provenir de votre réseau. En cas d'utilisation de moyens plus intelligents de surveillance du réseau, l'administrateur peut surveiller (en mode automatique) les paquets provenant de systèmes dont l'état est inaccessible. Cependant, qu'est-ce qui empêche un attaquant de simuler le fonctionnement du système B en réponse à des paquets ICMP? Quelles méthodes existent pour se protéger contre l'usurpation d'adresse IP? Tout d'abord, il est possible de compliquer ou de rendre impossible la conjecture du numéro de séquence (élément clé de l'attaque). Par exemple, vous pouvez augmenter le taux de changement du numéro de séquence sur le serveur ou sélectionner le coefficient d’augmentation du numéro de séquence de manière aléatoire (en utilisant de préférence un algorithme cryptographiquement robuste pour générer des nombres aléatoires). Si le réseau utilise un pare-feu (ou un autre filtre de paquets IP), vous devez lui ajouter des règles selon lesquelles tous les paquets provenant de l'extérieur et ayant des adresses de retour de notre espace d'adressage ne doivent pas être autorisés à l'intérieur du réseau. En outre, vous devez minimiser la confiance des machines les unes envers les autres. Idéalement, il ne devrait pas y avoir de moyen d'accéder directement à une machine du réseau voisin en obtenant les droits de superutilisateur sur l'une d'entre elles. Bien entendu, cela ne vous évitera pas d'utiliser des services ne nécessitant pas d'autorisation, par exemple, IRC (un attaquant peut prétendre être une machine Internet arbitraire et envoyer un ensemble de commandes pour entrer dans le canal IRC, émettre des messages arbitraires, etc.). Le chiffrement du flux TCP / IP résout le problème d'usurpation d'adresse IP dans le cas général (à condition que des algorithmes cryptographiquement puissants soient utilisés). Afin de réduire le nombre de telles attaques, il est également recommandé de configurer un pare-feu pour filtrer les paquets envoyés vers l'extérieur par notre réseau, mais dont les adresses n'appartiennent pas à notre espace adresse.

Tempête locale

Faisons une petite digression vers la mise en œuvre de TCP / IP et considérons les "tempêtes locales" en prenant l'exemple de la tempête UDP. En règle générale, les systèmes prennent en charge le fonctionnement des ports UDP tels que 7 ("écho", le paquet reçu est renvoyé), 19 ("générateur de caractères", une chaîne de génération de caractères est envoyée à l'expéditeur en réponse au paquet reçu) et autres (date, etc.). Dans ce cas, l'attaquant peut envoyer un seul paquet UDP, où 7 sera spécifié comme port source, le 19ème comme destinataire et, par exemple, deux ordinateurs de votre réseau (ou même 127.0) seront spécifiés comme adresses de destinataire et d'expéditeur. 0,1). Ayant reçu le paquet, le 19ème port répond avec une ligne qui se dirige vers le port 7. Le septième port le duplique et le renvoie à 19 .. et ainsi de suite à l'infini. Un cycle sans fin consomme les ressources des machines et ajoute une charge insignifiante au canal. Bien sûr, avec la perte du premier paquet UDP, la tempête cesse. Противодействие: в качестве защиты стоит еще раз порекомендовать не пропускать в сети пакеты с внутренними адресами, но пришедшие извне. Также рекомендуется закрыть на firewall использование большинства сервисов.

IP Hijacking

La méthode est une combinaison d'espionnage et d'usurpation d'adresse IP. Conditions préalables - Un attaquant doit avoir accès à une machine située dans le chemin d'un flux réseau et disposer des droits suffisants pour pouvoir générer et intercepter les paquets IP. Rappelons que lors de la transmission de données, le numéro de séquence et le numéro d'accusé de réception sont constamment utilisés (les deux champs sont dans l'en-tête IP). Sur la base de leur valeur, le serveur et le client vérifient l'exactitude de la transmission de paquets. Il est possible d'entrer la connexion à «l'état désynchronisé» lorsque le numéro de séquence et le numéro d'accusé de réception envoyés par le serveur ne correspondent pas à la valeur attendue du client, et inversement. Dans ce cas, un attaquant, "écoutant" la ligne, peut assumer les fonctions d'un intermédiaire, générant les paquets corrects pour le client et le serveur et interceptant leurs réponses. Cette méthode vous permet de contourner complètement les systèmes de sécurité tels que, par exemple, les mots de passe à usage unique, puisqu’un attaquant commence à fonctionner après l’autorisation de l’utilisateur. Il y a deux façons de ne pas être synchronisé. • désynchronisation précoce. La connexion est désynchronisée au stade de son installation. Un attaquant écoute sur un segment de réseau à travers lequel les paquets de la session d'intérêt vont passer. Après avoir attendu le paquet S-SYN du serveur, l'attaquant envoie au serveur un paquet RST (réinitialisation), avec le numéro de séquence correct, et, immédiatement après, le faux paquet C-SYN de la part du client, le serveur réinitialise la première session et en ouvre un nouveau, le même port, mais avec un nouveau numéro de séquence, après quoi il envoie un nouveau paquet S-SYN au client. Le client ignore le paquet S-SYN, mais l'attaquant qui écoute sur la ligne envoie le paquet S-ACK au serveur pour le compte du client. Ainsi, le client et le serveur sont à l'état ESTABLISHED, mais la session est désynchronisée. Naturellement, ce schéma n'a pas de réponse à 100%, par exemple, il n'est pas à l'abri du fait que certains paquets envoyés par un attaquant ne seront pas perdus en cours de route. Pour que ces situations soient traitées correctement, le programme doit être compliqué. • Désynchronisation avec des données nulles. Dans ce cas, l’attaquant écoute la session et envoie un paquet contenant «zéro» données au serveur, c.-à-d. ceux qui seront réellement ignorés au niveau de l'application et non visibles par le client (par exemple, pour telnet, il peut s'agir de données telles que IAC NOP, IAC NOP, IAC NOP, etc.). Un paquet similaire est envoyé au client. Évidemment, après cela, la session passe dans un état désynchronisé. Tempête ACK L'un des problèmes du piratage IP est que tout paquet envoyé lorsque la session est dans un état désynchronisé provoque la tempête ACK. Par exemple, le paquet a été envoyé par le serveur et est inacceptable pour le client. Il répond donc avec un paquet ACK. En réponse à ce package inacceptable déjà pour le serveur, le client reçoit à nouveau une réponse. Et ainsi de suite à l'infini. Heureusement, les réseaux modernes reposent sur la technologie lorsque la perte de paquets individuels est autorisée. Étant donné que les paquets ACK ne transportent pas de données, aucune retransmission n'a lieu et la tempête s'atténue. Comme les expériences l'ont montré, plus la tempête ACK est forte, plus elle se "pacifie" rapidement - sur Ethernet 10 Mo, cela se produit en une fraction de seconde. Sur des connexions non fiables comme SLIP - pas beaucoup plus. Détection et protection Il y a plusieurs façons. Par exemple, vous pouvez implémenter une pile TCP / IP qui contrôlera la transition vers un état désynchronisé en échangeant des informations sur le numéro de séquence / le numéro d'accusé de réception. Cependant, dans ce cas, nous ne sommes pas à l'abri d'un attaquant qui modifie ces valeurs. Par conséquent, un moyen plus fiable consiste à analyser la congestion du réseau, en suivant les nouvelles tempêtes ACK. Cela peut être fait en utilisant des contrôles de réseau spécifiques. Si un attaquant ne se préoccupe pas de maintenir une connexion désynchronisée jusqu'à ce qu'il soit fermé ou ne filtre pas la sortie de ses commandes, l'utilisateur le remarquera immédiatement. Malheureusement, la grande majorité ouvre simplement une nouvelle session sans contacter l'administrateur. Comme toujours, la protection à 100% contre cette attaque est assurée par le chiffrement du trafic TCP / IP (au niveau de l'application - shell sécurisé) ou au niveau du protocole - IPsec). Cela élimine la possibilité de modifier le flux du réseau. PGP peut être utilisé pour protéger les messages électroniques. Il convient de noter que la méthode ne fonctionne pas non plus sur certaines implémentations TCP / IP spécifiques. Ainsi, malgré [rfc ...], qui nécessite une fermeture de session en mode silencieux en réponse à un paquet RST, certains systèmes génèrent un paquet de compteur RST. Cela rend impossible la désynchronisation précoce.

Détecter et défendre les attaques

• Pour détecter les attaques, vous pouvez analyser l'activité de diffusion - il s'agit de paquets UDP, NBF, SAP. • Pour protéger le réseau interne connecté à Internet, ne sautez pas les paquets entrants provenant du réseau externe, dont la source est l'adresse du réseau interne. Vous ne pouvez autoriser que les paquets à passer sur le port 80. • Filtrez les paquets si nécessaire (ne négligez pas même
Panneau de configuration \ Réseau \ Protocoles \ Propriétés \ Avancé sous Windows NT).

Méthodes d'analyse

Utiliser ARP

Les cybercriminels peuvent utiliser ce type de demande pour déterminer le fonctionnement de systèmes dans des segments de réseau locaux.

Numérisation réseau à l'aide de DNS

On sait qu'avant de lancer une attaque, les assaillants identifient les cibles, c'est-à-dire l'identification des ordinateurs qui seront victimes de l'attaque, ainsi que des ordinateurs permettant l'échange d'informations avec les victimes. Une façon d'identifier les objectifs consiste à interroger le serveur de noms et à obtenir toutes les informations de domaine disponibles. Contre-action: pour déterminer une telle analyse, il est nécessaire d'analyser les requêtes DNS (adresse en nom) provenant peut-être de serveurs DNS différents, mais pendant une certaine période de temps fixe. Dans ce cas, vous devez déterminer le type d'informations qui y sont transmises et suivre l'énumération des adresses.

Bombe UDP

Balayage de réseau de balayage de Ping

Le balayage par balayage ou la détection de cible avec ICMP est une méthode efficace.

Contre-réaction: pour déterminer le fait que l’analyse ping des cibles situées à l’intérieur du sous-réseau soit analysée, il est nécessaire d’analyser les adresses source et de destination des paquets ICMP.

Scan du port TCP

Le balayage de port est une méthode bien connue pour reconnaître les configurations d’ordinateur et les services disponibles. Il existe plusieurs méthodes d'analyse TCP, dont certaines sont appelées furtives, car elles utilisent des vulnérabilités des implémentations de pile TCP / IP dans la plupart des systèmes d'exploitation modernes et ne sont pas détectées par des moyens standard. Contre- mesures : des contre - mesures peuvent être appliquées, par exemple, en transmettant des paquets TCP avec le drapeau RST défini pour le compte de l'ordinateur analysé à l'ordinateur de l'attaquant.

Balayage du port UDP

Un autre type d'analyse de port repose sur l'utilisation du protocole UDP et consiste en ce qui suit: un paquet UDP adressé au port est transmis à l'ordinateur analysé et sa disponibilité est contrôlée. Si le port est indisponible, un message inaccessible de destination ICMP est renvoyé, sinon il n'y a pas de réponse. Ce type d'analyse est assez efficace. Il vous permet d'analyser tous les ports de l'ordinateur victime en peu de temps. Contre-mesures: il est possible de contrecarrer ce type d'analyse en envoyant des messages sur l'inaccessibilité du port à l'ordinateur de l'attaquant.

Balayage furtif

La méthode est basée sur un code réseau incorrect, vous ne pouvez donc pas être sûr qu'il fonctionnera correctement dans une situation donnée. Les paquets TCP avec les indicateurs ACK et FIN sont utilisés. Ils doivent être utilisés parce que si un tel paquet est envoyé au port avec une connexion ouverte, le paquet avec l'indicateur RST est toujours renvoyé. Plusieurs méthodes utilisent ce principe: • Envoyer un paquet FIN. Si l'hôte destinataire renvoie RST, le port est inactif. Si RST n'est pas renvoyé, le port est actif. Cette méthode fonctionne sur la plupart des systèmes d'exploitation. • Envoyer un paquet ACK. Si la durée de vie des paquets renvoyés est inférieure à celle du reste des paquets RST reçus ou si la taille de la fenêtre est supérieure à zéro, il est fort probable que le port soit actif.

Analyse passive

Les cybercriminels ont souvent recours à l'analyse pour déterminer les ports TCP sur lesquels travaillent les démons qui répondent aux demandes du réseau. Un programme de numérisation régulier ouvre de manière séquentielle les connexions à divers ports. Dans le cas où la connexion est établie, le programme la réinitialise en indiquant le numéro de port à l'attaquant. Cette méthode est facilement détectée par les messages de démons surpris par la connexion immédiatement interrompue après l’installation, ou à l’aide de programmes spéciaux. Les meilleurs de ces programmes ont quelques tentatives pour introduire des éléments artificiels dans le suivi des tentatives de connexion à différents ports. Cependant, un attaquant peut employer une autre méthode - l'analyse passive (le terme anglais est "analyse passive"). Lors de son utilisation, un attaquant envoie un paquet TCP / IP SYN à tous les ports d'une ligne (ou selon un algorithme spécifié). Pour les ports TCP qui acceptent les connexions de l’extérieur, un paquet SYN / ACK sera renvoyé sous forme d’invitation à poursuivre la négociation à trois. Le reste retournera les paquets RST. Après avoir analysé les données de réponse, un attaquant peut rapidement comprendre les ports sur lesquels le programme est exécuté. En réponse aux paquets SYN / ACK, il peut également répondre avec des paquets RST, indiquant que le processus d'établissement de la connexion ne se poursuivra pas (en général, l'implémentation TCP / IP de l'attaquant répondra automatiquement avec des paquets RST s'il ne prend pas de mesures spéciales). La méthode n'est pas détectée par les méthodes précédentes, car une vraie connexion TCP / IP n'est pas établie. Cependant (en fonction du comportement de l'attaquant), vous pouvez surveiller le nombre fortement accru de sessions dans l'état SYN_RECEIVED. (en supposant que l'attaquant n'envoie pas de réponse RST) à la réception du paquet RST du client en réponse au SYN / ACK. Malheureusement, avec un comportement suffisamment intelligent de l'attaquant (par exemple, analyser à faible vitesse ou ne vérifier que des ports spécifiques), il est impossible de détecter l'analyse passive, car elle ne diffère pas des tentatives ordinaires d'établissement de connexion. À titre de protection, nous ne pouvons que vous conseiller de fermer tous les services du pare-feu, dont l'accès n'est pas nécessaire en externe.

Invitation au système et danger des informations qu'il contient

Il est nécessaire de supprimer les "invites système" affichées par les ordinateurs centraux sur les terminaux d'accès à distance pour la connexion de l'utilisateur. Cette exigence est due aux raisons suivantes: • L’invite système contient généralement des informations permettant à l’attaquant d’identifier le type et la version du système d’exploitation de l’ordinateur central, le type de logiciel d’accès distant, etc. Ces informations peuvent grandement simplifier la tâche de pénétrer dans le système, car l’attaquant peut utiliser des outils d'accès illégaux exploitant les faiblesses d'un système particulier; • «invite système» indique généralement l’affiliation d’un service au système. Dans le cas où le système appartient à une agence secrète ou à une structure financière, les intérêts du délinquant peuvent augmenter considérablement; • Un procès récent a rejeté l’action en justice de la société à l’encontre d’une personne ayant pénétré illégalement dans le réseau de la société, motivant ses actions en écrivant «Bienvenue à…» («Bienvenue à…») sur le terminal d’accès distant à l’ordinateur central.

Quelques astuces lors de la recherche sur le réseau

• Recherchez les ports et les services ouverts sur le serveur. • Essayez de saisir le serveur sous le nom IUSR_ <nom de la machine avec des balles> • Essayez de supprimer SAM._ de / REPAIR (les mots de passe de SAM sont obtenus à l'aide de la commande de développement). • Les répertoires / scripts et / cgi-bin, comme beaucoup le savent probablement, sous NT, vous pouvez exécuter n’importe quel fichier à partir de ces répertoires. Vous devez donc fermer l’accès à ces répertoires. Le lancement est effectué approximativement par une telle commande (si l’exécutable est dans / scripts) à partir du navigateur - http: //www.idahonews/scripts/getadmin.exe? Test. Vous pouvez obtenir les droits d'administrateur comme suit: les programmes de / scripts sont exécutés non pas sous le nom d'utilisateur de l'utilisateur, mais à partir du même compte Web, à partir duquel nous pouvons conclure que les mots de passe d'administrateur peuvent être facilement supprimés du registre à l'aide de PWDUMP.exe. • N'oubliez pas que les programmes de / SCRIPTS sont lancés sous le compte Web et non sous le compte de l'utilisateur qui l'a lancé. Par conséquent, vous pouvez essayer de vider les mots de passe du registre à l'aide de PWDUMP.EXE. Les mots de passe seront codés. Dans ce cas, vous devez enregistrer la page en tant que fichier texte et essayer de décoder les mots de passe à l'aide du programme BRUTEFORCE. • Sous le compte administrateur, vous pouvez modifier les alias en ftp et http.

Quelques autres moyens d'obtenir de l'information

• Utiliser whois ou NSLookUp pour rechercher d'autres noms et savoir à qui appartient le réseau. Rappelez-vous la plage d'adresses IP pour leur analyse ultérieure. • Allez au routeur le plus proche et trouvez quelque chose. Pour trouver le routeur, vous devez acheminer le chemin vers n'importe quelle adresse IP de la plage détectée. Le routeur le plus proche est déterminé par le temps de réponse. • Essayez de vous connecter au routeur telnet. • Exécutez un scanner de plage IP pour détecter les services en cours d'exécution sur le PC.

Trous et erreurs administratives dans Windows NT

• Considérer la vulnérabilité associée à une erreur dans la mise en œuvre du système. Cette vulnérabilité mène à une attaque appelée GetAdmin . La vulnérabilité est le service système NtAddAtom, qui ne vérifie pas les paramètres qui lui sont transmis et définit le bit 0 sur NtGlobalFlag + 2. Pour cela, ouvrez le fichier ntoskrnl.exe et recherchez le point d'entrée sur NtAddAtom. La définition de ce bit désactive la vérification des privilèges du débogueur dans NtOpenProcess et NtOpenThread. Ainsi, tout utilisateur a le droit d'ouvrir n'importe quel processus du système. L'attaque ouvre le processus Winlogon et y intègre la dll. Étant donné que ce service dispose de privilèges SYSTÈME, il peut ajouter un utilisateur au groupe d'administrateurs ou le supprimer de ce groupe. Théoriquement, d'autres atteintes à la sécurité du système sont possibles. • L'une des méthodes les plus courantes pour accéder au système consiste à deviner le mot de passe. Pour lutter contre cela, un compte d'utilisateur est généralement verrouillé après un certain nombre de tentatives de connexion infructueuses. Une exception intéressante est le compte administrateur. Et s'il a le droit d'accéder via le réseau, cela ouvre une échappatoire pour deviner facilement le mot de passe. Pour la protection, il est recommandé de renommer l'utilisateur administrateur, de configurer le verrouillage du compte, d'empêcher l'administrateur de se connecter au système via le réseau, d'interdire le transfert de paquets SMB via TCP / IP (ports 137, 138, 139) et d'établir la journalisation des connexions ayant échoué.

Spamming

Les spammeurs trouveront non seulement les fournisseurs d’accès Internet qui commenceront à envoyer leur courrier indésirable, mais ils choisiront probablement une entreprise, comme C’est plus facile pour un fournisseur de service Internet de comprendre ce qui s’est passé et il sera probablement capable de se débarrasser plus rapidement de tels messages. Le spam intermittent peut perturber les utilisateurs légitimes en raison de la surcharge du serveur de messagerie. Le problème est que la connexion au serveur SMTP n'est pas si difficile. Pour ce faire, il vous suffit de connaître les commandes 7 à 8 permettant au serveur SMTP de distribuer vos messages. Pour vous protéger contre cela, vous pouvez vérifier les adresses des messages entrants dans la base de données des utilisateurs de serveur enregistrés. Si l'adresse de la personne qui envoie le message ou l'une des adresses demandées par celle-ci ne figure pas dans la liste, le courrier électronique ne sera pas transmis.

Comment protéger le système de messagerie contre les spammeurs

• Si vous ne lisez pas les journaux, les spammeurs agissent en toute impunité. • Programmez tous les serveurs de messagerie de votre entreprise, sauf un, afin qu'ils ne répondent pas à une demande de transfert de message. Le serveur restant doit soigneusement filtrer les adresses IP. • Conservez tous les serveurs de messagerie pouvant accepter les demandes de transfert de messages dans la zone de votre pare-feu.

Comment fonctionnent les spammeurs

• Cible sélectionnée - le polluposteur sélectionne de manière aléatoire le nom de domaine de la société, puis devine le nom d’hôte du serveur de messagerie SMTP. Если сервер примет почту, спаммер просит его распространить сообщение по списку адресов. • Сервер исполняет запрос, создавая впечатление, что сообщения уходят с IP-адреса компании-жертвы.

Дыры IIS, WWW, FTP

• Отправитель может оставить свой фальшивый адрес следующим образом: отправитель может сам соединиться с SMTP-портом на машине, от имени которой он хочет отправить письмо, и ввести текст письма. • Служба FTP позволяет устанавливать пассивные соединения на основе адреса порта, указанного клиентом. Это может быть использовано злоумышленником для выдачи опасных команд службе FTP. Реестр содержит ключ: <HKLM\System\CurrentControlSet\Services\MSFTPSVC\Parameters> со значением <EnablePortAttack: REG_DWORD: > Убедитесь, что значение установлено в '0', а не '1'. • Если соединиться через telnet с портом 80, команда "GET ../.." приведет к краху IIS и сообщению "The application, exe\inetinfo.dbg, generated an application error The error occurred on date@ time The exception generated was c0000005 at address 53984655. • Адрес 'http://www.domain.com/scripts..\..\scriptname" позволяет выполнить указанный скрипт. По умолчанию пользователь Guest или IUSR_WWW имеет права на чтение всех файлов во всех каталогах. Так что эти файлы могут быть просмотрены, скачаны и запущены. • Директории \script\cgi-bin следует закрывать, т.к. из этих директорий можно запускать любые файлы прямо из окна browser'а. • Пpи запpосе у IIS очень длинного URL (4 - 8KB) сервер повисает и не реагирует на дальнейшие запpосы. Пpоблема в том, что точный размер URL зависит от конкретного сервера, поэтому пpогpаммы-убийцы начиная с некоторого базового размера запроса и постепенно увеличивая размер пытаются найти ту кpитическую точку, что подвесит сеpвеp-жеpтву. • Пользователям Outlook Express 98 приходится считаться с тем, что этот мейлер позволяет обрабатывать, в том числе и на исполнение, Visual-Basic-скрипты, которые легко могут быть скрыты в письме. Подобный скрипт имеет полный доступ к файловой системе. Реальной защитой может стать лишь установка "уровня безопасности" в Outlook на "максимум". • Если в чате разрешен ввод тегов html, никто не помешает вставить в свое сообщение что-то типа <img src="http://www.mysite.com/cgi-bin/sniffer.cgi">. В итоге все присутствующие в чате (даже не зарегистрировавшиеся) будут, сами того не ведая, вызывать скрипт. • Ограничивайте доступ к порту 25 только для некоторых пользователей.