Les attaques de réseau et autre chose

Introduction aux attaques de réseau

De brèves descriptions des attaques de réseau

Fragmentation des données

Transfert des paquets IP fragmentés

Ping inondations attaque

PingOfDeath ou SSPing

UDP bombe

SYN inondations

protocoles personnalisés sont encapsulés dans IP

L'utilisation du protocole TFTP

Attaque schtroumpf

Land Attack

Introduction au serveur Internet en créant une fausse direction, "tempête" DNS-réponses fausses à l'hôte cible

Introduction au serveur DNS Internet par fausse interception - une demande ou de créer une «tempête» directionnelle DNS faux - serveur - réponses DNS à la victime

Introduction à Internet faux serveur DNS en interceptant DNS-query

Attaque DNS inondations

DNS spoofing attaque

IP spoofing attaque

L'imposition d'un paquet

Renifler - canal d' écoute (disponible uniquement dans le segment de réseau local)

paquets Intercept sur le routeur

Imposer une foule de fausse route via le protocole ICMP

WinNuke

serveur False ARP

Prédire le numéro de séquence TCP (IP-spoofing)

tempête locale

Détournement IP

Détection d' intrusion et la protection contre les

Méthodes d' analyse

En utilisant l'ARP

réseau de balayage par DNS

UDP bombe

ports TCP de numérisation

Numérisation ports UDP

Stealth-scan

balayage passif

Le système d'invitation et le risque de l'information contenue dans celui - ci

Quelques conseils à la recherche de réseau

D'autres façons d'obtenir des informations

Les trous et les erreurs d'administration dans Windows NT

le spam

Comment protéger le système de messagerie des spammeurs

Comment les spammeurs

Holes IIS, WWW, FTP

Introduction aux attaques de réseau

L'intérêt accru dans TCP / IP-réseaux en raison de la croissance rapide de l'Internet. Cependant, cela soulève des questions sur la façon de protéger leurs ressources d'information contre les attaques de réseau extérieur. Si vous êtes connecté à Internet, votre système peut être attaqué. famille de protocoles IP sont la base pour la construction de réseaux Intranet et l'Internet mondial. Malgré le fait que le développement TCP / IP a été financé par le Département américain de la Défense, TCP / IP n'a pas de protection absolue et permet différents types d'attaques abordés dans ce chapitre. Pour mener à bien ces attaques un attaquant potentiel doit avoir un contrôle sur au moins l'un des systèmes connectés à Internet. Une approche de l'analyse des menaces à la sécurité des systèmes informatiques est l'attribution d'une catégorie distincte des menaces qui sont uniques à un réseau informatique. Cette classe est appelée menaces - attaques à distance de classe. Cette approche de la classification semble admissible en raison des caractéristiques de base dans la construction du système d'exploitation de réseau. La principale caractéristique de tout système d'exploitation de réseau est que ses composants sont distribués dans l'espace, et la relation entre eux est matériellement exécutée au moyen d'une connexion spéciale de réseau (câble coaxial, paire torsadée, fibre optique, etc.) et des logiciels - en utilisant le mécanisme de messagerie. Ainsi, tous les messages de commande et les données envoyées une autre composante du composant du système d'exploitation de réseau, transmis via des connexions réseau dans un échange de paquets. Cette fonction est la principale raison de l'émergence d'une nouvelle classe de menaces - attaques à distance. Dans ce type d'attaque, l'attaquant interagit avec le destinataire de l'information, l'expéditeur et / ou des systèmes intermédiaires, éventuellement en modifiant et / ou filtrer le contenu de TCP / IP-paquets. Ces types d'attaques semblent souvent être techniquement difficile à mettre en œuvre, mais il est facile à mettre en œuvre des outils appropriés pour un bon programmeur. La possibilité de formation de paquets IP arbitraires est un point clé pour la mise en œuvre des attaques actives. attaques à distance peuvent être classés selon le type d'exposition: active ou passive. Attaques actives peuvent être divisés en deux parties. Dans le premier cas, l'attaquant prend des mesures pour intercepter et modifier le trafic et les tentatives de "faire semblant" un autre système réseau. Dans le second cas, le protocole TCP / IP est utilisé pour mettre le système de la victime inopérable. Lorsque les attaques passives attaquants en aucun cas se révèlent et ne viennent pas directement en contact avec d'autres systèmes. En fait, tout se résume à la surveillance des sessions de données ou de communication disponibles. Bien que les attaques passives peuvent violer la politique de sécurité du réseau. L'idée d'identifier une attaque est simple: toute attaque correspond à un certain trafic réseau, par conséquent, l'analyse du trafic vous permet d'identifier et de détecter l'attaque "trace" l'attaquant, à savoir déterminer l'adresse IP à partir de laquelle l'information influence a été réalisée. Ainsi, la détection des attaques effectuée par le contrôle de flux d'information, qui est obtenue par l'analyse du trafic de réseau.

De brèves descriptions des attaques de réseau

Gardez à l'esprit que les méthodes rudimentaires tels que pinger gros paquets ou SYN inondations, peuvent submerger toute machine à Internet ou à un sous-réseau, quelle que soit la configuration.

Fragmentation des données

Lors de la transmission de protocole de paquets de données IP sur le réseau peut être une division du paquet en plusieurs fragments. Par la suite, après avoir atteint la destination, le paquet est reconstruit à partir des fragments. Un attaquant peut déclencher l'envoi d'un grand nombre de fragments, ce qui conduit à un logiciel de débordement de mémoire tampon sur le côté réception et, dans certains cas, de bloquer le système.

Transfert de la fragmentation des paquets IP c totalisant plus de 64Ko

Le nombre d'attaques implémentations utilisant la possibilité de fragmentation des paquets IP, est suffisamment grand. Sur l'ordinateur de la victime est transmis plusieurs paquets IP fragmentés, qui forme lors de l'assemblage d'une seule taille de l'emballage plus de 64K (la taille maximale du paquet IP est égale à 64K moins la longueur d'en-tête). Cette attaque était efficace contre les ordinateurs de Windows. Dès réception du package Windows NT n'a pas de patch ICMP-fix spéciale, "gèle" ou se bloque. D'autres variantes de ces attaques utilisent le mauvais décalage dans les fragments IP, ce qui conduit à l'allocation de mémoire incorrecte, dépassement de mémoire tampon, et, finalement, au mauvais fonctionnement des systèmes.

Opposition: pour détecter de telles attaques doivent être mis en œuvre et analyser l' assemblage de paquets "à la volée", et cela va augmenter de manière significative les exigences matérielles.

Ping inondations attaque

Il est donc apparu que le programme "ping", destiné à évaluer la qualité de la ligne est la clé de test "agressif". Dans ce mode, la demande est envoyée aussi vite que possible et le programme pour évaluer la façon dont le réseau fonctionne à la charge maximale. Cette attaque nécessite l'attaquant d'accéder aux canaux rapides sur Internet. Rappelons comment le ping. Le programme envoie un ICMP de type package ECHO REQUEST, exposant dans le temps et son identité. Le noyau de la machine, le destinataire répond à un tel paquet de requête ICMP ECHO REPLY. Get it, ping fournit le taux de transmission de paquets. En mode standard, les paquets sont envoyés à des intervalles, presque sans impact sur le réseau. Mais dans le mode "agressif", le flux de ICMP echo demande / réponse-paquet peut surcharger une petite ligne, privant de la possibilité de transmettre des informations utiles. Naturellement, le cas de ping est un cas particulier d'une situation plus générale, couplé avec les canaux de surcharge. Par exemple, un attaquant pourrait envoyer plusieurs paquets, l'UDP sur le port 19 e machine de la victime, et si elle est, selon les règles communément admises, est le 19 UDP-Port CG correspondant aux lignes de paquets à 80 octets. Notez que l'attaquant peut également aller de l'adresse de ces paquets de retour, ce qui rend difficile à détecter. Suivre son aide à moins travaux coordonnés de spécialistes dans les routeurs intermédiaires, ce qui est pratiquement impossible. L'une des options d'attaque - envoyer ICMP demande-paquets d'écho avec une adresse source, pointant vers la victime, sur les principaux réseaux broadcast-address. En conséquence, chacune des machines répondront à cette demande d'un faux, et à l'expéditeur la machine reçoit un grand nombre de réponses. Faire beaucoup de demandes de diffusion en écho au nom des «victimes» sur la diffusion-adresse de grands réseaux, peut provoquer canal forte zapolnenenie «victime». Les signes d'inondations - ont considérablement augmenté la charge du réseau (ou canal) et d'augmenter le nombre de paquets spécifiques (comme ICMP). Comme la protection peut être recommandée configuration de routeurs, dans lequel ils seront le même filtre le trafic ICMP dépasse une valeur prédéterminée à l'avance (paquets / unités. Temps). Afin de vous assurer que votre voiture ne peut pas être une source de caractéristiques d'inondation de ping, restreindre l'accès à la commande ping.

PingOfDeath ou SSPing

Son essence est la suivante: sur la voiture de la victime est envoyé un message ICMP fortement fragmentipovanny pazmepa grande (64KB). Réaction de Windows-systèmes pour un tel paquet est suspendu ou inconditionnel, y compris la souris et le clavier. pour attaquer le programme est largement disponible sur le Web sous la forme d'un code source en C et sous la forme de fichiers exécutables pour certaines versions d'Unix. Fait intéressant, contrairement à la victime WinNuke d'une telle attaque peut être non seulement une machine Windows, l'attaque exposée la version MacOS avec le bon formatage et certains Unix. Les avantages de cette méthode d'attaque est que le pare-feu est généralement transmet des paquets ICMP, et si le pare-feu et configuré pour filtrer les adresses posylateley, puis en utilisant des techniques simples de spoofing, vous pouvez tricher et un pare-feu. Manque PingOfDeath que pour une seule attaque devrait être d'envoyer un 64KB sur le réseau, ce qui rend encore mentionner maloppimenimym pour divepsy shipokomasshtabnyh.

UDP bombe

Le paquet UDP transmis contient un champs de service malformés. Certaines anciennes versions de logiciel de réseau de premier plan dans la préparation d'un tel paquet à planter le système.

SYN inondations

SYN Flooding -Paquet - le plus célèbre façon de "marquer" canal d'information. Rappelez-vous comment le protocole TCP / IP pour les connexions entrantes. Le système répond à venir C-SYN - paquet S-SYN / ACK C--Paquet traduit la session SYN_RECEIVED Etat et le met dans la file d' attente. Si, dans un temps prédéterminé à partir du client vient S-ACK, le composé est retiré de la file d'attente, sinon la connexion est transférée à l'état ESTABLISHED. Considérons le cas où toutes les connexions d'entrée sont déjà remplis, et le système reçoit SYN -Paquet sont invités à installer la connexion. Selon RFC, il sera silencieusement ignoré. SYN Flooding -Paquet basée sur le serveur de débordement de la file d'attente, le serveur cesse de répondre aux demandes des utilisateurs. Le plus célèbre d'une telle attaque - une attaque sur Panix, basé à New York fournisseur. Panix n'a pas fonctionné pendant 2 semaines. Dans les différents systèmes de file d'attente de travail est mis en oeuvre de différentes manières. Ainsi, dans les systèmes BSD, chaque port a sa propre place dans la taille de 16 éléments. Dans les systèmes SunOS, au contraire, une telle séparation, et il n'y a pas de système a tout simplement une grande file d'attente commune. En conséquence, afin de bloquer, par exemple, le WWW-port 16 sur BSD assez SYN-paquets, et leur nombre sera beaucoup plus grande pour le Solaris 2.5. Après l'expiration d'un certain temps (en fonction de la mise en œuvre) demande au système supprime de la file d'attente. Cependant, rien empêche un attaquant d'envoyer un nouveau lot de demandes. Ainsi, même lorsque la connexion à 2400 bps, un attaquant peut envoyer toutes les quinze minutes à 20-30 paquets sur FreeBSD-serveur, en le maintenant en ordre de marche (bien sûr, cette erreur a été corrigée dans les versions récentes de FreeBSD). Comme d'habitude, un attaquant pourrait exploiter les adresses IP aléatoires inverses dans la formation d'un ensemble qui le rend difficile à détecter et filtrer son trafic. La détection est simple - un grand nombre de composés dans l'état SYN_RECEIVED, ignorant les tentatives de se connecter à ce port. Comme la protection peut être patchs qui mettent en œuvre automatique recommandé "aminci" ligne, par exemple, basé sur l'algorithme aléatoire chute précoce. Pour savoir si votre système de protection contre les inondations SYN-, contactez votre fournisseur de système. Une autre option de protection - configurer le pare-feu de telle sorte que le protocole TCP / IP-connexions entrantes sont lui-même mis en place, et alors seulement, les jeta dans le réseau sur une machine donnée. Cela vous permettra de limiter le syn-inondations et de ne pas manquer à l'intérieur du réseau. Cette attaque se réfère à l'interdiction des attaques de service, qui se traduit par l'incapacité de fournir des services. L'attaque se concentre généralement sur certains, un service spécifique, tel que telnet ou ftp. Il est à transférer des paquets pour établir la connexion au port correspondant au service visé. Lorsque vous êtes invité, le système alloue des ressources pour la nouvelle connexion, puis tente de répondre à la demande (envoyer un "SYN-ACK") sur l'adresse inaccessible. versions par défaut NT 3,5-4,0 confirmation va réessayer 5 fois - après 3, 6, 12, 24 et 48 secondes. Par la suite, un autre 96 secondes, le système peut attendre une réponse, et alors seulement libère les ressources allouées pour les connexions futures. La durée totale des ressources en matière d'emploi - 189 secondes.

protocoles personnalisés sont encapsulés dans IP

Le paquet IP contient un champ identifiant le protocole paquet encapsulé (TCP, UDP, ICMP). Les attaquants peuvent utiliser une valeur non standard de ce champ pour les données qui ne seront pas fixés avec des informations standards des moyens de contrôle de flux.

L'utilisation du protocole TFTP

Ce protocole ne contient pas de mécanismes d'authentification, de sorte que est attrayant pour les criminels.

Attaque schtroumpf

attaque Smurf est de transférer à la diffusion du réseau requêtes ICMP au nom de l'ordinateur de la victime. Par conséquent, les ordinateurs qui ont adopté ces émissions se rencontrent sur l'ordinateur cible, ce qui conduit à une réduction significative de la bande passante du canal de communication et, dans certains cas, l'isolement complet du réseau cible. attaque schtroumpf est extrêmement efficace et généralisée. Opposition: la reconnaissance de cette attaque doit être analysé afin de déterminer la charge de canal et de réduire les causes de la bande passante.

Land Attack

Land Attack vulnérabilité utilise les implémentations de la pile TCP / IP dans certains systèmes d'exploitation. Il est transmis pour ouvrir l'ordinateur de la victime, le paquet de TCP au port le drapeau SYN, et l'adresse et le port source du paquet sont égaux à l'adresse et le port de l'ordinateur attaqué. Cela conduit au fait que l'ordinateur de la victime tente de se connecter à lui-même, ce qui a grandement augmenté la charge du processeur et peut se produire "podvisanie" ou le redémarrage. Cette attaque est très efficace sur certains modèles de la société Cisco Systems routeurs, l'application réussie des attaques au routeur peut faire baisser l'ensemble du réseau de l'entreprise. Opposition: pour protéger contre cette attaque peut être, par exemple, en installant un paquet de filtre entre le réseau interne, Internet, la mise sur une règle de filtrage qui spécifie les paquets de supprimer cette viennent de l'Internet, mais avec les adresses IP source de l'ordinateur du réseau interne.

Introduction au serveur Internet en créant une fausse direction, "tempête" DNS-réponses fausses à l'hôte cible

Un autre mode de réalisation d'une attaque à distance sur le service DNS, basé sur une attaque à distance seconde espèce typique "objet de soleil faux." Dans ce cas, l'attaquant effectue un transfert permanent à l'hôte cible un faux DNS-réponse préparé au nom du DNS-serveur sans recevoir la requête DNS. En d'autres termes, l'attaquant crée sur l'Internet dirigé «tempête» de DNS-réponses fausses. Ceci est rendu possible car, généralement, la transmission DNS demande utilise le protocole UDP, qui n'a pas de moyen de paquets d'identification. Les seuls critères d'accueil du système d'exploitation de réseau a reçu de la réponse DNS-serveur est, d'une part, l'accord entre les adresses IP de réponse à l'expéditeur avec l'adresse IP du serveur DNS, et d'autre part, que le même nom a été spécifié dans le DNS-réponse comme DNS-requête, en troisième lieu, DNS-réponse doit être adressée à la même UDP-port, à laquelle a été envoyée à DNS-requête (dans ce cas, le premier problème pour l'attaquant) et quatrièmement, DNS -response domaine DNS identificateur de requête dans l'en-tête (ID) doit contenir la même valeur que dans le DNS-requête transmise (qui est un autre problème). Dans ce cas, car un attaquant n'a pas la possibilité d'intercepter le DNS-requête, le problème sous-jacent pour lui est le numéro UDP-port à partir duquel la demande a été envoyée. Mais le numéro de port suppose un ensemble limité de valeurs (1023?), Donc l'attaquant assez pour exploiter une simple force brute, l'envoi de fausses réponses à la liste correspondante des ports. À première vue, le deuxième problème peut être deux octets identifiant DNS-requête, mais dans ce cas il est soit un ou une valeur proche de zéro (une requête - ID est augmenté de 1). Par conséquent, pour la mise en œuvre de l'attaque à distance de l'attaquant, il est nécessaire de choisir l'hôte intéressant (A), un itinéraire que vous voulez changer de sorte qu'il passe à travers le faux serveur - l'hôte de l'attaquant. Ceci est réalisé par un transfert constant (dirigé "tempête") attaque DNS-réponses fausses à l'hôte cible au nom du serveur DNS aux UDP ports correspondants. Dans ces DNS-réponses fausses spécifiées comme l'adresse IP de l'hôte Une adresse IP de l'attaquant. Prochaine attaque se développe comme suit. Dès que la cible de leur attaque (hôte cible) adresse au nom de l'hôte A, puis à partir d' un hôte donné au réseau sera transmis au DNS-requête qu'un attaquant ne sera jamais, mais qu'il ne soit pas nécessaire, car l'hôte immédiatement constamment aller transmis de faux DNS-réponse, qui sera reçu par le système d'exploitation hôte attaqué comme une réponse du serveur DNS. L'attaque a eu lieu et maintenant l'hôte attaqué enverra tous les paquets destinés à A, à l'adresse IP de l'hôte l'attaquant, qui, à son tour, les transmettra à l'A, agissant sur les informations interceptées sur un «faux objet distribué CS". Considérons un schéma fonctionnel de l'attaque à distance proposée sur le service DNS: • transfert constant attaquer faux DNS-réponses à l'hôte cible sur une variété de UDP-ports, et éventuellement avec différents ID, au nom (avec l'adresse IP) du serveur DNS avec le nom de l'intérêt à l'hôte et son adresse IP fausse, qui sera être l'adresse IP du serveur de faux - l'hôte de l'attaquant; • dans le cas d'un paquet à partir d'un hôte, un changement dans l'en-tête IP-paquet de son adresse IP à l'adresse IP de l'attaquant et l'envoi du paquet au serveur (ie, un faux serveur communique avec le serveur en son nom propre - à partir de votre adresse IP); • dans le cas d'un paquet à partir du serveur, le changement dans l'en-tête IP-paquet de son adresse IP sur le faux serveur adresse IP, et le transfert à l'ensemble de l'hôte (l'hôte de faux serveur est le serveur réel). Ainsi, la mise en œuvre de l'attaque à distance en utilisant des espaces dans la sécurité du DNS, permet à tout point de l'Internet pour briser le routage entre deux objets spécifiés. Autrement dit, cette attaque à distance est effectuée par rapport à des fins intersectorielles d'attaque et menace la sécurité de tout hôte Internet qui utilise le service DNS ordinaire.

Introduction au serveur DNS Internet par fausse interception - une demande ou de créer une «tempête» directionnelle DNS faux - serveur - réponses DNS à la victime

D'un système DNS-recherche à distance que dans le cas où spécifié dans la demande le nom du serveur DNS ne se trouve pas dans son nom de base de données, la requête est envoyée au serveur à l'un de la racine des serveurs DNS dont les adresses sont contenues dans le fichier de configuration du serveur root.cache . Autrement dit, si le serveur DNS ne héberge pas les informations demandées, il transmet la demande, et donc maintenant se DNS-serveur est une recherche à distance lancé DNS. Par conséquent, il n'y a rien qui empêche un attaquant, les méthodes décrites dans le paragraphe précédent travail, pour diriger leur attaque sur le serveur DNS. Autrement dit, comme l'objectif de l'attaque est pas l'hôte agir maintenant et DNS-serveur et les réponses DNS-faux sera envoyé à l'attaquant, au nom de la racine DNS-serveur à la cible DNS-serveur. Il est important de considérer la fonctionnalité serveur DNS suivante. Pour accélérer chacun des caches DNS-serveur dans la mémoire de leurs noms et une table d'hôtes adresse IP. Y compris le cache est stocké changeant dynamiquement des informations sur les noms et les adresses IP des hôtes trouvés pendant l'opération DNS-serveur. Autrement dit, si le DNS-serveur reçoit la requête, ne trouve pas dans sa table enregistrement de cache respective, il transmet la réponse au serveur suivant, et a reçu la réponse, met l'information trouvée dans la table de cache en mémoire. Ainsi, il est pas nécessaire d'effectuer une recherche à distance, car les données nécessaires sont déjà dans la table de cache lorsque la prochaine requête du serveur DNS. De l'analyse vient d'être décrit en détail à distance DNS-motif de recherche devient évident que si, en réponse à une demande du serveur DNS l'attaquant envoie un DNS-réponse fausse (ou dans le cas de «tempête» de fausses réponses guideront leur transmission suite) puis la table de cache du serveur sera une entrée correspondante de faux renseignements et, à l'avenir, tous les hôtes, reportez-vous à cela le serveur DNS, sera erronée, et par référence à l'hôte, l'itinéraire auquel l'attaquant a décidé de changer le lien vers ce sera par l'hôte de l'attaquant dans un «objet de soleil faux." Et au fil du temps, cette fausse information arrive dans le cache DNS-serveur, il se propage à serveurs DNS de niveaux plus élevés voisins, et par conséquent, plus d'hôtes sur l'Internet sera mal informé et attaqué. Il est évident que, dans ce cas, si un attaquant peut intercepter le DNS-demande du serveur DNS pour la réalisation de l'attaque nécessite une réponse "tempête" DNS-faux dirigés vers DNS-serveur. Cela pose le problème fondamental suivant, le problème est différent de la sélection de ports dans le cas d'une attaque destinée à l'hôte. Comme indiqué précédemment serveur DNS, l'envoi de la requête à un autre serveur DNS identifie cette demande, la valeur de deux octets (ID). Cette valeur est incrémenté à chaque demande de laissez-passer. Apprendre l'attaquant est la valeur actuelle de l'identifiant DNS-demande est pas possible. Par conséquent, rien que la force brute Février 16 valeurs possibles de ID pour offrir quelque chose de très difficile. Mais le problème disparaît busting ports, puisque tous les DNS-demandes sont acheminées vers le serveur DNS sur le port 53. Le problème suivant, qui est une condition pour la mise en œuvre de l'attaque à distance sur le serveur DNS sous la direction de "la tempête" false DNS-réponse réside dans le fait que l'attaque ne peut réussir que si le serveur DNS envoie une requête à la recherche d'un nom spécifique (qui contient dans un DNS-réponse fausse). DNS-serveur envoie cela comme nécessaire et souhaité par l'attaquant dans la demande si elle DNS-demande viendra de toute l'armée du nom de la liste et ce nom apparaît dans une table de cache DNS-serveur. En principe, cette demande peut venir à tout moment, l'attaquant peut avoir à attendre les résultats des attaques indéfiniment. Cependant, rien empêche un attaquant, sans attendre pour quiconque d'envoyer à la requête DNS comme cible DNS-Server et déclencher une recherche DNS-serveur spécifié dans le nom de la requête. Ensuite, l'attaque est susceptible d'être un succès presque immédiatement après le début de sa mise en œuvre.

Introduction à Internet faux serveur DNS en interceptant DNS-query

Dans ce cas, l'attaque à distance sur l'attaque à distance échantillon standard associé à l'attente de recherche DNS-requête. Avant de considérer l'algorithme d'attaque sur le service DNS est nécessaire de prêter attention à ces subtilités dans le travail de ce service. Tout d'abord, le service DNS par défaut de fonctionnement sur la base du protocole UDP (bien que peut-être en utilisant le protocole TCP), ce qui rend naturellement moins sûr, puisque le protocole UDP contrairement TCP fournit aucun moyen d'identifier les messages. Pour passer de l'UDP à l'administrateur DNS TCP - le serveur devra étudier sérieusement la documentation. En outre, cette transition va ralentir le système, puisque, d'une part, en utilisant TCP nécessite la création d'une connexion virtuelle, et, d'autre part, le système d'exploitation de réseau final envoie premier DNS-requête en utilisant le protocole UDP et si elle dans la volonté réponse spéciale du serveur DNS, le système d'exploitation de réseau envoie un DNS-requête en utilisant TCP. D'autre part, la finesse suivante, qui est nécessaire de noter que la valeur du champ "port source" dans le premier paquet UDP est réglé à 1,023 (?), Puis augmente à chaque requête DNS transmise. Troisièmement, l'identifiant (ID) DNS-requête se comporte comme suit. Dans le cas du DNS-demande la transmission de l'hôte de sa valeur dépend de la génération particulière application de réseau, DNS-requête. auteur Des expériences ont montré que, dans le cas de la commande demande de transmission interpréteur shell systèmes d'exploitation Linux, Windows '95 (par exemple, ftp nic.funet.fi), cette valeur est toujours égale à l'unité. Dans ce cas, le DNS-requête transmis à partir du navigateur Netscape, que chaque nouvelle demande de navigateur lui-même, cette valeur augmente d'une unité. Dans ce cas, si la demande est envoyée directement au serveur DNS, le serveur augmente cette valeur par un identifiant à chaque demande de re-transmis. Tous ces détails sont importants dans le cas d'une attaque sans interception DNS-requête. Pour mettre en œuvre les attaques par interception DNS-requête l'attaquant besoin d'intercepter DNS-requête, extraire le numéro de la demande UDP-port de l'expéditeur, un à deux octets valeur ID identifiant DNS-requête et le nom de votre choix, puis envoyer de faux DNS-réponse reçue du DNS-requête UDP-port, qui spécifient pour l'adresse IP souhaitée de la vraie adresse IP du serveur DNS faux. Ce sera à l'avenir pleinement influencer intercepter et activement dans le cadre du «objet PBC False" pour le trafic entre le «trahi» par l'hôte et le serveur. Considérons le schéma généralisé de DNS faux - serveurs: • la demande d'attente DNS; • reçu un DNS-requête, l'extraction de l'information nécessaire et la transmission de réseau à l'hôte demandant de faux DNS-réponse, au nom (avec l'adresse IP) du serveur DNS, ce qui indique l'adresse IP du serveur DNS faux; • dans le cas d'un paquet à partir d'un hôte, un changement dans l'en-tête IP-paquet de son adresse IP sur le faux serveur DNS l'adresse IP et le paquet de transmission au serveur (par exemple un serveur DNS faux communique avec le serveur en son nom); • dans le cas d'un paquet à partir du serveur, le changement dans l'en-tête IP-paquet de son adresse IP à l'adresse IP du serveur DNS faux et transfert à l'ensemble de l'hôte (pour héberger un serveur DNS faux est le vrai serveur). Une condition nécessaire pour la mise en oeuvre de ce mode de réalisation, l'attaque est d'intercepter DNS-requête. Cela est possible uniquement si l'attaquant est sur le chemin d'accès ou le trafic principal soit dans le segment du serveur DNS. Effectuez l'une de ces conditions de l'emplacement de l'attaquant sur le réseau rend cette attaque à distance est difficile à réaliser dans la pratique (pour entrer dans le segment DNS-serveur, et en particulier dans le lien inter-segment attaquant est susceptible d'échouer). Cependant, dans le cas de la réalisation de ces conditions peuvent être réalisées à distance attaque intersegment sur Internet. Il convient de noter que la mise en œuvre pratique de cette attaque à distance a révélé un certain nombre de caractéristiques intéressantes dans le protocole FTP et le mécanisme d'identification pour TCP-paquets. Si FTP-client sur un hôte connecté à un serveur FTP distant via un serveur DNS faux, il se trouve que chaque fois après la publication de l'application utilisateur des commandes FTP (par exemple, ls, get, put et TD) dans le client FTP a dressé une commande de port, qui consistait dans le transfert vers un serveur FTP dans le champ de données le numéro de port TCP-paquet et l'hôte client adresses IP (une signification particulière dans ces actions sont difficiles à trouver - pourquoi chaque fois de transférer à un serveur FTP IP-adresse du client)! Cela a conduit au fait que si un serveur DNS faux ne change pas l'adresse IP transmise dans le champ de données du paquet TCP et envoyer le paquet à un serveur FTP sur le régime ordinaire, le prochain paquet sera transféré vers le serveur FTP à l'hôte client FTP, éviter de faux serveur DNS, et, plus intéressant, ce paquet sera traité comme un paquet normal et, par la suite, un serveur DNS false perdre le contrôle du trafic entre le serveur FTP et FTP-client! Ceci est dû au fait que le serveur FTP classique ne fournit aucun identifiant client FTP supplémentaire et tout déplacer le problème de l'identification de paquets et d'un composé à un niveau inférieur - le niveau TCP.

Attaque DNS inondations

inondations DNS - cette attaque sur les serveurs de noms Internet. Il est de transférer un grand nombre de requêtes et de prospects DNS sur le fait que les utilisateurs ne disposent pas la possibilité de contacter le nom du service, et donc l'impossibilité de fonctionnement fourni aux utilisateurs ordinaires. Opposition: pour détecter cette attaque est nécessaire d'analyser la charge DNS du serveur et identifier les sources de demandes.

DNS spoofing attaque

Le résultat de cette attaque est de rendre la conformité imposée entre l'adresse IP et le nom de domaine dans le cache du serveur DNS. À la suite de la réussite d'une telle attaque tous les utilisateurs de DNS nord auront des informations erronées sur les noms de domaine et les adresses IP. Cette attaque est caractérisée par un grand nombre de paquets DNS avec le même nom de domaine. Ceci est dû à la nécessité d'échanger certains paramètres DNS correspondant. Opposition: détecter une telle attaque est nécessaire d'analyser le contenu du trafic DNS.

spoofing attaque IP (syslog)

Un grand nombre d'attaques sur le réseau connecté à Internet avec la substitution de l'adresse IP d'origine. De telles attaques spoofing applique également syslog, qui est transmis aux messages informatiques de la victime au nom du réseau interne d'un autre ordinateur. Depuis le protocole syslog est utilisé pour maintenir les journaux système en envoyant de faux messages à la machine de la victime peut imposer des informations ou des traces d'un accès non autorisé. L' opposition: la détection d'attaques associées à la substitution d'adresses IP, le cas échéant sous le contrôle de la réception sur l' un de l'interface de paquets avec une adresse de source de la même interface, ou sous le contrôle de la réception des paquets sur l'interface externe avec les adresses IP réseau interne.

L'imposition d'un paquet

L'attaquant envoie des paquets à un réseau avec une adresse de retour fausse. Avec cette attaque, l'attaquant est en mesure de passer sur votre connexion à un ordinateur établi entre d'autres ordinateurs. Dans ce cas, les droits d'accès de l'attaquant sont l'égalité des droits de l'utilisateur dont la connexion au serveur a été commuté sur l'ordinateur de l'attaquant.

Renifler - canal d' écoute (disponible uniquement dans le segment de réseau local)

Pratiquement toutes les cartes supportant l'interception de paquets transmis sur un réseau de canal partagé. Ce poste de travail peut recevoir des paquets adressés à d'autres ordinateurs sur le même segment de réseau. Ainsi, tous les échanges d'informations sur un segment de réseau devient accessible à l'attaquant. Pour la mise en œuvre réussie de cette attaque, l'ordinateur de l'attaquant doit être dans le même segment LAN que l'ordinateur cible.

paquets Intercept sur le routeur

routeur logiciel de réseau a accès à tous les paquets de réseau transmis via le routeur, ce qui permet d'intercepter les paquets. Pour cette attaque, l'attaquant doit disposer d'un accès privilégié à au moins un routeur de réseau. Étant donné que le routeur est généralement transmis beaucoup de paquets, l'interception totale est pratiquement impossible. Cependant, certains paquets peuvent ainsi être capturées et stockées pour une analyse ultérieure par un attaquant. L'interception le plus efficace de paquets FTP contenant des mots de passe et e-mail.

Imposer une foule de fausse route via le protocole ICMP

Dans l'Internet il est le protocole ICMP (Internet Control Message Protocol), une fonction qui est d'informer l'hôte au sujet du changement du routeur actuel. Ce message de contrôle est appelé une redirection. Vous pouvez envoyer de toute hôte dans le segment de réseau fausse redirection-mail au nom du routeur à l'hôte cible. En conséquence, l'hôte modifie la table de routage en cours et, à l'avenir, tout le trafic réseau de l'hôte aura lieu, par exemple, par l'hôte en envoyant de faux redirection message. Ainsi, il est possible d'appliquer une contrainte active d'un faux trajet à l'intérieur d'un segment de l'Internet.

WinNuke

connexion de données normale Hapyadu via TCP resends ppedustatpivaet ctandapt également pepedachu spochnyh (Out Of Band) données. Ha upovnya paquets TCP de format de fichier est dans un zéro non vypazhaetsya pointeur urgent. La plupart des PC fonctionnant sous Windows ppisutstvuet protocole NetBIOS du réseau, et l'excentricité utilise pour leurs besoins 3 IP Popta: 137, 138, 139. En fait, si vous vous connectez à des machines Windows dans 139 popt et renvoyer quelques octets OutOfBand données et NetBIOS-pealizatsiya ne sachant pas quoi faire avec ce poppostu de données suspend ou voiture pepezagpuzhaet. Pour Windows 95, il ressemble généralement à un texte bleu ek.pana rapporter des erreurs dans le pilote TCP / IP est l'impossibilité d'emploi du réseau pour pepezagpuzki OC. service packs basés sur NT 4.0 sans pepezagpuzhaetsya, service basé sur NT 4.0 avec un second type de rondelle gouttes dans ek.pana bleu. Un package similaire 135 et les données dans d'autres ports conduit à processeur important chargement RPCSS.EXE. Sur NTWS cela conduit à des ralentissements importants, NTS pratiquement gelé.

serveur False ARP

Sur Internet, chaque hôte a une adresse IP unique, qui reçoit tous les messages du réseau étendu. Cependant, le protocole IP ne sont pas tellement le réseau en tant que protocole de passerelle destiné à la communication entre les objets d'un réseau mondial. Les paquets de couche de liaison sont adressés par l'adresse matérielle de la carte réseau. Dans le protocole Internet ARP est utilisé pour IP one-to-one correspondance et l'adresse Ethernet (Address Resolution Protocol). Dans un premier temps, l'hôte ne peut pas avoir des informations sur les Ethernet-adresses des autres hôtes qui sont avec lui dans le même segment, y compris Ethernet-adresse du routeur. En conséquence, lorsque le premier accès aux ressources du réseau de l'hôte envoie une demande ARP-diffusion qui est reçu par toutes les stations sur le segment de réseau. Après réception de la demande, le routeur envoie à la demande hôte ARP-réponse, qui informe son adresse-Ethernet. Ce plan de travail permet à un attaquant d'envoyer ARP-réponse fausse, qui cherchait à se déclarer l'hôte (par exemple, un routeur), et, en outre, de surveiller activement tout le trafic réseau "trompé" hôte.

Prédire le numéro de séquence TCP (IP-spoofing)

Dans ce cas, le but de l'attaquant - de faire semblant d'être un autre système, qui, par exemple, la «confiance» du système victime. La méthode est également utilisée à d'autres fins - par exemple, d'utiliser le SMTP de la victime pour l'envoi de fausses lettres. Installation TCP-connexion se déroule en trois étapes: le client choisit et envoie le numéro de séquence du serveur (appeler C-SYN), en réponse à cela, le serveur envoie le paquet de données client contenant l'accusé de réception (C-ACK) et son numéro de serveur propre séquence (S-SYN ). Maintenant, le client doit envoyer une confirmation (S-ACK). Après cette connexion est établie et la communication commence. En outre, chaque paquet a un champ d'en-tête du numéro de séquence et de reconnaître le numéro. Ces chiffres augmentent dans l'échange de données et vous permettent de contrôler l'exactitude du transfert. Supposons qu'un attaquant peut prédire quel numéro de séquence (schéma S-SYN) sera envoyé au serveur. Cela peut être fait sur la base de la connaissance d'une mise en œuvre TCP / IP particulier. Par exemple, la valeur du numéro de séquence de 4.3BSD, qui sera utilisé lors de l'installation des valeurs suivantes, chaque seconde augmente de 125.000 envoyant ainsi un paquet au serveur, l'attaquant sera en mesure d'obtenir une réponse et (éventuellement avec plusieurs popytkok et ajusté sur la vitesse de connexion) pour prédire numéro de séquence pour la prochaine connexion. Si la mise en oeuvre TCP / IP utilise un algorithme spécial pour la détermination du numéro de séquence, il peut être précisé par l'envoi de paquets de plusieurs dizaines de serveur et l'analyse de sa réponse. Ainsi, nous supposons que le système Un système de confiance B, de sorte que B, l'utilisateur peut faire "rlogin A" et tourner sur la A, sans entrer un mot de passe. Supposons qu'un attaquant se trouve sur le système C. Un système agit en tant que serveur, le système B et C - en tant que clients. La première tâche de l'intrus - entrer dans le système B à un état où il ne peut pas répondre aux demandes du réseau. Cela peut se faire de plusieurs façons, le cas le plus simple, il vous suffit d'attendre le redémarrage du système B. A quelques minutes, au cours de laquelle il sera inutilisable, devrait être suffisant. Un attaquant pourrait essayer de prétendre que le système B, pour ce qui aurait accès au système A (à court terme moins). L'attaquant envoie plusieurs paquets IP initier la connexion, le système A, pour déterminer l'état actuel du numéro de séquence du serveur. L'attaquant envoie IP-paquets, dans lequel l'adresse de retour déjà spécifié système adresse B. Un système d'emballage répond avec un numéro de séquence qui est envoyée au système B. Cependant, le système ne sera jamais B (il est dérivé du système), comme, d'ailleurs, et que l'attaquant. Mais il est basé sur l'analyse précédente réalise un numéro de séquence a été envoyée au système B. L'attaquant reconnaît «la réception du" paquet de A, B au nom du paquet d'envoi à la fonction S-accusé de réception destiné (à noter que si le système se trouve dans le même segment, l'attaquant afin de déterminer la séquence un nombre suffisant pour intercepter le paquet envoyé par le système A). Après cela, si l'attaquant a eu la chance et le numéro de séquence le serveur a été deviné correctement, la connexion est établie. Maintenant, un attaquant peut envoyer un autre paquet IP faux qui contient déjà des données. Par exemple, si l'attaque visait le rsh, il peut contenir des commandes pour créer le fichier .rhosts ou l'envoi / etc / passwd attaquant par courriel. Opposition: simple , le signal IP-spoofing servira des paquets avec des adresses internes, qui sont venus du monde extérieur. logiciel de routeur peut informer l'administrateur. Mais nous ne devons pas nous tromper - l'attaque peut être à l'intérieur de votre réseau. Lors de l'utilisation plus intelligente des moyens de contrôle de réseau pour un administrateur peut surveiller (mode automatique) les paquets provenant de systèmes qui sont en mesure d'atteindre. Cependant, ce qui empêche un attaquant de simuler le système B, la réponse aux ICMP-packages? Quels moyens sont là pour protéger contre les IP-spoofing? Tout d'abord, il peut compliquer ou empêcher de deviner le numéro de séquence (élément clé de l'attaque). Par exemple, vous pouvez augmenter la vitesse de changement de numéro de séquence sur le serveur, ou sélectionnez le numéro de séquence de l'accident d'agrandissement (de préférence en utilisant un cryptographiquement forts algorithmes de génération de nombres aléatoires). Si votre réseau utilise un pare-feu (ou autre filtre IP-paquet), vous devez ajouter des règles à elle, dans laquelle tous les paquets venant de l'extérieur et ayant une adresse de notre espace d'adresse de retour, ne doivent pas être négligés au sein du réseau. En outre, il convient de réduire au minimum les machines d'affectation à l'autre. Idéalement, il ne devrait pas être un moyen d'accéder directement à la prochaine machine du réseau, gagnant racine sur l'un d'eux. Bien sûr, il ne sera pas économiser sur l'utilisation des services qui ne nécessitent pas d'authentification, par exemple, IRC (Internet attaquant peut prétendre à toute machine et passer un ensemble de commandes pour se connecter à un canal IRC, émettant des messages arbitraires, etc.). Cryptage TCP / IP flux résout généralement problème spoofing'a IP (à condition qu'une forte cryptographiquement des algorithmes utilisés). Afin de réduire le nombre de ces attaques, il est également recommandé de mettre en place un pare-feu pour filtrer les paquets qui sont envoyés à l'extérieur de notre réseau, mais avec des adresses qui ne font pas partie de notre espace d'adressage.

tempête locale

Laissez-nous éloignons vers TCP / IP mise en œuvre, et considérons «tempête locale» sur l'exemple de l'UDP-tempête. En règle générale, le système par défaut de soutenir le travail des UDP-ports comme 7 ( "echo", le paquet reçu est renvoyé), 19 ( "CG" en réponse au paquet reçu est envoyé à la ligne de l'expéditeur CG) et autres (date, etc.). Dans ce cas, un attaquant peut envoyer un seul UDP-sac, où le port de source 7, comme la destination sera précisée - 19 minutes, et que l'adresse de destination et l'expéditeur sera précisé, par exemple, deux machines de votre réseau (ou même 127,0. 0,1). Après avoir reçu le paquet, le 19e port de rencontre la ligne qui va au port 7. Le septième port de duplique et envoie au 19e .. et ainsi de suite à l'infini. Le cycle sans fin de manger des ressources de la machine et ajoute une charge de sens par canal. Bien sûr, tout d'abord perdu l'arrêt de la tempête UDP-package. Opposition: comme une défense devrait recommander à nouveau de ne pas manquer les paquets réseau à partir d' adresses internes, mais il est venu de l'extérieur. Il est également recommandé de fermer le pare-feu d'utiliser la plupart des services.

Détournement IP

La méthode est une combinaison de 'écoute' et IP-spoofing'a. Pré-requis - un attaquant doit avoir accès à la machine, situé sur le flux du réseau routier et des droits suffisants pour lui faire générer et intercepter les paquets IP. Rappelons que lors du transfert de données utilisé régulièrement numéro de séquence et de reconnaître le numéro (les deux champs sont dans l'IP-tête). Sur la base de leur valeur, le serveur et le client vérifie l'exactitude du paquet. Il est possible d'administrer le composé dans un "état désynchronisé" lors de l'envoi par le numéro de séquence du serveur et de reconnaître le numéro ne sera pas coïncider avec le client znacheniemi prévu, et vice versa. Dans ce cas, l'attaquant, "écoute" ligne peut prendre en charge les fonctions d'un médiateur pour générer les paquets corrects pour le client et le serveur et d'intercepter leurs réponses. La méthode permet de contourner complètement ces systèmes de protection, tels que les mots de passe une seule fois, puisque l'attaquant commence déjà après l'authentification de l'utilisateur se produit. Il y a deux façons de composés Unsync. • asynchronisme précoce. Composé de synchronisation à l'étape de l'installation. L'attaquant écoute sur le segment de réseau sur lequel les paquets passeront sa intéressante session. En attente de paquet S-SYN à partir du serveur, l'attaquant envoie un RST de type package serveur (reset), bien sûr, avec le numéro de séquence correcte, et immédiatement suivi d'un C-SYN-paquet de faux à partir du serveur de nom de client rejette la première session et ouvre un nouveau sur le même port, mais avec un nouveau numéro de séquence, et envoie ensuite au client une nouvelle S-SYN-package. Le client ignore le S-SYN-package, mais l'attaquant à l'écoute sur la ligne, le serveur envoie le S-ACK-paquets à partir du nom du client. Ainsi, le client et le serveur sont dans un état ESTABLISHED, mais la session est désynchronisés. Bien entendu, 100% de la réponse à ce schéma est pas, par exemple, il est immunisé contre le fait que la route ne soit pas perdu tous les paquets envoyés par l'attaquant. Pour le traitement correct de ces situations, le programme doit être compliqué. • désynchronisation nul. Dans ce cas, un attaquant écoute session et à un certain point envoie un paquet au serveur avec les données "zéro", à savoir, ceux qui seront effectivement ignoré niveau de l'application et non visible pour le client (par exemple, il peut être une donnée de type telnet IAC NOP IAC NOP IAC NOP ...). Un emballage similaire est envoyé au client. Il est évident que, après cette session devient l'état désynchronisé. ACK-tempête Un problème IP Détournement est que tout paquet qui a été envoyé lorsque la session est à l'état désynchronisé est ACK-appelé tempête. Par exemple, le paquet envoyé au serveur et le client, il est inacceptable, de sorte que les réponses ACK-paquets. La réponse à cela est inacceptable, même pour un package serveur client reçoit à nouveau une réponse. Et ainsi de suite à l'infini. Heureusement, les réseaux d'aujourd'hui sont construits sur des technologies qui ont permis à la perte de paquets individuels. Étant donné que les ACK-paquets ne portent pas les retransmissions de données ne se produit pas et «tempête se calme." Des expériences ont montré que le ACK-tempête plus, plus vite il "calme" lui-même - à 10MB ethernet cela se produit en une fraction de seconde. Pour les connexions non fiables telles que SLIP - pas beaucoup plus. La détection et la protection Il existe plusieurs façons. Par exemple, vous pouvez mettre en œuvre un réseau TCP / IP-pile, qui surveillera la transition vers un état désynchronisé, le partage d'informations sur le numéro de séquence numéro / reconnaître. Cependant, dans ce cas, nous ne sommes pas à l'abri de l'attaquant, moi et ces valeurs. Par conséquent, une méthode plus fiable consiste à analyser le trafic réseau, le suivi des nouveaux ACK-tempêtes. Ceci peut être réalisé en utilisant des moyens spécifiques pour le contrôle du réseau. Si l'attaquant ne fonctionne pas difficile de maintenir la connexion désynchronisée avant de le fermer ou ne sera pas filtrer la sortie des commandes, ce sera également immédiatement visible par l'utilisateur. Malheureusement, la grande majorité il suffit d'ouvrir une nouvelle session, sans avoir recours à l'administrateur. protection à cent pour cent contre cette attaque fournit comme toujours cryptées TCP / IP-trafic (au niveau de l'application - Secure Shell) ou couche de protocole - IPsec). Ceci élimine la possibilité de modifier le flux du réseau. Pour protéger le PGP e-mails peuvent être utilisés. Il convient de noter que le procédé ne fonctionne pas bien dans certains modes de réalisation spécifiques de TCP / IP. Ainsi, malgré la [rfc ...], ce qui nécessite une fermeture silencieuse en réponse aux systèmes RST-paquets Session générer des contre-RST-package. Cela rend désynchronisation tôt impossible.

Détection d' intrusion et la protection contre les

• Pour détecter les attaques peuvent analyser l'activité de diffusion - il des paquets UDP, FBN, SAP. • Pour protéger le réseau interne connecté à Internet'u, à ne pas manquer à partir des paquets entrants externes, dont la source est l'adresse de réseau interne. Vous pouvez laisser des paquets passe seulement sur le port 80. • Placez le filtrage de paquets, si nécessaire (ne pas négliger même
Control Panel \ Network \ Protocols \ Propriétés \ avancée dans Windows NT).

Méthodes d' analyse

En utilisant l'ARP

Ce type de demande peut être utilisée par des attaquants afin de déterminer les systèmes d'exploitation sur le segment de réseau local.

réseau de balayage par DNS

Il est connu que avant de commencer l'attaque, les assaillants ont procédé à l'identification des objectifs, à savoir identifier les ordinateurs qui sont victimes de l'attaque, ainsi que des ordinateurs qui communiquent avec une victime. Une façon d'identifier les objectifs est d'interroger les noms de serveur et de lui obtenir toutes les informations disponibles sur le domaine. Opposition: pour la détermination d'une telle analyse est nécessaire d'analyser DNS-requêtes (nom d'adresse) venant peut - être de différents serveurs DNS, mais pour une certaine période, de temps fixe. Il est nécessaire de regarder ce genre d'information en eux est transféré et de suivre les adresses de tri.

UDP bombe

réseau de numérisation par balayage ping

balayage Ping ou à des fins d'identification en utilisant le protocole ICMP est une méthode efficace.

Opposition: pour déterminer si les objectifs de ping-scan situés dans un sous - réseau, vous devez analyser l'adresse de source et de destination des paquets ICMP.

ports TCP de numérisation

balayage Port est une méthode de reconnaissance de configuration informatique connu et les services disponibles. Il existe plusieurs méthodes de balayage de TCP, certains d'entre eux appelé secret (stealth), parce qu'ils exploitent les vulnérabilités dans TCP implémentations des piles / IP dans la plupart des systèmes d'exploitation modernes et ne sont pas détectés par des moyens classiques. Opposition: contrer être effectuée, par exemple, la transmission de paquets TCP avec le drapeau TVD au nom de l'ordinateur analysé à l'ordinateur de l'attaquant.

Numérisation ports UDP

Un autre type de scan de port est basé sur le protocole UDP et est la suivante: sur l'ordinateur analysé est transmis paquet UDP adressé à un port qui est vérifié pour la disponibilité. Si le port ne sont pas disponibles, alors la réponse est un message ICMP inaccessible (port de destination inaccessible), sinon il n'y a pas de réponse. Ce type d'analyse est tout à fait efficace. Il permet un peu de temps pour balayer tous les ports sur l'ordinateur de la victime. Opposition: pour contrer ce type de balayage est possible par port de messagerie inaccessible à l'ordinateur de l'attaquant.

Stealth-scan

La méthode est basée sur le code de réseau incorrect, donc nous ne pouvons pas garantir que cela fonctionnera bien dans une situation particulière. Utilise TCP-paquets avec le FIN-drapeaux et prenait note. Ils doivent être utilisés en tant que si un tel paquet est envoyé au port de la connexion non ouvert, toujours retourner un paquet RST. Il existe plusieurs méthodes qui utilisent ce moyen: • Envoyer FIN-pack. Si l'hôte récepteur retourne RST, le port est inactif lorsque la TVD est pas retourné, le port est actif. Cette méthode fonctionne dans la plupart des systèmes d'exploitation. • Envoyer ACK-paquet. Si la durée de vie de paquets renvoyés inférieur au reste de la RST-paquets reçus, ou si la taille de la fenêtre est supérieure à zéro, il est probable que le port est actif.

balayage passif

La numérisation est souvent utilisé par les pirates pour savoir ce que TCP ports fonctionnent démons, de répondre aux demandes du réseau. La série du scanner anti-virus habituel offre des connexions à différents ports. Dans le cas où la connexion est établie, le programme réinitialise, informer le numéro de port de l'attaquant. Cette méthode est facilement détectée aurait surpris les démons Interrompre immédiatement après la connexion, ou en utilisant un logiciel spécial. La plupart de ces programmes ont quelques tentatives d'introduire des éléments de l'élément artificiel dans les tentatives de connexion aux différents ports de surveillance. Cependant, un attaquant peut utiliser une autre stratégie - une analyse passive (le terme anglais «balayage passif»). Lors de son utilisation, l'attaquant envoie un TCP / IP SYN-paquet à tous les ports dans une ligne (ou un algorithme spécifié). Pour TCP-port de connexions hôte de l'extérieur, il sera retourné SYN / ACK-paquet comme une invitation à poursuivre le 3-way handshake. Le reste sera de retour RST-paquets. Après avoir analysé la réponse de données, l'attaquant peut comprendre rapidement le programme exécuté sur tous les ports. En réponse aux / ACK-paquets SYN il peut également répondre RST-paquets, ce qui indique que le processus de configuration de la connexion continuera ne (en général, les RST-paquets répondre automatiquement TCP / IP-mise en œuvre de l'attaquant, s'il ne prend pas de mesures spéciales). La méthode n'a pas été détecté par les méthodes précédentes, parce que le TCP / IP-connexion réelle ne sont pas établies. Toutefois, (en fonction du comportement de l'attaquant) peuvent être suivis fortement augmenté le nombre de sessions qui sont dans l'état SYN_RECEIVED. (A condition que l'attaquant ne renvoie pas la TVD) recevant du client RST-paquets en réponse à un SYN / ACK. Malheureusement, le comportement des intrus très intelligent (par exemple, la numérisation à un des ports d'inspection spécifiques à faible vitesse ou) pour détecter l'analyse passive est pas possible, car il ne diffère pas de tentatives classiques pour établir une connexion. Comme la protection ne peut vous conseiller sur le pare-feu pour fermer tous les services dont l'accès est pas nécessaire à l'extérieur.

Le système d'invitation et le risque de l'information contenue dans celui - ci

Il est nécessaire d'enlever le "système d'invitation," affiche un ordinateur central sur les bornes d'accès à distance pour la connexion de l'utilisateur. Cette exigence est due aux raisons suivantes: • "système d'invitation," contient généralement des informations qui permet à un attaquant d'identifier le type et la version du système d'exploitation de l'ordinateur hôte, le type de logiciel et l'accès à distance OE Ces informations peuvent grandement simplifier la tâche de pénétrer le système, parce que le délinquant peut utilisation de moyens illégaux d'accès, en utilisant une faiblesse spécifique du système; • "système d'invitation" se réfère généralement à un système d'affiliation du ministère. Dans le cas où le système est détenue par une agence secrète ou la structure financière, l'intérêt du délinquant pourrait augmenter de manière significative; • Le récent procès a rejeté la demande d'une personne qui a infiltré illégalement dans le réseau de l'entreprise, car il a motivé ses actions par l'inscription sur l'accès terminal distant à un ordinateur central "Welcome to ..." ( "Welcome to ...").

Quelques conseils à la recherche de réseau

• Analyser le serveur pour les ports et services ouverts. • Essayez d'aller au serveur nommé IUSR_ <nom d'hôte avec des boules> • Essayez de voler SAM._ / RÉPARATION (mots de passe SAM reviennent à élargir l'équipe). • Répertoires / scripts et / cgi-bin, comme vous le savez probablement beaucoup dans le NT, vous pouvez exécuter tous les fichiers de ces répertoires, alors assurez-vous de fermer l'accès à ces répertoires. Lancement est comme tant (si le fichier exécutable dans le répertoire / scripts) de brovzera - http: essai //www.idahonews/scripts/getadmin.exe ?. Vous pouvez obtenir les droits de adminovskie comme suit: - plier certains des / scripts ne sont pas exécutés sous l'utilisateur yuzerneym, et à partir du Web compte très, à partir de laquelle on peut conclure que le mot de passe admin peut être registre sdampit élémentaire en utilisant PWDUMP.exe. • Gardez à l'esprit que des programmes / exécuter des scripts dans le cadre du Web compte et non pas sous le compte d'utilisateur à exécuter. Par conséquent, vous pouvez essayer les mots de passe sdampit du registre en utilisant PWDUMP.EXE. Les mots de passe sont cryptés. Dans ce cas, enregistrez la page en tant que fichier texte et d'essayer de décoder les mots de passe en utilisant le programme BruteForce. • Dans le cadre du compte d'administrateur peut être changé sur les alias FTP et HTTP.

D'autres façons d'obtenir des informations

• L'utilisation d'un whois ou NSLOOKUP savoir qui est propriétaire du réseau pour déterminer les noms alternatifs. Rappelez-vous la plage d'adresses IP pour la numérisation plus tard. • Accédez au routeur le plus proche et tout savoir. Pour trouver le besoin de routeur pour tracer tout le chemin à l'adresse IP de la gamme détectée. Le routeur local est déterminée par le temps de réponse. • Essayez d'aller à la telnet du routeur. • Exécutez le scanner gamme ip-address pour la détection en cours d'exécution sur les services de PC.

Les trous et les erreurs d'administration dans Windows NT

• Envisager la vulnérabilité associée à une erreur dans la mise en œuvre du système. Cette vulnérabilité conduit à la possibilité d' une attaque, appelée GetAdmin. La vulnérabilité est NtAddAtom de service du système, ne vérifie pas les paramètres qui lui sont passés, et le bit 0 à NtGlobalFlag + 2. Pour ce faire, ouvrez le fichier ntoskrnl.exe et trouver le point dans NtAddAtom d'entrée. La définition de ce bit désactive la vérification des privilèges du débogueur NtOpenProcess et NtOpenThread. Ainsi, tout utilisateur a le droit d'ouvrir un processus dans le système. Attaque ouvre le processus et le processus Winlogon intègre dll à elle. Étant donné que ce service a des privilèges SYSTEM, il peut ajouter un utilisateur au groupe Administrateur, ou le retirer du groupe. Théoriquement, il existe d'autres violations de la sécurité. • L'une des méthodes populaires pour accéder à un système - mot de passe deviner. Pour lutter contre cela, définissez généralement le verrouillage du compte utilisateur après un certain nombre de tentatives de connexion infructueuses. Une agréable exception est le compte Administrateur. Et s'il a accès à l'entrée par l'intermédiaire d'un réseau, il ouvre une échappatoire pour un mot de passe de détente deviner. Pour la protection, renommez l'utilisateur par l'administrateur, définissez le verrouillage de compte, désactiver la connexion administrateur via un réseau, d'interdire le transfert de paquets SMB sur TCP / IP (port 137138139), définissez la journalisation des connexions qui ont échoué.

le spam

Spammeurs podyschut pour commencer à envoyer leur courrier indésirable est non seulement le fournisseur de services Internet, et est susceptible de choisir une société, parce fournisseur d'accès Internet, il est plus facile de comprendre ce qui est arrivé, et il pourrait être en mesure de se débarrasser de ces messages. Périodiquement spamming répétée peut perturber les utilisateurs légitimes en raison d'une surcharge du serveur de messagerie. Le problème est que pour se connecter au serveur SMTP est pas si difficile. Pour ce faire, vous devez savoir seulement 7-8 équipes au serveur SMTP a commencé à diffuser votre message. Pour se prémunir contre ce possible de vérifier les adresses des messages entrants en utilisant la base de données des utilisateurs enregistrés de données du serveur. Si l'adresse de l'expéditeur ou d'un message un d'entre eux a demandé l'adresse ne figure pas, email ne sera pas partagé.

Comment protéger le système de messagerie des spammeurs

• Si vous ne lisez pas les fichiers journaux, les spammeurs vont agir en toute impunité. • Programme tous, mais l'un des serveurs de messagerie de votre entreprise afin qu'ils n'a pas répondu à une demande d'envoi de messages. Le serveur restant doit filtrer soigneusement les adresses IP. • Conservez tous les serveurs de messagerie qui peuvent accepter les demandes de passage de messages, à portée de votre pare-feu.

Comment les spammeurs

• La cible est sélectionnée - le spammeur fait un choix aléatoire du nom de domaine de l'entreprise, puis devine le nom de la sentinelle hôte serveur SMTP. Si le serveur acceptera le courrier, le spammeur lui demande de diffuser le message à la liste d'adresses. • Le serveur exécute la requête, ce qui crée l'impression que le message va de pair avec l'adresse IP de la victime.

Holes IIS, WWW, FTP

• L'expéditeur peut laisser une fausse adresse de la façon suivante: l'expéditeur peut-il se connecter avec SMTP-port sur la machine, le nom dont il veut envoyer une lettre, et entrez le texte de la lettre. • Le service FTP vous permet d'installer un port de connexion passive basée sur l'adresse indiquée par le client. Ceci peut être utilisé par un attaquant pour émettre des commandes de service FTP dangereuses. Le registre contient une clé: <HKLM \ System \ CurrentControlSet \ Services \ MSFTPSVC \ Parameters> avec la valeur <EnablePortAttack: REG_DWORD:> Assurez-vous que la valeur est définie à '0' au lieu de '1'. • Si vous vous connectez via telnet au port 80, la commande "GET ../ .." IIS conduira à l'effondrement et post "L'application, exe \ inetinfo.dbg, généré une erreur d'application L'erreur sur la date @ heure L'exception générée était c0000005 à l'adresse 53984655. • Adresse 'http://www.domain.com/scripts .. \ .. \ scriptname "vous permet d'effectuer le script spécifié. utilisateur par défaut est Invité ou IUSR_WWW a lu tous les fichiers dans tous les dossiers. Pour que ces fichiers peuvent être consultés, téléchargés et lancé. • Répertoire \ scripts \ cgi-bin doit être fermé parce que de ces répertoires, vous pouvez exécuter des fichiers directement depuis la fenêtre de browser'a. • PENDANT IIS demande de charges dans une URL très longue (4 - 8KB) se bloque serveur et ne répond pas à la demande plus pour les frais. PROBLEMES que la taille exacte de l'URL dépend du serveur, de sorte que les programmes seront tueur en commençant par une certaine taille de base de la requête et en augmentant progressivement la taille d'essayer de trouver le point qui hang-server zheptvu de kpiticheskuyu. • Outlook Express 98 utilisateurs doivent compter avec le fait que l'expéditeur peut gérer, y compris la performance, Visual-Basic-scripts qui peuvent être facilement cachés dans la lettre. Ce script a un accès complet au système de fichiers. Une véritable protection ne peut être réglé sur "la sécurité" dans les perspectives sur le «maximum». • Si le bavardage est autorisé à entrer balise html, personne mal à insérer dans votre message quelque chose comme <img src = "http://www.mysite.com/cgi-bin/sniffer.cgi">. En conséquence, tout le monde dans le chat (non enregistré) sera, sans même le savoir, provoquer le script. • Limiter l'accès au port 25 seulement pour certains utilisateurs.