This page has been robot translated, sorry for typos if any. Original content here.

Attaques réseau et autre chose

Introduction aux attaques réseau

Brèves descriptions des attaques réseau

Fragmentation des données

Transmission de paquets IP fragmentés

Attaque par inondation

PingOfDeath ou SSPing

Bombe UDP

SYN inondation

Protocoles non standard encapsulés dans IP

Utiliser TFTP

Attaque de schtroumpf

Terrain d'attaque

Introduction à Internet d'un faux serveur en créant une "tempête" de fausses réponses DNS à l'hôte attaqué

L'introduction d'un faux serveur sur Internet en interceptant une requête DNS ou en créant une "tempête" de fausses réponses DNS sur le serveur DNS attaqué

Introduction d'un faux serveur DNS sur Internet en interceptant une requête DNS

Attaque par inondation DNS

Attaque par usurpation DNS

Attaque par usurpation d'adresse IP

Imposition de paquets

Sniffing - écoute du canal (possible uniquement dans le segment LAN)

Interception des paquets sur le routeur

Imposer un hôte de route fausse avec ICMP

WinNuke

Faux serveur ARP

Numéro de séquence TCP de prédiction (usurpation d'adresse IP)

Tempête locale

Détournement IP

Détection et protection contre les attaques

Méthodes de numérisation

Utiliser le protocole ARP

Analyse du réseau via DNS

Bombe UDP

Analyse des ports TCP

Analyse des ports UDP

Furtif-scan

Balayage passif

Invitation du système et danger des informations qu'il contient

Quelques conseils pour la recherche en réseau

Quelques autres moyens d'obtenir des informations

Trous et erreurs administratives dans Windows NT

Le spamming

Comment protéger le système de messagerie des spammeurs

Comment fonctionnent les spammeurs

Trous IIS, WWW, FTP

Introduction aux attaques réseau

L'intérêt accru pour les réseaux TCP / IP est dû à la croissance rapide d'Internet. Cependant, cela permet de réfléchir à la manière de protéger ses ressources d'informations contre les attaques du réseau externe. Si vous êtes connecté à Internet, votre système peut être attaqué. Les protocoles de la famille IP sont à la base de la création de réseaux intranet et de l'Internet mondial. Bien que le développement de TCP / IP ait été financé par le Département américain de la défense, le protocole TCP / IP n’a pas de sécurité absolue et permet les différents types d’attaques abordés dans ce chapitre. Pour mettre en œuvre de telles attaques, un attaquant potentiel doit contrôler au moins un des systèmes connectés à Internet. L'une des approches permettant d'analyser les menaces pesant sur la sécurité des systèmes informatiques consiste à isoler une catégorie distincte de menaces inhérentes aux réseaux informatiques. Cette classe de menaces est appelée la classe des attaques à distance. Cette approche de la classification semble éligible en raison des caractéristiques fondamentales de la construction de systèmes d'exploitation en réseau. La principale caractéristique de tout système d'exploitation réseau est que ses composants sont distribués dans l'espace et que la connexion entre eux est réalisée physiquement au moyen de connexions réseau spéciales (câble coaxial, paire torsadée, fibre, etc.) et par programmation via le mécanisme de message. Dans ce cas, tous les messages de contrôle et les données envoyés par un composant du système d'exploitation du réseau à un autre composant sont transmis via des connexions réseau en tant que paquets d'échange. Cette fonctionnalité est la principale raison de l’émergence d’une nouvelle classe de menaces: les attaques à distance. Pour ce type d'attaque, l'attaquant interagit avec le destinataire de l'information, l'expéditeur et / ou les systèmes intermédiaires, éventuellement en modifiant et / ou en filtrant le contenu des paquets TCP / IP. Ces types d'attaques semblent souvent techniquement difficiles à mettre en œuvre, mais pour un bon programmeur, il n'est pas difficile d'implémenter les outils appropriés. La possibilité de créer des paquets IP arbitraires est un élément clé pour mener des attaques actives. Les attaques à distance peuvent être classées selon le type d'action: active ou passive. Les attaques actives peuvent être divisées en deux parties. Dans le premier cas, l'attaquant prend certaines mesures pour intercepter et modifier le flux réseau ou tenter de "faire semblant" par un autre système. Dans le second cas, le protocole TCP / IP est utilisé pour amener le système victime dans un état inutilisable. Avec les attaques passives, les attaquants ne se détectent d'aucune manière et n'interagissent pas directement avec d'autres systèmes. En fait, tout se résume à la surveillance des données disponibles ou des sessions de communication. Bien que les attaques passives puissent violer les politiques de sécurité réseau. L'idée de détecter une attaque est simple: toute attaque correspond à un certain trafic réseau. Par conséquent, l'analyse du trafic vous permet de déterminer l'attaque et de détecter les "traces" de l'attaquant, c'est-à-dire. Identifiez les adresses IP à partir desquelles l'effet d'information a été effectué. Ainsi, la détection des attaques est effectuée par la méthode de surveillance des flux d'informations, obtenue en analysant le trafic réseau.

Brèves descriptions des attaques réseau

Il ne faut pas oublier que des méthodes grossières, telles que le ping sur des paquets volumineux ou l'inondation SYN, peuvent inonder n'importe quelle machine ou sous-réseau Internet, quelle que soit la configuration.

Fragmentation de données

Lors de la transmission d'un paquet de données IP sur un réseau, ce paquet peut être divisé en plusieurs fragments. Plus tard, lorsque le destinataire atteint l'adresse, le package est restauré à partir de ces fragments. Un attaquant peut déclencher l'envoi d'un grand nombre de fragments, ce qui entraîne un débordement des tampons du programme du côté réception et, dans certains cas, une terminaison anormale du système.

Transmission de paquets IP fragmentés d'un volume total supérieur à 64 Ko

Le nombre d'implémentations d'attaques qui exploitent la possibilité de fragmentation des paquets IP est suffisamment important. Plusieurs paquets IP fragmentés sont transmis à la machine victime qui, lorsqu'elle est assemblée, forme un paquet de plus de 64 Ko (la taille maximale du paquet IP est de 64 Ko moins la longueur de l'en-tête). Cette attaque était efficace contre les ordinateurs exécutant Windows. Lorsque vous recevez un tel package, Windows NT, qui ne comporte pas de correctif spécial icmp-fix, "se bloque" ou se bloque. D'autres variantes de ces attaques utilisent des décalages incorrects dans les fragments IP, ce qui conduit à une allocation incorrecte de la mémoire, au débordement des tampons et, éventuellement, aux défaillances du système.

Counteraction: pour détecter de telles attaques, il est nécessaire d’effectuer et d’analyser la génération de paquets "à la volée", ce qui augmentera de manière significative la configuration matérielle requise.

Attaque par inondation

Cela est apparu parce que le programme "ping", conçu pour évaluer la qualité de la ligne, a la clé des tests "agressifs". Dans ce mode, les requêtes sont envoyées à la vitesse la plus élevée possible et le programme vous permet d’évaluer le fonctionnement du réseau en charge maximale. Cette attaque nécessite qu'un attaquant accède aux canaux rapides sur Internet. Rappelez comment fonctionne le ping. Le programme envoie un paquet ICMP de type ECHO REQUEST, exposant l'heure et son identifiant. Le cœur de la machine de destination répond à une requête similaire avec le package ICMP ECHO REPLY. Après l'avoir reçu, ping donne la vitesse du paquet. Dans le mode de fonctionnement standard, les paquets sont envoyés après quelques intervalles de temps, pratiquement sans charger le réseau. Mais dans le mode "agressif", le flux de paquets de demande / réponse d'écho ICMP peut provoquer une surcharge d'une petite ligne, la privant de la possibilité de transmettre des informations utiles. Naturellement, le cas du ping est un cas particulier d’une situation plus générale, liée à la surcharge des canaux. Par exemple, un attaquant peut envoyer plusieurs paquets UDP au port 19 d'une machine victime et, s'il suit les règles généralement acceptées, il dispose d'un générateur de caractères sur le 19ème port UDP qui répond aux paquets avec des lignes de 80 octets. Notez qu'un attaquant peut également falsifier l'adresse inverse de ces paquets, ce qui complique sa détection. Suivre cela aidera à moins que le travail coordonné de spécialistes sur les routeurs intermédiaires, ce qui est presque impossible. Une variante de l'attaque consiste à envoyer des paquets de demande d'écho ICMP avec l'adresse source indiquant à la victime de diffuser des adresses de grands réseaux. En conséquence, chacune des machines répondra à cette fausse demande et la machine émettrice recevra plus de réponses. En envoyant beaucoup de requêtes de diffusion-écho de la part de la "victime" aux adresses de diffusion de grands réseaux, vous pouvez provoquer un remplissage brutal de la chaîne "victime". Les signes d'inondation sont une charge fortement accrue sur le réseau (ou le canal) et une augmentation du nombre de paquets spécifiques (tels que ICMP). En guise de protection, vous pouvez recommander de configurer les routeurs, dans lesquels ils filtreront le même trafic ICMP, dépassant certaines valeurs prédéfinies (paquets / unité de temps). Afin de vous assurer que vos machines ne peuvent pas servir de source d'inondation de ping, restreignez l'accès à ping.

PingOfDeath ou SSPing

Son essence est la suivante: un paquet ICMP très fragmenté et de grande taille (64 Ko) est envoyé à la machine de la victime. La réponse des systèmes Windows à recevoir un tel package est un affaissement inconditionnel, y compris la souris et le clavier. Le programme d'attaque est largement disponible sur le réseau sous la forme de code source en C et de fichiers exécutables pour certaines versions d'Unix. Curieusement, contrairement à WinNuke, une victime d'une telle attaque peut être non seulement les machines Windows, MacOS et certaines versions d'Unix sont affectées. Les avantages de cette méthode d’attaque sont que le pare-feu transmet généralement les paquets ICMP, et si le pare-feu est configuré pour filtrer les adresses des expéditeurs, en utilisant des techniques de spoofing simples, vous pouvez tromper un pare-feu. L'inconvénient de PingOfDeath est que pour une attaque, il est nécessaire d'envoyer plus de 64 Ko sur le réseau, ce qui le rend généralement peu utile pour les divertissements à grande échelle.

Bombe UDP

Le paquet UDP transmis contient un format non valide pour les champs de service. Certaines anciennes versions du logiciel réseau entraînent la réception d'un package similaire pour faire planter le système.

SYN inondation

Flooding with SYN-packets est la façon la plus connue de "marteler" un canal d'information. Rappelez comment fonctionne TCP / IP dans le cas des connexions entrantes. Le système répond au paquet C-SYN entrant avec un paquet S-SYN / C-ACK, transfère la session à l'état SYN_RECEIVED et la met en file d'attente. Si le S-ACK n'arrive pas dans le délai imparti, la connexion est supprimée de la file d'attente, sinon la connexion est transférée à l'état ESTABLISHED. Prenons le cas où la file d'attente des connexions d'entrée est déjà pleine et que le système reçoit un paquet SYN invitant à établir la connexion. Selon le RFC, il sera silencieusement ignoré. L'inondation avec les paquets SYN est basée sur le dépassement de la file d'attente du serveur, après quoi le serveur cesse de répondre aux demandes des utilisateurs. L'attaque la plus célèbre de ce genre est l'attaque contre le fournisseur new-yorkais Panix. Panix n'a pas travaillé pendant 2 semaines. Dans différents systèmes, le travail avec la file d'attente est implémenté de différentes manières. Ainsi, dans les systèmes BSD, chaque port a sa propre file d'attente de 16 éléments. Dans les systèmes SunOS, au contraire, il n’ya pas de telle division et le système dispose simplement d’une grande file d’attente générale. En conséquence, pour bloquer, par exemple, le port WWW du BSD, il suffit de 16 paquets SYN, et leur nombre sera beaucoup plus grand pour Solaris 2.5. Au bout d'un certain temps (dépend de l'implémentation), le système supprime les requêtes de la file d'attente. Cependant, rien n'empêche un attaquant d'envoyer une nouvelle partie des requêtes. Ainsi, même en se connectant à 2400 bps, un attaquant peut envoyer toutes les 20 minutes à 20-30 paquets sur le serveur FreeBSD, le supportant dans un état inopérant (bien sûr, cette erreur a été corrigée dans les dernières versions de FreeBSD). Comme d'habitude, un attaquant peut tirer parti des adresses IP inverses aléatoires lors de la formation des paquets, ce qui rend difficile la détection et le filtrage de son trafic. La détection est facile - un grand nombre de connexions dans l'état SYN_RECEIVED, en ignorant les tentatives de connexion à ce port. En guise de protection, vous pouvez recommander des correctifs qui implémentent une file d'attente automatique "prune", par exemple, basée sur l'algorithme Early Random Drop. Pour savoir si votre système est protégé contre les inondations SYN, contactez le fournisseur du système. Une autre option consiste à configurer le pare-feu de sorte que toutes les connexions TCP / IP entrantes soient installées par le pare-feu lui-même, et uniquement après que les machines spécifiées les ont déplacées vers l'intérieur du réseau. Cela vous permettra de limiter la syn-flooding et de ne pas le rater dans le réseau. Cette attaque fait référence aux attaques par déni de service, qui ont pour conséquence l’incapacité de fournir des services. L'attaque est généralement dirigée contre un service spécifique, tel que telnet ou ftp. Il consiste à transmettre les paquets d'établissement de connexion au port correspondant au service attaqué. Lorsque la demande est reçue, le système alloue des ressources pour la nouvelle connexion, puis tente de répondre à la demande (envoi de "SYN-ACK") à une adresse inaccessible. Par défaut, les versions NT 3.5-4.0 tenteront de répéter la confirmation 5 fois - après 3, 6, 12, 24 et 48 secondes. Après cela, 96 secondes supplémentaires le système peut attendre la réponse, et seulement après cela libérer les ressources allouées pour la future connexion. La durée totale d'utilisation des ressources est de 189 secondes.

Protocoles non standard encapsulés dans IP

Le paquet IP contient un champ qui spécifie le protocole du paquet encapsulé (TCP, UDP, ICMP). Les attaquants peuvent utiliser la valeur non standard de ce champ pour transmettre des données qui ne seront pas détectées par des moyens standard de surveillance des flux d'informations.

Utiliser TFTP

Ce protocole ne contient pas de mécanismes d’authentification, ce qui explique pourquoi il est intéressant pour les intrus.

Attaque de schtroumpf

L'attaque de smurf consiste à transmettre au réseau des requêtes ICMP diffusées pour le compte de l'ordinateur victime. En conséquence, les ordinateurs qui ont reçu de tels paquets de diffusion répondent à l'ordinateur de la victime, ce qui entraîne une diminution significative de la bande passante du canal de communication et, dans certains cas, l'isolement du réseau attaqué. L'attaque de smurf est exceptionnellement efficace et répandue. Counteraction: pour reconnaître cette attaque, vous devez analyser la charge du canal et déterminer les raisons de la diminution de la bande passante.

Terrain d'attaque

L'attaque de Land exploite les vulnérabilités des implémentations de pile TCP / IP dans certains systèmes d'exploitation. Elle consiste à transmettre au port ouvert de l’ordinateur victime un paquet TCP avec le drapeau SYN, et l’adresse source et le port de ce paquet sont respectivement égaux à l’adresse et au port de l’ordinateur attaqué. Cela conduit l'ordinateur victime à essayer d'établir une connexion avec lui-même, ce qui entraîne une augmentation significative de l'utilisation du processeur et peut provoquer un blocage ou un redémarrage. Cette attaque est très efficace sur certains modèles de routeurs de Cisco Systems, et l'application réussie d'une attaque sur le routeur peut désactiver l'ensemble du réseau de l'organisation. Contrefaçon: vous pouvez vous protéger de cette attaque en installant un filtre de paquets entre le réseau interne et Internet, en spécifiant une règle de filtrage, indiquant que vous devez supprimer les paquets provenant d'Internet, mais les adresses IP d'origine des ordinateurs du réseau interne.

Introduction à Internet d'un faux serveur en créant une "tempête" de fausses réponses DNS à l'hôte attaqué

Une autre version de l'attaque à distance visant le service DNS est basée sur le second type d'attaque distante typique "faux objet BC". Dans ce cas, l'attaquant transmet en permanence une fausse réponse DNS pré-préparée à l'hôte attaqué au nom du serveur DNS réel sans recevoir de requête DNS. En d'autres termes, l'attaquant crée sur Internet une "tempête" dirigée de fausses réponses DNS. C'est possible, car un protocole UDP est généralement utilisé pour envoyer une requête DNS, dans laquelle il n'y a pas de moyen d'identification des paquets. Le seul critère pour le système d'exploitation réseau de l'hôte à la réponse reçue du serveur DNS est d'abord la correspondance de l'adresse IP de l'expéditeur de la réponse avec l'adresse IP du serveur DNS et deuxièmement, le nom DNS porte le même nom. comme dans la requête DNS, troisièmement, la réponse DNS doit être envoyée au même port UDP à partir duquel la requête DNS a été envoyée (dans ce cas, il s’agit du premier problème de l’attaquant) et, quatrièmement, dans le DNS -choisir le champ ID de demande dans l'en-tête DNS (ID) doit contenir la même valeur que dans la requête DNS transmise (c'est le deuxième problème). Dans ce cas, l'attaquant ne pouvant pas intercepter la requête DNS, le principal problème pour lui est le numéro de port UDP à partir duquel la requête a été envoyée. Mais le numéro de port de l'expéditeur prend un ensemble limité de valeurs (1023?). Ainsi, l'attaquant doit simplement effectuer une recherche simple, en envoyant de fausses réponses à la liste de ports appropriée. À première vue, le deuxième problème peut être un identifiant de requête DNS à deux octets, mais dans ce cas, il est égal à un ou a une valeur proche de zéro (une demande - l’ID est incrémenté de 1). Par conséquent, pour effectuer cette attaque à distance, l'attaquant doit sélectionner l'hôte (A) concerné, la route sur laquelle il doit être modifié afin qu'il passe par un faux serveur, l'hôte de l'attaquant. Ceci est réalisé par la transmission constante (dirigée par la "tempête") d'attaques de fausses réponses DNS à l'hôte attaqué du nom du véritable serveur DNS vers les ports UDP correspondants. Dans ces réponses DNS fausses, l'adresse IP de l'hôte A est l'adresse IP de l'attaquant. De plus, l'attaque se développe selon le schéma suivant. Une fois que la cible de l'attaque (hôte attaqué) est adressée par nom à l'hôte A , une requête DNS sera envoyée au réseau à partir de l'hôte donné, que l'attaquant ne recevra jamais, mais ce n'est pas nécessaire, l'hôte recevra immédiatement un faux Réponse DNS, qui sera perçue par le système d'exploitation de l'hôte attaqué comme une véritable réponse du serveur DNS. L'attaque a eu lieu et l'hôte attaqué transfère maintenant tous les paquets destinés à A à l'adresse IP de l'hôte de l'attaquant, qui les transmet à A , agissant sur les informations interceptées conformément au schéma "false Distributed BC". Considérez le schéma fonctionnel de l'attaque à distance proposée sur le service DNS: • transmission constante de fausses réponses DNS à l'hôte attaquant sur différents ports UDP et, éventuellement, avec différents identifiants, pour le compte de (depuis l'adresse IP) du serveur DNS réel avec le nom de l'hôte intéressant et sa fausse adresse IP, qui sera est l'adresse IP du faux serveur - l'hôte de l'attaquant; • en cas de réception d'un paquet de l'hôte, en remplaçant l'en-tête IP du paquet de son adresse IP par l'adresse IP de l'attaquant et en envoyant le paquet au serveur (c'est-à-dire que le faux serveur travaille pour lui - de son adresse IP); • si le paquet est reçu du serveur, remplacez l'en-tête IP du paquet de son adresse IP par l'adresse IP du faux serveur et envoyez le paquet à l'hôte (pour le serveur, le faux serveur est le véritable serveur). Ainsi, l'implémentation de cette attaque à distance, utilisant des failles de sécurité dans le service DNS, vous permet d'interrompre le routage entre deux objets spécifiés de n'importe où sur Internet. C'est-à-dire que cette attaque à distance est effectuée intersegmentairement par rapport à l'objectif de l'attaque et menace la sécurité de tout hôte Internet utilisant un service DNS normal.

L'introduction d'un faux serveur sur Internet en interceptant une requête DNS ou en créant une "tempête" de fausses réponses DNS sur le serveur DNS attaqué

Dans le schéma de recherche DNS distant, si le serveur DNS spécifié dans la requête ne trouve pas de noms dans sa base de données, le serveur envoie la demande à l'un des serveurs DNS racine dont les adresses figurent dans le fichier de paramètres du serveur root.cache. . En d'autres termes, si le serveur DNS ne dispose pas d'informations sur l'hôte demandé, il transmet la demande plus avant, ce qui signifie que le serveur DNS lui-même lance une recherche DNS distante. Par conséquent, rien n'empêche l'attaquant, agissant de la manière décrite dans le paragraphe précédent, de diriger son attaque sur le serveur DNS. En d'autres termes, la cible de l'attaque ne sera plus l'hôte, mais le serveur DNS et les réponses DNS erronées seront envoyées à l'attaquant au nom du serveur DNS racine sur le serveur DNS attaqué. Il est important de tenir compte de la particularité suivante du fonctionnement du serveur DNS. Pour accélérer le travail, chaque serveur DNS met en cache sa propre table de noms et les adresses IP des hôtes dans la zone de mémoire. L'inclusion dans la mémoire cache des informations modifiées de manière dynamique sur les noms et les adresses IP des hôtes trouvés pendant le fonctionnement du serveur DNS. Autrement dit, si le serveur DNS, ayant reçu la demande, ne trouve pas l'entrée correspondante dans la table cache, il transmet la réponse au serveur suivant et, après avoir reçu une réponse, saisit en mémoire les informations trouvées dans la table cache. Ainsi, lorsque la demande suivante est reçue, le serveur DNS n'a plus besoin d'effectuer une recherche à distance, car les informations nécessaires se trouvent déjà dans sa table de cache. A partir de l'analyse du schéma de recherche DNS à distance récemment décrit, il devient évident que si un attaquant envoie une fausse réponse DNS (dans le cas d'une "tempête" de fausses réponses, les conservera dans une transmission constante) en réponse à une requête du serveur DNS, une entrée correspondante contenant de fausses informations apparaîtra alors dans la table de cache du serveur et, à l'avenir, tous les hôtes accédant à ce serveur DNS seront mal informés et accèderont à l'hôte de l'itinéraire de l'attaquant. par schémas e "faux objet BC". Et avec le temps, ces fausses informations, contenues dans le cache du serveur DNS, se propageront aux serveurs DNS de niveau supérieur voisins et, par conséquent, de plus en plus d’hôtes sur Internet seront mal informés et attaqués. Evidemment, si l'attaquant ne peut pas intercepter la requête DNS du serveur DNS, alors pour implémenter l'attaque, il a besoin d'une "tempête" de fausses réponses DNS adressées au serveur DNS. Dans ce cas, le problème principal suivant se pose, différent du problème de la sélection de ports dans le cas d'une attaque dirigée contre l'hôte. Comme indiqué précédemment, le serveur DNS envoie une demande à un autre serveur DNS et identifie cette demande avec une valeur à deux octets (ID). Cette valeur est incrémentée de un à chaque requête transmise. Vous ne pouvez pas indiquer à l'attaquant la valeur actuelle de l'ID de requête DNS. Par conséquent, il est très difficile de rechercher 2 16 valeurs d’identification possibles. Mais le problème de l'énumération des ports disparaît, car toutes les requêtes DNS sont transmises par le serveur DNS au port 53. Le problème suivant, qui est la condition préalable à cette attaque à distance sur le serveur DNS lorsque la "tempête" de fausses réponses DNS est dirigée, est que l'attaque ne réussira que si le serveur DNS envoie une requête pour rechercher un nom spécifique (contenu dans une fausse réponse DNS). Le serveur DNS envoie cette requête indispensable à l'attaquant s'il reçoit une requête DNS d'un hôte quelconque pour rechercher le nom indiqué et que ce nom n'apparaîtra pas dans la table de cache du serveur DNS. En principe, cette requête peut avoir lieu à tout moment et l'attaquant peut avoir à attendre les résultats de l'attaque aussi longtemps que souhaité. Cependant, rien n'empêche l'attaquant, sans attendre que quiconque, d'envoyer une requête DNS similaire au serveur DNS attaqué et de provoquer le serveur DNS à rechercher le nom spécifié dans la requête. Ensuite, cette attaque est susceptible de réussir presque immédiatement après le début de sa mise en œuvre.

Introduction d'un faux serveur DNS sur Internet en interceptant une requête DNS

Dans ce cas, il s'agit d'une attaque à distance basée sur l'attaque à distance standard standard associée à l'attente d'une requête de recherche DNS. Avant d'envisager l'algorithme d'attaque pour DNS, vous devez faire attention aux subtilités suivantes dans le travail de ce service. Tout d'abord, le service DNS fonctionne par défaut sur la base du protocole UDP (bien qu'il soit possible d'utiliser le protocole TCP), ce qui le rend naturellement moins sécurisé, car le protocole UDP, contrairement à TCP, ne permet pas d'identifier les messages. Afin de passer du protocole UDP au protocole TCP, l'administrateur du serveur DNS devra étudier sérieusement la documentation. En outre, cette transition ralentira quelque peu le système car, d’abord, lorsqu’on utilise le protocole TCP, une connexion virtuelle est requise et, deuxièmement, le système d’exploitation réseau final envoie d’abord une requête DNS en utilisant le protocole UDP. une réponse spéciale du serveur DNS, alors le système d'exploitation du réseau enverra une requête DNS en utilisant TCP. Deuxièmement, la subtilité suivante qui doit être prise en compte est que la valeur du champ "sender port" dans le paquet UDP devient 1023 (?) Et augmente ensuite avec chaque requête DNS passée. Troisièmement, la valeur de l'ID de la requête DNS se comporte comme suit. Dans le cas de l'envoi d'une requête DNS à partir de l'hôte, sa valeur dépend de l'application réseau spécifique qui génère la requête DNS. Les expériences de l'auteur ont montré que dans le cas de l'envoi d'une requête depuis le shell du shell des systèmes d'exploitation Linux et Windows 95 (par exemple, ftp nic.funet.fi), cette valeur est toujours égale à un. Dans le cas où une requête DNS est transmise par Netscape Navigator, à chaque nouvelle demande, le navigateur lui-même augmente cette valeur de un. Dans le cas où la requête est transmise directement par le serveur DNS, le serveur incrémente cette valeur d’identification de 1 à chaque nouvelle requête transmise. Toutes ces subtilités sont importantes en cas d'attaque sans interception de la requête DNS. Pour implémenter une attaque en interceptant une requête DNS, l'attaquant doit intercepter la requête DNS, extraire le numéro de port UDP de la requête, la valeur d'ID double octet de l'identificateur de requête DNS et le nom souhaité, puis envoyer une fausse réponse DNS à la requête extraite de la requête DNS UDP-port, dans lequel spécifier l'adresse IP souhaitée, l'adresse IP réelle du faux serveur DNS. Cela interceptera à l'avenir complètement et agira activement sur le schéma "False PBC" sur le trafic entre l'hôte "trompé" et le serveur. Considérons le schéma général du faux serveur DNS: • en attente de la requête DNS; • recevoir une requête DNS, en extraire les informations nécessaires et les envoyer à l'hôte d'une fausse réponse DNS, au nom de (depuis l'adresse IP) du serveur DNS actuel, qui spécifie l'adresse IP du faux serveur DNS; • si le paquet est reçu de l'hôte, remplacez l'en-tête IP du paquet de son adresse IP par l'adresse IP du faux serveur DNS et envoyez le paquet au serveur (c'est-à-dire que le faux serveur DNS travaille en son nom); • Si le paquet est reçu du serveur, remplacez l'en-tête IP du paquet de son adresse IP par l'adresse IP du faux serveur DNS et envoyez le paquet à l'hôte (pour le serveur, le faux serveur DNS est le véritable serveur). Une condition préalable pour cette option est d'intercepter la requête DNS. Ceci n'est possible que si l'attaquant est sur le chemin du trafic principal ou dans le segment du serveur DNS réel. L'accomplissement de l'une de ces conditions de l'emplacement de l'attaquant sur le réseau rend difficile la mise en œuvre d'une telle attaque à distance (il est probable que l'attaquant ne pourra pas pénétrer dans le segment du serveur DNS et encore plus dans le canal de communication intersegmental). Cependant, si ces conditions sont remplies, il est possible de mener une attaque à distance intersegmentaire sur Internet . Notez que l'implémentation pratique de cette attaque à distance a révélé un certain nombre de fonctionnalités intéressantes dans le fonctionnement du protocole FTP et dans le mécanisme d'identification des paquets TCP. Dans le cas où un client FTP sur l’hôte est connecté à un serveur FTP distant via un faux serveur DNS, il s’est avéré que chaque fois que l’utilisateur a émis une application FTP (par exemple, ls, get, put, etc.), le client FTP produit la commande PORT, qui consiste à transférer sur le serveur FTP dans le champ de données TCP les numéros de port et les adresses IP de l’hôte client (il est difficile de trouver une signification particulière à ces actions - pourquoi chaque fois que l’adresse IP du client est envoyée au serveur FTP)! Cela se traduit par le fait que si le faux serveur DNS ne change pas l'adresse IP transmise dans le champ de données du paquet TCP et envoie ce paquet au serveur FTP de la manière habituelle, le serveur FTP transférera le paquet suivant vers l'hôte du client FTP, en contournant le faux serveur DNS et, chose la plus intéressante, ce paquet sera perçu comme un paquet normal et, à l’avenir, un faux serveur DNS perdra le contrôle du trafic entre le serveur FTP et le client FTP! Cela est dû au fait qu’un serveur FTP normal ne fournit aucune authentification supplémentaire pour le client FTP, mais déplace tous les problèmes d’identification des paquets et de connexion vers un niveau inférieur - la couche TCP.

Attaque par inondation DNS

L'inondation DNS est une attaque dirigée contre les serveurs de noms Internet. Il consiste en un transfert d'un grand nombre de requêtes DNS et conduit à ce que les utilisateurs n'aient pas accès au service de noms et, par conséquent, à l'incapacité des utilisateurs ordinaires à travailler. Counteraction: pour détecter cette attaque, vous devez analyser la charge du serveur DNS et identifier les sources de requêtes.

Attaque par usurpation DNS

Le résultat de cette attaque est l'imposition d'une correspondance imposée entre l'adresse IP et le nom de domaine dans le cache du serveur DNS. Suite à cette attaque réussie, tous les utilisateurs DNS du nord recevront des informations incorrectes sur les noms de domaine et les adresses IP. Cette attaque est caractérisée par un grand nombre de paquets DNS portant le même nom de domaine. Cela est dû à la nécessité de sélectionner certains paramètres d'échange DNS. Counteraction: pour détecter une telle attaque, vous devez analyser le contenu du trafic DNS.

Attaque par usurpation d'adresse IP (syslog)

Un grand nombre d'attaques sur Internet sont associées à la substitution de l'adresse IP source. Ces attaques incluent l'usurpation de syslog, qui consiste à envoyer un message à l'ordinateur de la victime au nom d'un autre ordinateur du réseau interne. Étant donné que le protocole syslog est utilisé pour gérer les journaux système, vous pouvez imposer des informations ou dissimuler des accès non autorisés à un ordinateur victime en envoyant de faux messages. Counteraction: détection d'attaques liées à la substitution d'adresses IP, possible lors de la surveillance de la réception sur l'une des interfaces du package avec l'adresse source de la même interface ou lors du contrôle de réception sur l'interface externe des paquets avec les adresses IP du réseau interne.

Imposition de paquets

Un attaquant envoie des paquets avec une fausse adresse de retour au réseau. Avec cette attaque, un attaquant peut basculer sur un ordinateur connecté entre d'autres ordinateurs. Dans ce cas, les droits d'accès de l'attaquant deviennent égaux aux droits de l'utilisateur dont la connexion au serveur a été basculée sur l'ordinateur de l'intrus.

Sniffing - écoute du canal (possible uniquement dans le segment LAN)

Pratiquement toutes les cartes réseau permettent d'intercepter les paquets transmis sur un canal LAN partagé. Dans ce cas, le poste de travail peut recevoir des paquets adressés à d'autres ordinateurs du même segment de réseau. Ainsi, tout échange d'informations dans le segment de réseau devient disponible pour un attaquant. Pour réussir à implémenter cette attaque, l'ordinateur de l'attaquant doit être situé dans le même segment du réseau local que l'ordinateur attaqué.

Interception des paquets sur le routeur

Le logiciel réseau du routeur a accès à tous les paquets réseau transmis via ce routeur, ce qui vous permet d'intercepter les paquets. Pour implémenter cette attaque, un attaquant doit avoir un accès privilégié à au moins un routeur réseau. Étant donné que de nombreux paquets sont généralement transmis via le routeur, leur interception totale est presque impossible. Cependant, les paquets individuels peuvent être interceptés et enregistrés pour une analyse ultérieure par l'attaquant. L'interception la plus efficace des packages FTP contenant des mots de passe utilisateur, ainsi que des messages électroniques.

Imposer un hôte de route fausse avec ICMP

Sur Internet, il existe un protocole ICMP (Internet Control Message Protocol) dont l’une des fonctions consiste à informer les hôtes de la modification du routeur actuel. Ce message de contrôle est appelé redirection. Il est possible d'envoyer à partir de n'importe quel hôte du segment de réseau un message de redirection erroné de la part du routeur à l'hôte attaqué. En conséquence, l'hôte modifie la table de routage en cours et, à l'avenir, tout le trafic réseau de cet hôte passera, par exemple, par un hôte qui envoie un message de redirection erronée. Ainsi, il est possible de mettre en œuvre une imposition active d'une fausse route dans un segment de l'Internet.

WinNuke

Comme pour les données normales transférées via une connexion TCP, la norme transmet également des données hors bande. Au niveau des paquets TCP, ceci est exprimé dans un pointeur urgent non nul. La plupart des PC avec Windows ont un protocole réseau NetBIOS, qui utilise pour leurs besoins 3 ports IP: 137, 138, 139. Comme il s’est avéré, si vous vous connectez à la machine Windows dans 139 ports et que vous envoyez quelques octets de données OutOfBand ne sachant pas quoi faire avec ces données, popsto suspend ou perezazgruzhaet. Pour Windows 95, cela ressemble généralement à un écran de texte bleu qui signale une erreur dans le pilote TCP / IP et à l'impossibilité de travailler avec le réseau jusqu'au redémarrage du système d'exploitation. NT 4.0 sans les Service Packs est écrasé, NT 4.0 avec le deuxième pack série est déposé dans l'écran bleu. Un envoi similaire de données vers 135 et certains autres ports entraîne une charge importante du processeur RPCSS.EXE. Sur NTWS, cela entraîne un ralentissement important, le NTS est pratiquement gelé.

Faux serveur ARP

Sur Internet, chaque hôte dispose d'une adresse IP unique, qui reçoit tous les messages du réseau mondial. Cependant, le protocole IP n'est pas tant un réseau qu'un protocole d'échange inter-réseau destiné à la communication entre objets du réseau global. Au niveau de la couche liaison, les paquets sont adressés aux adresses matérielles des cartes réseau. Sur Internet, le protocole ARP (IP Address Protocol Protocol) est utilisé pour la correspondance univoque entre les adresses IP et Ethernet. Initialement, l'hôte peut ne pas avoir d'informations sur les adresses Ethernet d'autres hôtes qui se trouvent dans le même segment, y compris l'adresse Ethernet du routeur. En conséquence, lorsque les ressources réseau sont accédées pour la première fois, l'hôte envoie une requête ARP diffusée, qui sera reçue par toutes les stations de ce segment du réseau. A la réception de cette demande, le routeur envoie une réponse ARP à l'hôte demandeur, dans laquelle il indique son adresse Ethernet. Ce schéma de travail permet à un attaquant d'envoyer une fausse réponse ARP pour se déclarer l'hôte souhaité (par exemple, un routeur) et, à l'avenir, surveiller activement tout le trafic réseau de l'hôte "trompé".

Numéro de séquence TCP de prédiction (usurpation d'adresse IP)

Dans ce cas, le but de l'attaquant est de prétendre être un autre système que, par exemple, le système victime "fait confiance". La méthode est également utilisée à d'autres fins - par exemple, pour utiliser la victime SMTP pour envoyer de faux emails. La connexion TCP est établie en trois étapes: le client sélectionne et envoie le numéro de séquence (appelez-le C-SYN) au serveur. En réponse, le serveur envoie au client un paquet de données contenant la confirmation (C-ACK) et son propre numéro de séquence (S-SYN ). Le client doit maintenant envoyer une confirmation (S-ACK). Après cela, la connexion est établie et l'échange de données commence. Chaque paquet a dans son en-tête un champ pour le numéro de séquence et le numéro d'accusé de réception. Ces nombres augmentent avec l'échange de données et vous permettent de contrôler l'exactitude de la transmission. Supposons qu'un attaquant puisse prédire quel numéro de séquence (S-SYN par schéma) sera envoyé par le serveur. Il est possible de le faire en se basant sur la connaissance de l'implémentation spécifique de TCP / IP. Par exemple, dans 4.3BSD, la valeur du numéro de séquence, qui sera utilisée lors de la définition de la valeur suivante, augmente de 125 000 par seconde. Ainsi, en envoyant un paquet au serveur, l'attaquant peut répondre (probablement avec plusieurs tentatives et correction de vitesse) numéro de séquence pour la prochaine connexion. Si l'implémentation TCP / IP utilise un algorithme spécial pour déterminer le numéro de séquence, cela peut être déterminé en envoyant plusieurs dizaines de paquets au serveur et en analysant ses réponses. Donc, supposons que le système A fasse confiance au système B, de sorte que l'utilisateur du système B puisse créer "rlogin A" et se retrouver sur A sans entrer de mot de passe. Supposons que l'attaquant se trouve sur le système C. Le système A agit en tant que serveur, système B et C - dans le rôle de client. La première tâche de l'attaquant consiste à introduire le système B dans un état où il ne peut pas répondre aux demandes du réseau. Cela peut être fait de plusieurs manières, dans le cas le plus simple, il vous suffit d'attendre que le système B redémarre. Quelques minutes, pendant lesquelles ce sera impraticable, devrait suffire. Après cela, l'attaquant peut essayer de prétendre être le système B, afin d'accéder au système A (au moins brièvement). Un attaquant envoie plusieurs paquets IP initiant une connexion, au système A, pour connaître l'état actuel du numéro de séquence du serveur. L'attaquant envoie un paquet IP, dans lequel l'adresse du système B est indiquée comme adresse de retour. Le système A répond avec un paquet avec un numéro de séquence, qui est transmis au système B. Cependant, le système B ne le recevra jamais (il est désactivé), comme un attaquant. Mais, sur la base de l'analyse précédente, il devine quel numéro de séquence a été envoyé au système B. L'attaquant confirme la "réception" du paquet de A, envoyant un paquet avec le S-ACK allégué pour B (notez que si les systèmes sont situés dans le même segment nombre est suffisant pour intercepter le paquet envoyé par le système A). Après cela, si l'attaquant était chanceux et que le numéro de séquence du serveur était correctement défini, la connexion est considérée comme établie. Un attaquant peut maintenant envoyer un autre paquet IP fictif, qui contiendra déjà des données. Par exemple, si l'attaque a été dirigée vers rsh, elle peut contenir les commandes permettant de créer le fichier .rhosts ou d'envoyer le fichier / etc / passwd à l'attaquant par courrier électronique. La contre-opération: les paquets avec des adresses internes provenant du monde extérieur serviront de signal d’usage IP le plus simple. Le logiciel du routeur peut en informer l'administrateur. Cependant, ne vous faites pas d'illusions - l'attaque peut provenir de votre réseau. Dans le cas de l'utilisation d'outils de surveillance réseau plus intelligents, l'administrateur peut surveiller (en mode automatique) les paquets provenant de systèmes inaccessibles. Cependant, qu'est-ce qui empêche un intrus d'imiter le fonctionnement du système B en répondant aux paquets ICMP? Quels sont les moyens de se protéger contre l'usurpation d'adresse IP? Tout d'abord, vous pouvez compliquer ou rendre impossible de deviner le numéro de séquence (l'élément clé de l'attaque). Par exemple, vous pouvez augmenter le taux de modification du numéro de séquence sur le serveur ou sélectionner une augmentation aléatoire du numéro de séquence (de préférence en utilisant un algorithme stable sur le plan cryptographique pour générer des nombres aléatoires). Si le réseau utilise un pare-feu (ou un autre filtre de paquets IP), vous devez lui ajouter des règles qui interdisent à tous les paquets provenant de l'extérieur et ayant des adresses de retour de notre espace d'adressage d'entrer dans le réseau. De plus, il est nécessaire de minimiser la confiance entre les machines. Idéalement, il ne devrait pas y avoir de moyen d’accéder directement à la machine du réseau voisin, avec les droits de super-utilisateur sur l’un d’eux. Bien sûr, cela ne vous évitera pas d'utiliser des services qui ne nécessitent pas d'autorisation, par exemple IRC (un attaquant peut prétendre être une machine Internet arbitraire et envoyer un ensemble de commandes pour entrer dans le canal IRC, émettre des messages arbitraires, etc.). Le chiffrement du flux TCP / IP résout dans le cas général le problème de l'usurpation d'adresse IP (à condition que des algorithmes stables sur le plan cryptographique soient utilisés). Afin de réduire le nombre de ces attaques, il est également recommandé de configurer le pare-feu pour filtrer les paquets envoyés par notre réseau vers l'extérieur, mais avec des adresses n'appartenant pas à notre espace d'adressage.

Tempête locale

Faisons une petite digression à l'implémentation de TCP / IP et considérons les "tempêtes locales", par exemple les tempêtes UDP. En règle générale, par défaut, les systèmes prennent en charge le fonctionnement des ports UDP tels que 7 ("echo", le paquet reçu est renvoyé), 19 (le "générateur de caractères" en réponse au paquet reçu, l'expéditeur envoie la chaîne du générateur) et autres (date, etc.). Dans ce cas, un attaquant peut envoyer un seul paquet UDP, avec 7 comme port source, 19 comme destination et deux ordinateurs sur votre réseau (ou même 127.0, par exemple). 0.1). Ayant reçu le paquet, le 19ème port répond par une chaîne qui arrive au port 7. Le septième port le duplique et le renvoie à 19 .. et ainsi de suite ad infinitum. Un cycle infini consomme des ressources machine et ajoute une charge inutile au canal. Bien sûr, avec le premier paquet UDP perdu, la tempête cessera. Противодействие: в качестве защиты стоит еще раз порекомендовать не пропускать в сети пакеты с внутренними адресами, но пришедшие извне. Также рекомендуется закрыть на firewall использование большинства сервисов.

IP Hijacking

Метод является комбинацией 'подслушивания' и IP-spoofing'а. Необходимые условия - злоумышленник должен иметь доступ к машине, находящейся на пути сетевого потока и обладать достаточными правами на ней для генерации и перехвата IP-пакетов. Напомним, что при передаче данных постоянно используются sequence number и acknowledge number (оба поля находятся в IP-заголовке). Исходя из их значения, сервер и клиент проверяют корректность передачи пакетов. Существует возможность ввести соединение в "десинхронизированное состояние", когда присылаемые сервером sequence number и acknowledge number не будут совпадать с ожидаемым значениеми клиента, и наоборот. В данном случае злоумышленник, "прослушивая" линию, может взять на себя функции посредника, генерируя корректные пакеты для клиента и сервера и перехватывая их ответы. Метод позволяет полностью обойти такие системы защиты, как, например, одноразовые пароли, поскольку злоумышленник начинает работу уже после того, как произойдет авторизация пользователя. Есть два способа рассинхронизировать соединение. • Ранняя десинхронизация. Соединение десинхронизируется на стадии его установки. Злоумышленник прослушивает сегмент сети, по которому будут проходить пакеты интересующей его сессии. Дождавшись пакета S-SYN от сервера, злоумышленник высылает серверу пакет типа RST (сброс), конечно, с корректным sequence number, и, немедленно, вслед за ним фальшивый C-SYN-пакет от имени клиента Сервер сбрасывает первую сессию и открывает новую, на том же порту, но уже с новым sequence number, после чего посылает клиенту новый S-SYN-пакет. Клиент игнорирует S-SYN-пакет, однако злоумышленник, прослушивающий линию, высылает серверу S-ACK-пакет от имени клиента. Итак, клиент и сервер находятся в состоянии ESTABLISHED, однако сессия десинхронизирована. Естественно, 100% срабатывания у этой схемы нет, например, она не застрахована от того, что по дороге не потеряются какие-то пакеты, посланные злоумышленником. Для корректной обработки этих ситуаций программа должна быть усложнена. • Десинхронизация нулевыми данными. В данном случае злоумышленник прослушивает сессию и в какой-то момент посылает серверу пакет с "нулевыми" данными, т.е. такими, которые фактически будут проигнорированы на уровне прикладной программы и не видны клиенту (например, для telnet это может быть данные типа IAC NOP IAC NOP IAC NOP...). Аналогичный пакет посылается клиенту. Очевидно, что после этого сессия переходит в десинхронизированное состояние. ACK-буря Одна из проблем IP Hijacking заключается в том, что любой пакет, высланный в момент, когда сессия находится в десинхронизированном состоянии вызывает так называемый ACK-бурю. Например, пакет выслан сервером, и для клиента он является неприемлимым, поэтому тот отвечает ACK-пакетом. В ответ на этот неприемлимый уже для сервера пакет клиент вновь получает ответ. И так до бесконечности. К счастью современные сети строятся по технологиям, когда допускается потеря отдельных пакетов. Поскольку ACK-пакеты не несут данных, повторных передачи не происходит и "буря стихает". Как показали опыты, чем сильнее ACK-буря, тем быстрее она "утихомиривает" себя - на 10MB ethernet это происходит за доли секунды. На ненадежных соединениях типа SLIP - ненамного больше. Детектирование и защита Есть несколько путей. Например, можно реализовать TCP/IP-стек, который будут контролировать переход в десинхронизированное состояние, обмениваясь информацией о sequence number/acknowledge number. Однако в данном случае мы не застрахованы от злоумышленника, меняющего и эти значения. Поэтому более надежным способом является анализ загруженности сети, отслеживание возникающих ACK-бурь. Это можно реализовать при помощи конкретных средств контроля за сетью. Если злоумышленник не потрудиться поддерживать десинхронизированное соединение до его закрытия или не станет фильтровать вывод своих команд, это также будет сразу замечено пользователем. К сожалению, подавляющее большинство просто откруют новую сессию, не обращаясь к администратору. Стопроцентную защиту от данной атаки обеспечивает, как всегда, шифрование TCP/IP-трафика (на уровне приложений - secure shell) или на уровн протокола - IPsec). Это исключает возможность модификации сетевого потока. Для защиты почтовых сообщений может применяться PGP. Следует заметить, что метод также не срабатывает на некоторых конкретных реализациях TCP/IP. Так, несмотря на [rfc...], который требует молчаливого закрытия сесии в ответ на RST-пакет, некоторые системы генерируют встречный RST-пакет. Это делает невозможным раннюю десинхронизацию.

Обнаружение атак и защита от них

• Для обнаружения атак можно анализировать широковещательную активность - это пакеты UDP, NBF, SAP. • Для защиты внутренней сети, подключенной к Internet'у, не стоит пропускать из внешней сети входящие пакеты, источником в которых стоит внутренний сетевой адрес. Можно разрешить проходить пакетам только на порт 80. • Ставьте фильтрацию пакетов, если необходимо (не стоит пренебрегать даже
Control Panel\Network\Protocols\Properties\Advanced в Windows NT).

Методы сканирования

Использование протокола ARP

Данный тип запросов может быть использован злоумышленниками для определения функционирующих систем в сегментах локальной сети.

Сканирование сети посредством DNS

On sait qu'avant de lancer une attaque, les attaquants effectuent l’identification des cibles, c’est-à-dire Identifier les ordinateurs qui seront victimes d'attaques, ainsi que les ordinateurs qui effectuent des échanges d'informations avec les victimes. Une façon d'identifier les cibles consiste à interroger le serveur de noms et à obtenir toutes les informations de domaine disponibles. Counteraction: pour déterminer une telle analyse, vous devez analyser les requêtes DNS (adresse dans le nom) provenant, peut-être, de différents serveurs DNS, mais pour une certaine période de temps. Dans ce cas, vous devez regarder quelles informations leur sont envoyées et suivre la recherche d'adresses.

Bombe UDP

Analyse d'un réseau à l'aide de la méthode de balayage ping

Le balayage Ping ou la détection de cible à l'aide du protocole ICMP est une méthode efficace.

Contre-mesures: Pour déterminer le fait que ping-scanning des cibles à l'intérieur du sous-réseau, il est nécessaire d'analyser les adresses source et de destination des paquets ICMP.

Analyse des ports TCP

Le scannage de ports est une méthode connue pour reconnaître la configuration d'un ordinateur et les services disponibles. Il existe plusieurs méthodes d’analyse TCP, certaines sont appelées furtives, car elles utilisent les vulnérabilités des implémentations de pile TCP / IP dans la plupart des systèmes d’exploitation modernes et ne sont pas détectées par des moyens standard. Counteraction: la contre-opération peut être effectuée, par exemple, en transférant les paquets TCP avec l'indicateur RST défini pour le compte de l'ordinateur analysé sur l'ordinateur de l'intrus.

Analyse des ports UDP

Un autre type d'analyse de port est basé sur l'utilisation du protocole UDP et consiste en ce qui suit: un paquet UDP est envoyé à l'ordinateur analysé, adressé au port, dont la disponibilité est vérifiée. Si le port n'est pas disponible, un message ICMP inaccessible arrive en réponse, sinon il n'y a pas de réponse. Ce type d'analyse est assez efficace. Il vous permet d'analyser rapidement tous les ports d'un ordinateur victime. Contre-attaque: il est possible de contrecarrer une analyse de ce type en envoyant des messages sur l’indisponibilité du port à l’ordinateur de l’attaquant.

Furtif-scan

La méthode est basée sur un code réseau incorrect, de sorte que vous ne pouvez pas garantir que cela fonctionnera correctement dans une situation particulière. Les paquets TCP sont utilisés avec les indicateurs ACK et FIN installés. Ils devraient être utilisés, car Si un tel paquet est envoyé au port dans une connexion non ouverte, le paquet avec l'indicateur RST est toujours renvoyé. Plusieurs méthodes utilisent ce principe: • Envoyer un paquet FIN. Si l'hôte récepteur retourne RST, le port est inactif, si RST ne revient pas, le port est actif. Cette méthode fonctionne dans la plupart des systèmes d'exploitation. • Envoyer un paquet ACK. Si la durée de vie des paquets renvoyés est inférieure à celle des autres paquets RST reçus ou si la taille de la fenêtre est supérieure à zéro, le port est probablement actif.

Balayage passif

Les attaquants utilisent souvent l'analyse pour savoir quels ports TCP exécutent des démons qui répondent aux requêtes du réseau. Un programme de scanner commun ouvre les connexions aux différents ports en série. Si la connexion est établie, le programme le réinitialise en indiquant le numéro de port de l'attaquant. Cette méthode est facilement détectée par les rapports de démons, surpris instantanément interrompue après l'installation par connexion ou en utilisant des programmes spéciaux. Le meilleur de ces programmes a quelques tentatives pour introduire des éléments d'un élément artificiel dans le suivi des tentatives de connexion à différents ports. Cependant, un attaquant peut utiliser une autre méthode - le scan passif (terme anglais "scan passif"). Lorsqu'il est utilisé, un attaquant envoie un paquet TCP / IP SYN à tous les ports d'une ligne (ou à un algorithme donné). Pour les ports TCP qui acceptent les connexions de l'extérieur, le paquet SYN / ACK sera renvoyé comme une invitation à continuer la prise de contact à trois. Le reste retournera les paquets RST. L'analyse de la réponse donnée permet à l'attaquant de comprendre rapidement les ports sur lesquels le programme s'exécute. En réponse aux paquets SYN / ACK, il peut également répondre avec les paquets RST, indiquant que le processus d'établissement de la connexion ne se poursuivra pas (dans le cas général, l'implémentation TCP / IP de l'attaquant répondra automatiquement avec des paquets RST). La méthode n'est pas détectée par les méthodes précédentes, car une connexion TCP / IP réelle n'est pas établie. Cependant (en fonction du comportement de l'attaquant), vous pouvez surveiller le nombre de sessions considérablement augmenté dans l'état SYN_RECEIVED. (à condition que l'attaquant n'envoie pas de réponse RST en réponse) à la réception du client du paquet RST en réponse au SYN / ACK. Malheureusement, avec un comportement suffisamment intelligent d'un attaquant (par exemple, numériser à faible vitesse ou vérifier uniquement des ports spécifiques), il est impossible de détecter un balayage passif, car il ne diffère pas des tentatives habituelles d'établir une connexion. En tant que protection, vous ne pouvez que vous conseiller de fermer tous les services du pare-feu, auxquels vous n'avez pas besoin d'accéder depuis l'extérieur.

Invitation du système et danger des informations qu'il contient

Il est nécessaire de supprimer les "invites du système" affichées par les ordinateurs centraux des terminaux d'accès à distance pour se connecter au système. Cette exigence est due aux raisons suivantes: • En règle générale, les «invitations système» contiennent des informations permettant au contrevenant d'identifier le type et la version du système d'exploitation de l'ordinateur central, le type de logiciel d'accès à distance, etc. Utiliser des outils d'accès illégaux qui exploitent les faiblesses d'un système particulier; • "invite système" indique généralement la propriété départementale du système. Dans le cas où le système appartient à une agence secrète ou à une structure financière, l’intérêt du délinquant peut sensiblement augmenter; • Un procès récent a rejeté la plainte de l'entreprise contre une personne qui s'est infiltrée illégalement dans le réseau de l'entreprise, car il a motivé ses actions par une inscription sur le terminal d'accès à distance à l'ordinateur central "Welcome to ...".

Quelques conseils pour la recherche en réseau

• Analysez le serveur pour rechercher les ports et services ouverts. • Essayez de vous connecter au serveur en tant que IUSR_ <nom de la machine avec des boules> • Essayez de déverrouiller SAM._ à partir de / REPAIR (les mots de passe de SAM sont obtenus par la commande expand). • Répertoires / scripts et / cgi-bin, comme on le sait probablement, sous NT, vous pouvez exécuter tous les fichiers de ces répertoires, vous devez donc fermer ces répertoires. Le lancement est effectué par une telle commande (si le fichier exécutable se trouve dans / scripts) à partir du navigateur - http: //www.idahonews/scripts/getadmin.exe? Test. Vous pouvez obtenir les droits d'administrateur de la manière suivante: les programmes de / scripts sont lancés non pas sous la gestion de l'utilisateur, mais depuis le même compte Web, ce qui permet de conclure que les mots de passe de l'administrateur peuvent être facilement supprimés du registre en utilisant PWDUMP.exe. • Il faut se rappeler que les programmes de / SCRIPTS sont démarrés sous le compte Web et non sous le compte de l'utilisateur qui a lancé le programme. Par conséquent, vous pouvez essayer de déchiffrer les mots de passe du registre à l'aide de PWDUMP.EXE. Les mots de passe seront encodés. Dans ce cas, vous devez enregistrer la page en tant que fichier texte et essayer de décoder les mots de passe en utilisant le programme BRUTEFORCE. • Sous le compte administrateur, vous pouvez changer les alias en ftp et http.

Quelques autres moyens d'obtenir des informations

• En utilisant whois ou NSLookUp pour trouver des noms alternatifs, découvrez à qui appartient le réseau. Rappelez-vous la plage d'adresses IP pour leur analyse ultérieure. • Aller au routeur le plus proche et trouver quelque chose. Pour trouver le routeur, vous devez tracer le chemin d'accès à une adresse IP quelconque à partir de la plage détectée. Le routeur le plus proche est déterminé par le temps de réponse. • Essayez d’aller sur le routeur telnet'om. • Exécutez le scanner de plage d'adresses IP pour détecter les services exécutés sur le PC.

Trous et erreurs administratives dans Windows NT

• Tenez compte de la vulnérabilité associée à une erreur dans l'implémentation du système. Cette vulnérabilité entraîne la possibilité d’une attaque, appelée GetAdmin . La vulnérabilité est le service système NtAddAtom, qui ne vérifie pas les paramètres qui lui sont transmis, et définit le bit 0 sur NtGlobalFlag + 2. Pour ce faire, ouvrez le fichier ntoskrnl.exe et trouvez le point d’entrée sur NtAddAtom. La définition de ce bit désactive la vérification des privilèges du débogueur dans NtOpenProcess et NtOpenThread. Ainsi, tout utilisateur a le droit d'ouvrir tout processus dans le système. L'attaque ouvre le processus du processus Winlogon et intègre la dll à celle-ci. Comme ce service dispose de privilèges SYSTEM, il peut ajouter un utilisateur au groupe Administrateur ou le supprimer de ce groupe. Théoriquement, d'autres violations du système sont possibles. • L'une des méthodes les plus populaires pour accéder au système consiste à sélectionner un mot de passe. Pour contrer cela, il est généralement configuré pour verrouiller le compte utilisateur après un certain nombre de tentatives de connexion infructueuses. Le compte administrateur est une exception intéressante. Et s'il a le droit d'accéder à l'entrée via le réseau, cela ouvre une brèche pour deviner discrètement le mot de passe. Pour la protection, il est recommandé de renommer l'utilisateur administrateur, de définir le verrouillage du compte, d'empêcher l'administrateur de se connecter via le réseau, d'empêcher l'envoi des paquets SMB via TCP / IP (ports 137,138,139) et de définir la journalisation des échecs.

Le spamming

Les spammeurs trouveront non seulement un fournisseur de services Internet pour commencer à envoyer leurs messages par courrier, mais ils choisiront probablement une société. le fournisseur d’accès à Internet peut plus facilement comprendre ce qui s’est passé et il est probable qu’il soit capable de se débarrasser de ces messages plus rapidement. Le spamming peut périodiquement perturber les utilisateurs légitimes en raison d'une surcharge du serveur de messagerie. Le problème est qu'il n'est pas si difficile de se connecter à un serveur SMTP. Pour ce faire, vous devez connaître uniquement les commandes 7-8 afin que le serveur SMTP distribue vos messages. Pour éviter cela, vous pouvez vérifier les adresses des messages entrants sur la base de données des utilisateurs enregistrés du serveur. Si l'adresse du message d'envoi ou l'une des adresses demandées ne sont pas dans la liste, l'e-mail ne sera pas transmis.

Comment protéger le système de messagerie des spammeurs

• Si vous ne lisez pas les journaux, les spammeurs agiront en toute impunité. • Programmez tous les serveurs de messagerie de votre entreprise sauf un afin qu'ils ne répondent pas à la demande de message. Le serveur restant doit soigneusement filtrer les adresses IP. • Conservez tous les serveurs de messagerie pouvant recevoir des demandes de transfert de messages dans la zone de couverture de leur pare-feu.

Comment fonctionnent les spammeurs

• Target est sélectionné - le spammeur sélectionne au hasard le nom de domaine de la société, puis devine le nom d'hôte du serveur SMTP. Si le serveur accepte le courrier, le spammeur lui demande de distribuer le message à la liste d'adresses. • Le serveur exécute la demande, donnant l’impression que les messages laissent l’adresse IP de l’entreprise victime.

Trous IIS, WWW, FTP

• L'expéditeur peut laisser sa fausse adresse comme suit: l'expéditeur peut se connecter au port SMTP de la machine pour le compte de laquelle il souhaite envoyer le message et entrer le texte du message. • Le service FTP vous permet d'établir des connexions passives en fonction de l'adresse de port spécifiée par le client. Cela peut être utilisé par un attaquant pour envoyer des commandes dangereuses au service FTP. Le Registre contient la clé: <HKLM \ System \ CurrentControlSet \ Services \ MSFTPSVC \ Parameters> avec la valeur <EnablePortAttack: REG_DWORD:> Assurez-vous que la valeur est définie sur '0' et non sur '1'. • Si vous vous connectez via Telnet au port 80, la commande "GET ../ .." entraînera le blocage d'IIS et le message "L'application, exe \ inetinfo.dbg, a généré une erreur d'application. L'adresse" http://www.domain.com/scripts .. \ .. \ scriptname "vous permet d'exécuter le script spécifié. Invité par défaut ou IUSR_WWW a un accès en lecture à tous les fichiers de tous les répertoires. Ces fichiers peuvent donc être visualisés, téléchargés et lancés. • Les répertoires \ script \ cgi-bin doivent être fermés. à partir de ces répertoires, vous pouvez exécuter n'importe quel fichier directement depuis la fenêtre du navigateur. • Lorsque IIS a une très longue URL (4 - 8 Ko), le serveur se bloque et ne répond pas aux demandes supplémentaires. Le problème est que la taille exacte de l'URL dépend du serveur particulier, donc les programmes de démarrage commençant par une taille de requête de base et augmentant progressivement la taille essaient de trouver le point critique qui bloquera le port de serveur. • Les utilisateurs d'Outlook Express 98 doivent prendre en compte le fait que ce mailer permet de traiter, y compris l'exécution, les scripts Visual Basic pouvant être facilement masqués dans le courrier électronique. Un script similaire a un accès complet au système de fichiers. La protection réelle ne peut devenir l'installation d'un "niveau de sécurité" dans Outlook que "maximum". • Si vous autorisez la saisie de balises HTML dans la salle de conversation, personne n’interférera avec l’insertion de quelque chose comme <img src = "http://www.mysite.com/cgi-bin/sniffer.cgi"> dans votre message. En conséquence, toutes les personnes présentes dans le chat (même pas enregistrées) vont, sans le savoir, appeler le script. • Limitez l’accès au port 25 uniquement pour certains utilisateurs.