Les attaques de réseau et autre chose
Introduction aux attaques de réseau
De brèves descriptions des attaques de réseau
Transfert des paquets IP fragmentés
protocoles personnalisés sont encapsulés dans IP
L'utilisation du protocole TFTP
Introduction au serveur DNS Internet par fausse interception - une demande ou de créer une «tempête» directionnelle DNS faux - serveur - réponses DNS à la victime
Introduction à Internet faux serveur DNS en interceptant DNS-query
Renifler - canal d' écoute (disponible uniquement dans le segment de réseau local)
paquets Intercept sur le routeur
Imposer une foule de fausse route via le protocole ICMP
Prédire le numéro de séquence TCP (IP-spoofing)
Détection d' intrusion et la protection contre les
Le système d'invitation et le risque de l'information contenue dans celui - ci
Quelques conseils à la recherche de réseau
D'autres façons d'obtenir des informations
Les trous et les erreurs d'administration dans Windows NT
le spam
Comment protéger le système de messagerie des spammeurs
Introduction aux attaques de réseau
L'intérêt accru dans TCP / IP-réseaux en raison de la croissance rapide de l'Internet. Cependant, cela soulève des questions sur la façon de protéger leurs ressources d'information contre les attaques de réseau extérieur. Si vous êtes connecté à Internet, votre système peut être attaqué. famille de protocoles IP sont la base pour la construction de réseaux Intranet et l'Internet mondial. Malgré le fait que le développement TCP / IP a été financé par le Département américain de la Défense, TCP / IP n'a pas de protection absolue et permet différents types d'attaques abordés dans ce chapitre. Pour mener à bien ces attaques un attaquant potentiel doit avoir un contrôle sur au moins l'un des systèmes connectés à Internet. Une approche de l'analyse des menaces à la sécurité des systèmes informatiques est l'attribution d'une catégorie distincte des menaces qui sont uniques à un réseau informatique. Cette classe est appelée menaces - attaques à distance de classe. Cette approche de la classification semble admissible en raison des caractéristiques de base dans la construction du système d'exploitation de réseau. La principale caractéristique de tout système d'exploitation de réseau est que ses composants sont distribués dans l'espace, et la relation entre eux est matériellement exécutée au moyen d'une connexion spéciale de réseau (câble coaxial, paire torsadée, fibre optique, etc.) et des logiciels - en utilisant le mécanisme de messagerie. Ainsi, tous les messages de commande et les données envoyées une autre composante du composant du système d'exploitation de réseau, transmis via des connexions réseau dans un échange de paquets. Cette fonction est la principale raison de l'émergence d'une nouvelle classe de menaces - attaques à distance. Dans ce type d'attaque, l'attaquant interagit avec le destinataire de l'information, l'expéditeur et / ou des systèmes intermédiaires, éventuellement en modifiant et / ou filtrer le contenu de TCP / IP-paquets. Ces types d'attaques semblent souvent être techniquement difficile à mettre en œuvre, mais il est facile à mettre en œuvre des outils appropriés pour un bon programmeur. La possibilité de formation de paquets IP arbitraires est un point clé pour la mise en œuvre des attaques actives. attaques à distance peuvent être classés selon le type d'exposition: active ou passive. Attaques actives peuvent être divisés en deux parties. Dans le premier cas, l'attaquant prend des mesures pour intercepter et modifier le trafic et les tentatives de "faire semblant" un autre système réseau. Dans le second cas, le protocole TCP / IP est utilisé pour mettre le système de la victime inopérable. Lorsque les attaques passives attaquants en aucun cas se révèlent et ne viennent pas directement en contact avec d'autres systèmes. En fait, tout se résume à la surveillance des sessions de données ou de communication disponibles. Bien que les attaques passives peuvent violer la politique de sécurité du réseau. L'idée d'identifier une attaque est simple: toute attaque correspond à un certain trafic réseau, par conséquent, l'analyse du trafic vous permet d'identifier et de détecter l'attaque "trace" l'attaquant, à savoir déterminer l'adresse IP à partir de laquelle l'information influence a été réalisée. Ainsi, la détection des attaques effectuée par le contrôle de flux d'information, qui est obtenue par l'analyse du trafic de réseau.De brèves descriptions des attaques de réseau
Gardez à l'esprit que les méthodes rudimentaires tels que pinger gros paquets ou SYN inondations, peuvent submerger toute machine à Internet ou à un sous-réseau, quelle que soit la configuration.Fragmentation des données
Lors de la transmission de protocole de paquets de données IP sur le réseau peut être une division du paquet en plusieurs fragments. Par la suite, après avoir atteint la destination, le paquet est reconstruit à partir des fragments. Un attaquant peut déclencher l'envoi d'un grand nombre de fragments, ce qui conduit à un logiciel de débordement de mémoire tampon sur le côté réception et, dans certains cas, de bloquer le système.Transfert de la fragmentation des paquets IP c totalisant plus de 64Ko
Le nombre d'attaques implémentations utilisant la possibilité de fragmentation des paquets IP, est suffisamment grand. Sur l'ordinateur de la victime est transmis plusieurs paquets IP fragmentés, qui forme lors de l'assemblage d'une seule taille de l'emballage plus de 64K (la taille maximale du paquet IP est égale à 64K moins la longueur d'en-tête). Cette attaque était efficace contre les ordinateurs de Windows. Dès réception du package Windows NT n'a pas de patch ICMP-fix spéciale, "gèle" ou se bloque. D'autres variantes de ces attaques utilisent le mauvais décalage dans les fragments IP, ce qui conduit à l'allocation de mémoire incorrecte, dépassement de mémoire tampon, et, finalement, au mauvais fonctionnement des systèmes.Opposition: pour détecter de telles attaques doivent être mis en œuvre et analyser l' assemblage de paquets "à la volée", et cela va augmenter de manière significative les exigences matérielles.
Ping inondations attaque
Il est donc apparu que le programme "ping", destiné à évaluer la qualité de la ligne est la clé de test "agressif". Dans ce mode, la demande est envoyée aussi vite que possible et le programme pour évaluer la façon dont le réseau fonctionne à la charge maximale. Cette attaque nécessite l'attaquant d'accéder aux canaux rapides sur Internet. Rappelons comment le ping. Le programme envoie un ICMP de type package ECHO REQUEST, exposant dans le temps et son identité. Le noyau de la machine, le destinataire répond à un tel paquet de requête ICMP ECHO REPLY. Get it, ping fournit le taux de transmission de paquets. En mode standard, les paquets sont envoyés à des intervalles, presque sans impact sur le réseau. Mais dans le mode "agressif", le flux de ICMP echo demande / réponse-paquet peut surcharger une petite ligne, privant de la possibilité de transmettre des informations utiles. Naturellement, le cas de ping est un cas particulier d'une situation plus générale, couplé avec les canaux de surcharge. Par exemple, un attaquant pourrait envoyer plusieurs paquets, l'UDP sur le port 19 e machine de la victime, et si elle est, selon les règles communément admises, est le 19 UDP-Port CG correspondant aux lignes de paquets à 80 octets. Notez que l'attaquant peut également aller de l'adresse de ces paquets de retour, ce qui rend difficile à détecter. Suivre son aide à moins travaux coordonnés de spécialistes dans les routeurs intermédiaires, ce qui est pratiquement impossible. L'une des options d'attaque - envoyer ICMP demande-paquets d'écho avec une adresse source, pointant vers la victime, sur les principaux réseaux broadcast-address. En conséquence, chacune des machines répondront à cette demande d'un faux, et à l'expéditeur la machine reçoit un grand nombre de réponses. Faire beaucoup de demandes de diffusion en écho au nom des «victimes» sur la diffusion-adresse de grands réseaux, peut provoquer canal forte zapolnenenie «victime». Les signes d'inondations - ont considérablement augmenté la charge du réseau (ou canal) et d'augmenter le nombre de paquets spécifiques (comme ICMP). Comme la protection peut être recommandée configuration de routeurs, dans lequel ils seront le même filtre le trafic ICMP dépasse une valeur prédéterminée à l'avance (paquets / unités. Temps). Afin de vous assurer que votre voiture ne peut pas être une source de caractéristiques d'inondation de ping, restreindre l'accès à la commande ping.PingOfDeath ou SSPing
Son essence est la suivante: sur la voiture de la victime est envoyé un message ICMP fortement fragmentipovanny pazmepa grande (64KB). Réaction de Windows-systèmes pour un tel paquet est suspendu ou inconditionnel, y compris la souris et le clavier. pour attaquer le programme est largement disponible sur le Web sous la forme d'un code source en C et sous la forme de fichiers exécutables pour certaines versions d'Unix. Fait intéressant, contrairement à la victime WinNuke d'une telle attaque peut être non seulement une machine Windows, l'attaque exposée la version MacOS avec le bon formatage et certains Unix. Les avantages de cette méthode d'attaque est que le pare-feu est généralement transmet des paquets ICMP, et si le pare-feu et configuré pour filtrer les adresses posylateley, puis en utilisant des techniques simples de spoofing, vous pouvez tricher et un pare-feu. Manque PingOfDeath que pour une seule attaque devrait être d'envoyer un 64KB sur le réseau, ce qui rend encore mentionner maloppimenimym pour divepsy shipokomasshtabnyh.UDP bombe
Le paquet UDP transmis contient un champs de service malformés. Certaines anciennes versions de logiciel de réseau de premier plan dans la préparation d'un tel paquet à planter le système.SYN inondations
SYN Flooding -Paquet - le plus célèbre façon de "marquer" canal d'information. Rappelez-vous comment le protocole TCP / IP pour les connexions entrantes. Le système répond à venir C-SYN - paquet S-SYN / ACK C--Paquet traduit la session SYN_RECEIVED Etat et le met dans la file d' attente. Si, dans un temps prédéterminé à partir du client vient S-ACK, le composé est retiré de la file d'attente, sinon la connexion est transférée à l'état ESTABLISHED. Considérons le cas où toutes les connexions d'entrée sont déjà remplis, et le système reçoit SYN -Paquet sont invités à installer la connexion. Selon RFC, il sera silencieusement ignoré. SYN Flooding -Paquet basée sur le serveur de débordement de la file d'attente, le serveur cesse de répondre aux demandes des utilisateurs. Le plus célèbre d'une telle attaque - une attaque sur Panix, basé à New York fournisseur. Panix n'a pas fonctionné pendant 2 semaines. Dans les différents systèmes de file d'attente de travail est mis en oeuvre de différentes manières. Ainsi, dans les systèmes BSD, chaque port a sa propre place dans la taille de 16 éléments. Dans les systèmes SunOS, au contraire, une telle séparation, et il n'y a pas de système a tout simplement une grande file d'attente commune. En conséquence, afin de bloquer, par exemple, le WWW-port 16 sur BSD assez SYN-paquets, et leur nombre sera beaucoup plus grande pour le Solaris 2.5. Après l'expiration d'un certain temps (en fonction de la mise en œuvre) demande au système supprime de la file d'attente. Cependant, rien empêche un attaquant d'envoyer un nouveau lot de demandes. Ainsi, même lorsque la connexion à 2400 bps, un attaquant peut envoyer toutes les quinze minutes à 20-30 paquets sur FreeBSD-serveur, en le maintenant en ordre de marche (bien sûr, cette erreur a été corrigée dans les versions récentes de FreeBSD). Comme d'habitude, un attaquant pourrait exploiter les adresses IP aléatoires inverses dans la formation d'un ensemble qui le rend difficile à détecter et filtrer son trafic. La détection est simple - un grand nombre de composés dans l'état SYN_RECEIVED, ignorant les tentatives de se connecter à ce port. Comme la protection peut être patchs qui mettent en œuvre automatique recommandé "aminci" ligne, par exemple, basé sur l'algorithme aléatoire chute précoce. Pour savoir si votre système de protection contre les inondations SYN-, contactez votre fournisseur de système. Une autre option de protection - configurer le pare-feu de telle sorte que le protocole TCP / IP-connexions entrantes sont lui-même mis en place, et alors seulement, les jeta dans le réseau sur une machine donnée. Cela vous permettra de limiter le syn-inondations et de ne pas manquer à l'intérieur du réseau. Cette attaque se réfère à l'interdiction des attaques de service, qui se traduit par l'incapacité de fournir des services. L'attaque se concentre généralement sur certains, un service spécifique, tel que telnet ou ftp. Il est à transférer des paquets pour établir la connexion au port correspondant au service visé. Lorsque vous êtes invité, le système alloue des ressources pour la nouvelle connexion, puis tente de répondre à la demande (envoyer un "SYN-ACK") sur l'adresse inaccessible. versions par défaut NT 3,5-4,0 confirmation va réessayer 5 fois - après 3, 6, 12, 24 et 48 secondes. Par la suite, un autre 96 secondes, le système peut attendre une réponse, et alors seulement libère les ressources allouées pour les connexions futures. La durée totale des ressources en matière d'emploi - 189 secondes.protocoles personnalisés sont encapsulés dans IP
Le paquet IP contient un champ identifiant le protocole paquet encapsulé (TCP, UDP, ICMP). Les attaquants peuvent utiliser une valeur non standard de ce champ pour les données qui ne seront pas fixés avec des informations standards des moyens de contrôle de flux.L'utilisation du protocole TFTP
Ce protocole ne contient pas de mécanismes d'authentification, de sorte que est attrayant pour les criminels.Attaque schtroumpf
attaque Smurf est de transférer à la diffusion du réseau requêtes ICMP au nom de l'ordinateur de la victime. Par conséquent, les ordinateurs qui ont adopté ces émissions se rencontrent sur l'ordinateur cible, ce qui conduit à une réduction significative de la bande passante du canal de communication et, dans certains cas, l'isolement complet du réseau cible. attaque schtroumpf est extrêmement efficace et généralisée. Opposition: la reconnaissance de cette attaque doit être analysé afin de déterminer la charge de canal et de réduire les causes de la bande passante.Land Attack
Land Attack vulnérabilité utilise les implémentations de la pile TCP / IP dans certains systèmes d'exploitation. Il est transmis pour ouvrir l'ordinateur de la victime, le paquet de TCP au port le drapeau SYN, et l'adresse et le port source du paquet sont égaux à l'adresse et le port de l'ordinateur attaqué. Cela conduit au fait que l'ordinateur de la victime tente de se connecter à lui-même, ce qui a grandement augmenté la charge du processeur et peut se produire "podvisanie" ou le redémarrage. Cette attaque est très efficace sur certains modèles de la société Cisco Systems routeurs, l'application réussie des attaques au routeur peut faire baisser l'ensemble du réseau de l'entreprise. Opposition: pour protéger contre cette attaque peut être, par exemple, en installant un paquet de filtre entre le réseau interne, Internet, la mise sur une règle de filtrage qui spécifie les paquets de supprimer cette viennent de l'Internet, mais avec les adresses IP source de l'ordinateur du réseau interne.Introduction au serveur Internet en créant une fausse direction, "tempête" DNS-réponses fausses à l'hôte cible
Un autre mode de réalisation d'une attaque à distance sur le service DNS, basé sur une attaque à distance seconde espèce typique "objet de soleil faux." Dans ce cas, l'attaquant effectue un transfert permanent à l'hôte cible un faux DNS-réponse préparé au nom du DNS-serveur sans recevoir la requête DNS. En d'autres termes, l'attaquant crée sur l'Internet dirigé «tempête» de DNS-réponses fausses. Ceci est rendu possible car, généralement, la transmission DNS demande utilise le protocole UDP, qui n'a pas de moyen de paquets d'identification. Les seuls critères d'accueil du système d'exploitation de réseau a reçu de la réponse DNS-serveur est, d'une part, l'accord entre les adresses IP de réponse à l'expéditeur avec l'adresse IP du serveur DNS, et d'autre part, que le même nom a été spécifié dans le DNS-réponse comme DNS-requête, en troisième lieu, DNS-réponse doit être adressée à la même UDP-port, à laquelle a été envoyée à DNS-requête (dans ce cas, le premier problème pour l'attaquant) et quatrièmement, DNS -response domaine DNS identificateur de requête dans l'en-tête (ID) doit contenir la même valeur que dans le DNS-requête transmise (qui est un autre problème). Dans ce cas, car un attaquant n'a pas la possibilité d'intercepter le DNS-requête, le problème sous-jacent pour lui est le numéro UDP-port à partir duquel la demande a été envoyée. Mais le numéro de port suppose un ensemble limité de valeurs (1023?), Donc l'attaquant assez pour exploiter une simple force brute, l'envoi de fausses réponses à la liste correspondante des ports. À première vue, le deuxième problème peut être deux octets identifiant DNS-requête, mais dans ce cas il est soit un ou une valeur proche de zéro (une requête - ID est augmenté de 1). Par conséquent, pour la mise en œuvre de l'attaque à distance de l'attaquant, il est nécessaire de choisir l'hôte intéressant (A), un itinéraire que vous voulez changer de sorte qu'il passe à travers le faux serveur - l'hôte de l'attaquant. Ceci est réalisé par un transfert constant (dirigé "tempête") attaque DNS-réponses fausses à l'hôte cible au nom du serveur DNS aux UDP ports correspondants. Dans ces DNS-réponses fausses spécifiées comme l'adresse IP de l'hôte Une adresse IP de l'attaquant. Prochaine attaque se développe comme suit. Dès que la cible de leur attaque (hôte cible) adresse au nom de l'hôte A, puis à partir d' un hôte donné au réseau sera transmis au DNS-requête qu'un attaquant ne sera jamais, mais qu'il ne soit pas nécessaire, car l'hôte immédiatement constamment aller transmis de faux DNS-réponse, qui sera reçu par le système d'exploitation hôte attaqué comme une réponse du serveur DNS. L'attaque a eu lieu et maintenant l'hôte attaqué enverra tous les paquets destinés à A, à l'adresse IP de l'hôte l'attaquant, qui, à son tour, les transmettra à l'A, agissant sur les informations interceptées sur un «faux objet distribué CS". Considérons un schéma fonctionnel de l'attaque à distance proposée sur le service DNS: • transfert constant attaquer faux DNS-réponses à l'hôte cible sur une variété de UDP-ports, et éventuellement avec différents ID, au nom (avec l'adresse IP) du serveur DNS avec le nom de l'intérêt à l'hôte et son adresse IP fausse, qui sera être l'adresse IP du serveur de faux - l'hôte de l'attaquant; • dans le cas d'un paquet à partir d'un hôte, un changement dans l'en-tête IP-paquet de son adresse IP à l'adresse IP de l'attaquant et l'envoi du paquet au serveur (ie, un faux serveur communique avec le serveur en son nom propre - à partir de votre adresse IP); • dans le cas d'un paquet à partir du serveur, le changement dans l'en-tête IP-paquet de son adresse IP sur le faux serveur adresse IP, et le transfert à l'ensemble de l'hôte (l'hôte de faux serveur est le serveur réel). Ainsi, la mise en œuvre de l'attaque à distance en utilisant des espaces dans la sécurité du DNS, permet à tout point de l'Internet pour briser le routage entre deux objets spécifiés. Autrement dit, cette attaque à distance est effectuée par rapport à des fins intersectorielles d'attaque et menace la sécurité de tout hôte Internet qui utilise le service DNS ordinaire.Introduction au serveur DNS Internet par fausse interception - une demande ou de créer une «tempête» directionnelle DNS faux - serveur - réponses DNS à la victime
D'un système DNS-recherche à distance que dans le cas où spécifié dans la demande le nom du serveur DNS ne se trouve pas dans son nom de base de données, la requête est envoyée au serveur à l'un de la racine des serveurs DNS dont les adresses sont contenues dans le fichier de configuration du serveur root.cache . Autrement dit, si le serveur DNS ne héberge pas les informations demandées, il transmet la demande, et donc maintenant se DNS-serveur est une recherche à distance lancé DNS. Par conséquent, il n'y a rien qui empêche un attaquant, les méthodes décrites dans le paragraphe précédent travail, pour diriger leur attaque sur le serveur DNS. Autrement dit, comme l'objectif de l'attaque est pas l'hôte agir maintenant et DNS-serveur et les réponses DNS-faux sera envoyé à l'attaquant, au nom de la racine DNS-serveur à la cible DNS-serveur. Il est important de considérer la fonctionnalité serveur DNS suivante. Pour accélérer chacun des caches DNS-serveur dans la mémoire de leurs noms et une table d'hôtes adresse IP. Y compris le cache est stocké changeant dynamiquement des informations sur les noms et les adresses IP des hôtes trouvés pendant l'opération DNS-serveur. Autrement dit, si le DNS-serveur reçoit la requête, ne trouve pas dans sa table enregistrement de cache respective, il transmet la réponse au serveur suivant, et a reçu la réponse, met l'information trouvée dans la table de cache en mémoire. Ainsi, il est pas nécessaire d'effectuer une recherche à distance, car les données nécessaires sont déjà dans la table de cache lorsque la prochaine requête du serveur DNS. De l'analyse vient d'être décrit en détail à distance DNS-motif de recherche devient évident que si, en réponse à une demande du serveur DNS l'attaquant envoie un DNS-réponse fausse (ou dans le cas de «tempête» de fausses réponses guideront leur transmission suite) puis la table de cache du serveur sera une entrée correspondante de faux renseignements et, à l'avenir, tous les hôtes, reportez-vous à cela le serveur DNS, sera erronée, et par référence à l'hôte, l'itinéraire auquel l'attaquant a décidé de changer le lien vers ce sera par l'hôte de l'attaquant dans un «objet de soleil faux." Et au fil du temps, cette fausse information arrive dans le cache DNS-serveur, il se propage à serveurs DNS de niveaux plus élevés voisins, et par conséquent, plus d'hôtes sur l'Internet sera mal informé et attaqué. Il est évident que, dans ce cas, si un attaquant peut intercepter le DNS-demande du serveur DNS pour la réalisation de l'attaque nécessite une réponse "tempête" DNS-faux dirigés vers DNS-serveur. Cela pose le problème fondamental suivant, le problème est différent de la sélection de ports dans le cas d'une attaque destinée à l'hôte. Comme indiqué précédemment serveur DNS, l'envoi de la requête à un autre serveur DNS identifie cette demande, la valeur de deux octets (ID). Cette valeur est incrémenté à chaque demande de laissez-passer. Apprendre l'attaquant est la valeur actuelle de l'identifiant DNS-demande est pas possible. Par conséquent, rien que la force brute Février 16 valeurs possibles de ID pour offrir quelque chose de très difficile. Mais le problème disparaît busting ports, puisque tous les DNS-demandes sont acheminées vers le serveur DNS sur le port 53. Le problème suivant, qui est une condition pour la mise en œuvre de l'attaque à distance sur le serveur DNS sous la direction de "la tempête" false DNS-réponse réside dans le fait que l'attaque ne peut réussir que si le serveur DNS envoie une requête à la recherche d'un nom spécifique (qui contient dans un DNS-réponse fausse). DNS-serveur envoie cela comme nécessaire et souhaité par l'attaquant dans la demande si elle DNS-demande viendra de toute l'armée du nom de la liste et ce nom apparaît dans une table de cache DNS-serveur. En principe, cette demande peut venir à tout moment, l'attaquant peut avoir à attendre les résultats des attaques indéfiniment. Cependant, rien empêche un attaquant, sans attendre pour quiconque d'envoyer à la requête DNS comme cible DNS-Server et déclencher une recherche DNS-serveur spécifié dans le nom de la requête. Ensuite, l'attaque est susceptible d'être un succès presque immédiatement après le début de sa mise en œuvre.Introduction à Internet faux serveur DNS en interceptant DNS-query
Dans ce cas, l'attaque à distance sur l'attaque à distance échantillon standard associé à l'attente de recherche DNS-requête. Avant de considérer l'algorithme d'attaque sur le service DNS est nécessaire de prêter attention à ces subtilités dans le travail de ce service. Tout d'abord, le service DNS par défaut de fonctionnement sur la base du protocole UDP (bien que peut-être en utilisant le protocole TCP), ce qui rend naturellement moins sûr, puisque le protocole UDP contrairement TCP fournit aucun moyen d'identifier les messages. Pour passer de l'UDP à l'administrateur DNS TCP - le serveur devra étudier sérieusement la documentation. En outre, cette transition va ralentir le système, puisque, d'une part, en utilisant TCP nécessite la création d'une connexion virtuelle, et, d'autre part, le système d'exploitation de réseau final envoie premier DNS-requête en utilisant le protocole UDP et si elle dans la volonté réponse spéciale du serveur DNS, le système d'exploitation de réseau envoie un DNS-requête en utilisant TCP. D'autre part, la finesse suivante, qui est nécessaire de noter que la valeur du champ "port source" dans le premier paquet UDP est réglé à 1,023 (?), Puis augmente à chaque requête DNS transmise. Troisièmement, l'identifiant (ID) DNS-requête se comporte comme suit. Dans le cas du DNS-demande la transmission de l'hôte de sa valeur dépend de la génération particulière application de réseau, DNS-requête. auteur Des expériences ont montré que, dans le cas de la commande demande de transmission interpréteur shell systèmes d'exploitation Linux, Windows '95 (par exemple, ftp nic.funet.fi), cette valeur est toujours égale à l'unité. Dans ce cas, le DNS-requête transmis à partir du navigateur Netscape, que chaque nouvelle demande de navigateur lui-même, cette valeur augmente d'une unité. Dans ce cas, si la demande est envoyée directement au serveur DNS, le serveur augmente cette valeur par un identifiant à chaque demande de re-transmis. Tous ces détails sont importants dans le cas d'une attaque sans interception DNS-requête. Pour mettre en œuvre les attaques par interception DNS-requête l'attaquant besoin d'intercepter DNS-requête, extraire le numéro de la demande UDP-port de l'expéditeur, un à deux octets valeur ID identifiant DNS-requête et le nom de votre choix, puis envoyer de faux DNS-réponse reçue du DNS-requête UDP-port, qui spécifient pour l'adresse IP souhaitée de la vraie adresse IP du serveur DNS faux. Ce sera à l'avenir pleinement influencer intercepter et activement dans le cadre du «objet PBC False" pour le trafic entre le «trahi» par l'hôte et le serveur. Considérons le schéma généralisé de DNS faux - serveurs: • la demande d'attente DNS; • reçu un DNS-requête, l'extraction de l'information nécessaire et la transmission de réseau à l'hôte demandant de faux DNS-réponse, au nom (avec l'adresse IP) du serveur DNS, ce qui indique l'adresse IP du serveur DNS faux; • dans le cas d'un paquet à partir d'un hôte, un changement dans l'en-tête IP-paquet de son adresse IP sur le faux serveur DNS l'adresse IP et le paquet de transmission au serveur (par exemple un serveur DNS faux communique avec le serveur en son nom); • dans le cas d'un paquet à partir du serveur, le changement dans l'en-tête IP-paquet de son adresse IP à l'adresse IP du serveur DNS faux et transfert à l'ensemble de l'hôte (pour héberger un serveur DNS faux est le vrai serveur). Une condition nécessaire pour la mise en oeuvre de ce mode de réalisation, l'attaque est d'intercepter DNS-requête. Cela est possible uniquement si l'attaquant est sur le chemin d'accès ou le trafic principal soit dans le segment du serveur DNS. Effectuez l'une de ces conditions de l'emplacement de l'attaquant sur le réseau rend cette attaque à distance est difficile à réaliser dans la pratique (pour entrer dans le segment DNS-serveur, et en particulier dans le lien inter-segment attaquant est susceptible d'échouer). Cependant, dans le cas de la réalisation de ces conditions peuvent être réalisées à distance attaque intersegment sur Internet. Il convient de noter que la mise en œuvre pratique de cette attaque à distance a révélé un certain nombre de caractéristiques intéressantes dans le protocole FTP et le mécanisme d'identification pour TCP-paquets. Si FTP-client sur un hôte connecté à un serveur FTP distant via un serveur DNS faux, il se trouve que chaque fois après la publication de l'application utilisateur des commandes FTP (par exemple, ls, get, put et TD) dans le client FTP a dressé une commande de port, qui consistait dans le transfert vers un serveur FTP dans le champ de données le numéro de port TCP-paquet et l'hôte client adresses IP (une signification particulière dans ces actions sont difficiles à trouver - pourquoi chaque fois de transférer à un serveur FTP IP-adresse du client)! Cela a conduit au fait que si un serveur DNS faux ne change pas l'adresse IP transmise dans le champ de données du paquet TCP et envoyer le paquet à un serveur FTP sur le régime ordinaire, le prochain paquet sera transféré vers le serveur FTP à l'hôte client FTP, éviter de faux serveur DNS, et, plus intéressant, ce paquet sera traité comme un paquet normal et, par la suite, un serveur DNS false perdre le contrôle du trafic entre le serveur FTP et FTP-client! Ceci est dû au fait que le serveur FTP classique ne fournit aucun identifiant client FTP supplémentaire et tout déplacer le problème de l'identification de paquets et d'un composé à un niveau inférieur - le niveau TCP.Attaque DNS inondations
inondations DNS - cette attaque sur les serveurs de noms Internet. Il est de transférer un grand nombre de requêtes et de prospects DNS sur le fait que les utilisateurs ne disposent pas la possibilité de contacter le nom du service, et donc l'impossibilité de fonctionnement fourni aux utilisateurs ordinaires. Opposition: pour détecter cette attaque est nécessaire d'analyser la charge DNS du serveur et identifier les sources de demandes.DNS spoofing attaque
Le résultat de cette attaque est de rendre la conformité imposée entre l'adresse IP et le nom de domaine dans le cache du serveur DNS. À la suite de la réussite d'une telle attaque tous les utilisateurs de DNS nord auront des informations erronées sur les noms de domaine et les adresses IP. Cette attaque est caractérisée par un grand nombre de paquets DNS avec le même nom de domaine. Ceci est dû à la nécessité d'échanger certains paramètres DNS correspondant. Opposition: détecter une telle attaque est nécessaire d'analyser le contenu du trafic DNS.spoofing attaque IP (syslog)
Un grand nombre d'attaques sur le réseau connecté à Internet avec la substitution de l'adresse IP d'origine. De telles attaques spoofing applique également syslog, qui est transmis aux messages informatiques de la victime au nom du réseau interne d'un autre ordinateur. Depuis le protocole syslog est utilisé pour maintenir les journaux système en envoyant de faux messages à la machine de la victime peut imposer des informations ou des traces d'un accès non autorisé. L' opposition: la détection d'attaques associées à la substitution d'adresses IP, le cas échéant sous le contrôle de la réception sur l' un de l'interface de paquets avec une adresse de source de la même interface, ou sous le contrôle de la réception des paquets sur l'interface externe avec les adresses IP réseau interne.L'imposition d'un paquet
L'attaquant envoie des paquets à un réseau avec une adresse de retour fausse. Avec cette attaque, l'attaquant est en mesure de passer sur votre connexion à un ordinateur établi entre d'autres ordinateurs. Dans ce cas, les droits d'accès de l'attaquant sont l'égalité des droits de l'utilisateur dont la connexion au serveur a été commuté sur l'ordinateur de l'attaquant.Renifler - canal d' écoute (disponible uniquement dans le segment de réseau local)
Pratiquement toutes les cartes supportant l'interception de paquets transmis sur un réseau de canal partagé. Ce poste de travail peut recevoir des paquets adressés à d'autres ordinateurs sur le même segment de réseau. Ainsi, tous les échanges d'informations sur un segment de réseau devient accessible à l'attaquant. Pour la mise en œuvre réussie de cette attaque, l'ordinateur de l'attaquant doit être dans le même segment LAN que l'ordinateur cible.paquets Intercept sur le routeur
routeur logiciel de réseau a accès à tous les paquets de réseau transmis via le routeur, ce qui permet d'intercepter les paquets. Pour cette attaque, l'attaquant doit disposer d'un accès privilégié à au moins un routeur de réseau. Étant donné que le routeur est généralement transmis beaucoup de paquets, l'interception totale est pratiquement impossible. Cependant, certains paquets peuvent ainsi être capturées et stockées pour une analyse ultérieure par un attaquant. L'interception le plus efficace de paquets FTP contenant des mots de passe et e-mail.Imposer une foule de fausse route via le protocole ICMP
Dans l'Internet il est le protocole ICMP (Internet Control Message Protocol), une fonction qui est d'informer l'hôte au sujet du changement du routeur actuel. Ce message de contrôle est appelé une redirection. Vous pouvez envoyer de toute hôte dans le segment de réseau fausse redirection-mail au nom du routeur à l'hôte cible. En conséquence, l'hôte modifie la table de routage en cours et, à l'avenir, tout le trafic réseau de l'hôte aura lieu, par exemple, par l'hôte en envoyant de faux redirection message. Ainsi, il est possible d'appliquer une contrainte active d'un faux trajet à l'intérieur d'un segment de l'Internet.WinNuke
connexion de données normale Hapyadu via TCP resends ppedustatpivaet ctandapt également pepedachu spochnyh (Out Of Band) données. Ha upovnya paquets TCP de format de fichier est dans un zéro non vypazhaetsya pointeur urgent. La plupart des PC fonctionnant sous Windows ppisutstvuet protocole NetBIOS du réseau, et l'excentricité utilise pour leurs besoins 3 IP Popta: 137, 138, 139. En fait, si vous vous connectez à des machines Windows dans 139 popt et renvoyer quelques octets OutOfBand données et NetBIOS-pealizatsiya ne sachant pas quoi faire avec ce poppostu de données suspend ou voiture pepezagpuzhaet. Pour Windows 95, il ressemble généralement à un texte bleu ek.pana rapporter des erreurs dans le pilote TCP / IP est l'impossibilité d'emploi du réseau pour pepezagpuzki OC. service packs basés sur NT 4.0 sans pepezagpuzhaetsya, service basé sur NT 4.0 avec un second type de rondelle gouttes dans ek.pana bleu. Un package similaire 135 et les données dans d'autres ports conduit à processeur important chargement RPCSS.EXE. Sur NTWS cela conduit à des ralentissements importants, NTS pratiquement gelé.serveur False ARP
Sur Internet, chaque hôte a une adresse IP unique, qui reçoit tous les messages du réseau étendu. Cependant, le protocole IP ne sont pas tellement le réseau en tant que protocole de passerelle destiné à la communication entre les objets d'un réseau mondial. Les paquets de couche de liaison sont adressés par l'adresse matérielle de la carte réseau. Dans le protocole Internet ARP est utilisé pour IP one-to-one correspondance et l'adresse Ethernet (Address Resolution Protocol). Dans un premier temps, l'hôte ne peut pas avoir des informations sur les Ethernet-adresses des autres hôtes qui sont avec lui dans le même segment, y compris Ethernet-adresse du routeur. En conséquence, lorsque le premier accès aux ressources du réseau de l'hôte envoie une demande ARP-diffusion qui est reçu par toutes les stations sur le segment de réseau. Après réception de la demande, le routeur envoie à la demande hôte ARP-réponse, qui informe son adresse-Ethernet. Ce plan de travail permet à un attaquant d'envoyer ARP-réponse fausse, qui cherchait à se déclarer l'hôte (par exemple, un routeur), et, en outre, de surveiller activement tout le trafic réseau "trompé" hôte.Prédire le numéro de séquence TCP (IP-spoofing)
Dans ce cas, le but de l'attaquant - de faire semblant d'être un autre système, qui, par exemple, la «confiance» du système victime. La méthode est également utilisée à d'autres fins - par exemple, d'utiliser le SMTP de la victime pour l'envoi de fausses lettres. Installation TCP-connexion se déroule en trois étapes: le client choisit et envoie le numéro de séquence du serveur (appeler C-SYN), en réponse à cela, le serveur envoie le paquet de données client contenant l'accusé de réception (C-ACK) et son numéro de serveur propre séquence (S-SYN ). Maintenant, le client doit envoyer une confirmation (S-ACK). Après cette connexion est établie et la communication commence. En outre, chaque paquet a un champ d'en-tête du numéro de séquence et de reconnaître le numéro. Ces chiffres augmentent dans l'échange de données et vous permettent de contrôler l'exactitude du transfert. Supposons qu'un attaquant peut prédire quel numéro de séquence (schéma S-SYN) sera envoyé au serveur. Cela peut être fait sur la base de la connaissance d'une mise en œuvre TCP / IP particulier. Par exemple, la valeur du numéro de séquence de 4.3BSD, qui sera utilisé lors de l'installation des valeurs suivantes, chaque seconde augmente de 125.000 envoyant ainsi un paquet au serveur, l'attaquant sera en mesure d'obtenir une réponse et (éventuellement avec plusieurs popytkok et ajusté sur la vitesse de connexion) pour prédire numéro de séquence pour la prochaine connexion. Si la mise en oeuvre TCP / IP utilise un algorithme spécial pour la détermination du numéro de séquence, il peut être précisé par l'envoi de paquets de plusieurs dizaines de serveur et l'analyse de sa réponse. Ainsi, nous supposons que le système Un système de confiance B, de sorte que B, l'utilisateur peut faire "rlogin A" et tourner sur la A, sans entrer un mot de passe. Supposons qu'un attaquant se trouve sur le système C. Un système agit en tant que serveur, le système B et C - en tant que clients. La première tâche de l'intrus - entrer dans le système B à un état où il ne peut pas répondre aux demandes du réseau. Cela peut se faire de plusieurs façons, le cas le plus simple, il vous suffit d'attendre le redémarrage du système B. A quelques minutes, au cours de laquelle il sera inutilisable, devrait être suffisant. Un attaquant pourrait essayer de prétendre que le système B, pour ce qui aurait accès au système A (à court terme moins). L'attaquant envoie plusieurs paquets IP initier la connexion, le système A, pour déterminer l'état actuel du numéro de séquence du serveur. L'attaquant envoie IP-paquets, dans lequel l'adresse de retour déjà spécifié système adresse B. Un système d'emballage répond avec un numéro de séquence qui est envoyée au système B. Cependant, le système ne sera jamais B (il est dérivé du système), comme, d'ailleurs, et que l'attaquant. Mais il est basé sur l'analyse précédente réalise un numéro de séquence a été envoyée au système B. L'attaquant reconnaît «la réception du" paquet de A, B au nom du paquet d'envoi à la fonction S-accusé de réception destiné (à noter que si le système se trouve dans le même segment, l'attaquant afin de déterminer la séquence un nombre suffisant pour intercepter le paquet envoyé par le système A). Après cela, si l'attaquant a eu la chance et le numéro de séquence le serveur a été deviné correctement, la connexion est établie. Maintenant, un attaquant peut envoyer un autre paquet IP faux qui contient déjà des données. Par exemple, si l'attaque visait le rsh, il peut contenir des commandes pour créer le fichier .rhosts ou l'envoi / etc / passwd attaquant par courriel. Opposition: simple , le signal IP-spoofing servira des paquets avec des adresses internes, qui sont venus du monde extérieur. logiciel de routeur peut informer l'administrateur. Mais nous ne devons pas nous tromper - l'attaque peut être à l'intérieur de votre réseau. Lors de l'utilisation plus intelligente des moyens de contrôle de réseau pour un administrateur peut surveiller (mode automatique) les paquets provenant de systèmes qui sont en mesure d'atteindre. Cependant, ce qui empêche un attaquant de simuler le système B, la réponse aux ICMP-packages? Quels moyens sont là pour protéger contre les IP-spoofing? Tout d'abord, il peut compliquer ou empêcher de deviner le numéro de séquence (élément clé de l'attaque). Par exemple, vous pouvez augmenter la vitesse de changement de numéro de séquence sur le serveur, ou sélectionnez le numéro de séquence de l'accident d'agrandissement (de préférence en utilisant un cryptographiquement forts algorithmes de génération de nombres aléatoires). Si votre réseau utilise un pare-feu (ou autre filtre IP-paquet), vous devez ajouter des règles à elle, dans laquelle tous les paquets venant de l'extérieur et ayant une adresse de notre espace d'adresse de retour, ne doivent pas être négligés au sein du réseau. En outre, il convient de réduire au minimum les machines d'affectation à l'autre. Idéalement, il ne devrait pas être un moyen d'accéder directement à la prochaine machine du réseau, gagnant racine sur l'un d'eux. Bien sûr, il ne sera pas économiser sur l'utilisation des services qui ne nécessitent pas d'authentification, par exemple, IRC (Internet attaquant peut prétendre à toute machine et passer un ensemble de commandes pour se connecter à un canal IRC, émettant des messages arbitraires, etc.). Cryptage TCP / IP flux résout généralement problème spoofing'a IP (à condition qu'une forte cryptographiquement des algorithmes utilisés). Afin de réduire le nombre de ces attaques, il est également recommandé de mettre en place un pare-feu pour filtrer les paquets qui sont envoyés à l'extérieur de notre réseau, mais avec des adresses qui ne font pas partie de notre espace d'adressage.tempête locale
Laissez-nous éloignons vers TCP / IP mise en œuvre, et considérons «tempête locale» sur l'exemple de l'UDP-tempête. En règle générale, le système par défaut de soutenir le travail des UDP-ports comme 7 ( "echo", le paquet reçu est renvoyé), 19 ( "CG" en réponse au paquet reçu est envoyé à la ligne de l'expéditeur CG) et autres (date, etc.). Dans ce cas, un attaquant peut envoyer un seul UDP-sac, où le port de source 7, comme la destination sera précisée - 19 minutes, et que l'adresse de destination et l'expéditeur sera précisé, par exemple, deux machines de votre réseau (ou même 127,0. 0,1). Après avoir reçu le paquet, le 19e port de rencontre la ligne qui va au port 7. Le septième port de duplique et envoie au 19e .. et ainsi de suite à l'infini. Le cycle sans fin de manger des ressources de la machine et ajoute une charge de sens par canal. Bien sûr, tout d'abord perdu l'arrêt de la tempête UDP-package. Opposition: comme une défense devrait recommander à nouveau de ne pas manquer les paquets réseau à partir d' adresses internes, mais il est venu de l'extérieur. Il est également recommandé de fermer le pare-feu d'utiliser la plupart des services.Détournement IP
La méthode est une combinaison de 'écoute' et IP-spoofing'a. Pré-requis - un attaquant doit avoir accès à la machine, situé sur le flux du réseau routier et des droits suffisants pour lui faire générer et intercepter les paquets IP. Rappelons que lors du transfert de données utilisé régulièrement numéro de séquence et de reconnaître le numéro (les deux champs sont dans l'IP-tête). Sur la base de leur valeur, le serveur et le client vérifie l'exactitude du paquet. Il est possible d'administrer le composé dans un "état désynchronisé" lors de l'envoi par le numéro de séquence du serveur et de reconnaître le numéro ne sera pas coïncider avec le client znacheniemi prévu, et vice versa. Dans ce cas, l'attaquant, "écoute" ligne peut prendre en charge les fonctions d'un médiateur pour générer les paquets corrects pour le client et le serveur et d'intercepter leurs réponses. La méthode permet de contourner complètement ces systèmes de protection, tels que les mots de passe une seule fois, puisque l'attaquant commence déjà après l'authentification de l'utilisateur se produit. Il y a deux façons de composés Unsync. • asynchronisme précoce. Composé de synchronisation à l'étape de l'installation. L'attaquant écoute sur le segment de réseau sur lequel les paquets passeront sa intéressante session. En attente de paquet S-SYN à partir du serveur, l'attaquant envoie un RST de type package serveur (reset), bien sûr, avec le numéro de séquence correcte, et immédiatement suivi d'un C-SYN-paquet de faux à partir du serveur de nom de client rejette la première session et ouvre un nouveau sur le même port, mais avec un nouveau numéro de séquence, et envoie ensuite au client une nouvelle S-SYN-package. Le client ignore le S-SYN-package, mais l'attaquant à l'écoute sur la ligne, le serveur envoie le S-ACK-paquets à partir du nom du client. Ainsi, le client et le serveur sont dans un état ESTABLISHED, mais la session est désynchronisés. Bien entendu, 100% de la réponse à ce schéma est pas, par exemple, il est immunisé contre le fait que la route ne soit pas perdu tous les paquets envoyés par l'attaquant. Pour le traitement correct de ces situations, le programme doit être compliqué. • désynchronisation nul. Dans ce cas, un attaquant écoute session et à un certain point envoie un paquet au serveur avec les données "zéro", à savoir, ceux qui seront effectivement ignoré niveau de l'application et non visible pour le client (par exemple, il peut être une donnée de type telnet IAC NOP IAC NOP IAC NOP ...). Un emballage similaire est envoyé au client. Il est évident que, après cette session devient l'état désynchronisé. ACK-tempête Un problème IP Détournement est que tout paquet qui a été envoyé lorsque la session est à l'état désynchronisé est ACK-appelé tempête. Par exemple, le paquet envoyé au serveur et le client, il est inacceptable, de sorte que les réponses ACK-paquets. La réponse à cela est inacceptable, même pour un package serveur client reçoit à nouveau une réponse. Et ainsi de suite à l'infini. Heureusement, les réseaux d'aujourd'hui sont construits sur des technologies qui ont permis à la perte de paquets individuels. Étant donné que les ACK-paquets ne portent pas les retransmissions de données ne se produit pas et «tempête se calme." Des expériences ont montré que le ACK-tempête plus, plus vite il "calme" lui-même - à 10MB ethernet cela se produit en une fraction de seconde. Pour les connexions non fiables telles que SLIP - pas beaucoup plus. La détection et la protection Il existe plusieurs façons. Par exemple, vous pouvez mettre en œuvre un réseau TCP / IP-pile, qui surveillera la transition vers un état désynchronisé, le partage d'informations sur le numéro de séquence numéro / reconnaître. Cependant, dans ce cas, nous ne sommes pas à l'abri de l'attaquant, moi et ces valeurs. Par conséquent, une méthode plus fiable consiste à analyser le trafic réseau, le suivi des nouveaux ACK-tempêtes. Ceci peut être réalisé en utilisant des moyens spécifiques pour le contrôle du réseau. Si l'attaquant ne fonctionne pas difficile de maintenir la connexion désynchronisée avant de le fermer ou ne sera pas filtrer la sortie des commandes, ce sera également immédiatement visible par l'utilisateur. Malheureusement, la grande majorité il suffit d'ouvrir une nouvelle session, sans avoir recours à l'administrateur. protection à cent pour cent contre cette attaque fournit comme toujours cryptées TCP / IP-trafic (au niveau de l'application - Secure Shell) ou couche de protocole - IPsec). Ceci élimine la possibilité de modifier le flux du réseau. Pour protéger le PGP e-mails peuvent être utilisés. Il convient de noter que le procédé ne fonctionne pas bien dans certains modes de réalisation spécifiques de TCP / IP. Ainsi, malgré la [rfc ...], ce qui nécessite une fermeture silencieuse en réponse aux systèmes RST-paquets Session générer des contre-RST-package. Cela rend désynchronisation tôt impossible.Détection d' intrusion et la protection contre les
• Pour détecter les attaques peuvent analyser l'activité de diffusion - il des paquets UDP, FBN, SAP. • Pour protéger le réseau interne connecté à Internet'u, à ne pas manquer à partir des paquets entrants externes, dont la source est l'adresse de réseau interne. Vous pouvez laisser des paquets passe seulement sur le port 80. • Placez le filtrage de paquets, si nécessaire (ne pas négliger mêmeControl Panel \ Network \ Protocols \ Propriétés \ avancée dans Windows NT).
Méthodes d' analyse
En utilisant l'ARP
Ce type de demande peut être utilisée par des attaquants afin de déterminer les systèmes d'exploitation sur le segment de réseau local.réseau de balayage par DNS
Il est connu que avant de commencer l'attaque, les assaillants ont procédé à l'identification des objectifs, à savoir identifier les ordinateurs qui sont victimes de l'attaque, ainsi que des ordinateurs qui communiquent avec une victime. Une façon d'identifier les objectifs est d'interroger les noms de serveur et de lui obtenir toutes les informations disponibles sur le domaine. Opposition: pour la détermination d'une telle analyse est nécessaire d'analyser DNS-requêtes (nom d'adresse) venant peut - être de différents serveurs DNS, mais pour une certaine période, de temps fixe. Il est nécessaire de regarder ce genre d'information en eux est transféré et de suivre les adresses de tri.UDP bombe
réseau de numérisation par balayage ping
balayage Ping ou à des fins d'identification en utilisant le protocole ICMP est une méthode efficace.
Opposition: pour déterminer si les objectifs de ping-scan situés dans un sous - réseau, vous devez analyser l'adresse de source et de destination des paquets ICMP.
Commentaires
Commentant, gardez à l' esprit que le contenu et le ton de vos messages peuvent blesser les sentiments des gens réels, montrer du respect et de la tolérance à ses interlocuteurs, même si vous ne partagez pas leur avis, votre comportement en termes de liberté d'expression et de l' anonymat offert par Internet, est en train de changer non seulement virtuel, mais dans le monde réel. Tous les commentaires sont cachés à l'index, le contrôle anti - spam.