- •Введение
- •1 Анализ основных типов мэ и способов их применения
- •1.1 Типы межсетевых экранов
- •1.1.1 Фильтры пакетов
- •1.1.2 Фильтры пакетов с контекстной проверкой
- •1.1.3 Сервер уровня соединения
- •1.1.4 Серверы прикладного уровня
- •1.2 Способы применения межсетевых экранов
- •1.Стандартные схемы защиты отдельной локальной сети.
- •1.2.1 Стандартные схемы защиты отдельной локальной сети
- •1.2.2 Применение в составе средств коллективной защиты
- •1.3 Персональные межсетевые экраны
- •1.4 Обобщенная концепция применения межсетевых экранов
- •1.5 Обзор персональных межсетевых экранов, доступных на рынке
- •2 Классификация уязвимостей сетевых экранов, создающих предпосылки их компрометации
- •2.1 Уязвимости сетевых протоколов
- •2.1.1 Снифферы пакетов
- •2.1.2 Уязвимость маршрутизации от источника
- •2.1.4 Атаки типа “отказ в обслуживании”
- •2.1.5 Атаки syn flood
- •2.1.6 Атака Smurf
- •2.1.7 Атака Tribe Flood Network
- •2.1.8 Атака WinFreeze.
- •2.1.9 Атака Loki.
- •2.1.10 Arp атаки
- •2.1.11 Фрагментация
- •2.2 Уязвимости операционных систем
- •2.2.1 Получение прав другого пользователя
- •2.2.2 Нелегальное подключение к системе
- •2.2.3 Человеческий фактор
- •2.2.4 Совместимость с другими операционными системами
- •2.2.5 Парольные атаки
- •2.2.6 Вирусы и приложения типа "троянский конь"
- •2.3 Уязвимости программной реализации сетевых экранов
- •2.3.1 Атаки через туннели в межсетевом экране
- •2.3.2 Атаки вследствие неправильной конфигурации межсетевого экрана
- •2.3.3 Атаки осуществляемые в обход межсетевого экрана
- •2.3.4 Атаки осуществляемые из доверенных узлов и сетей
- •2.3.5 Атаки путем подмены адреса источника
- •2.3.6 Атаки на сам межсетевой экран
- •2.3.7 Атаки на подсистему аутентификации межсетевого экрана
- •2.4 Выводы
- •3 Исследование архитектуры и функционирования мэ на примере предложенного по
- •3.1 Исследование механизмов взаимодействия средств сетевой безопасности с операционной системой
- •3.1.1 Подходы к организации фильтрования трафика в ос Windows
- •3.3 Выводы
- •4 Разработка алгоритмов для проверки уязвимостей средств сетевой безопасности
- •4.1 Обобщённый алгоритм воздействия на средства сетевой безопасности
- •4.3.2.1 Инвентаризация Windows nt/2000/xp
- •4.3.2.3 Инвентаризация unix
- •4.3.3 Проникновение в сеть и захват контроля над хостом
- •4.3.3.1 Взлом хоста с ос Windows
- •4.3.3.2 Взлом хоста с ос Unix
- •4.4 Разработка алгоритмов воздействия на средства сетевой защиты изнутри защищенной сети
- •4.4.1 «Инъекции» кода
- •4.4.2 Использование виртуальной машины
- •4.4.3 Использование уязвимостей ActiveX
- •4.5 Разработка алгоритмов, основанных на уязвимостях механизма взаимодействия средств сетевой безопасности с операционной системой
- •4.6 Разработка алгоритмов установления соединения с компьютером, защищенным межсетевым экраном, персональным сетевым экраном и несколькими сетевыми экранами
- •4.6.1 Http-тунелирование
- •4.6.2 Icmp-тунелирование
- •4.6.4 Pcap-тунелирование
- •4.7 Выводы
2.1.6 Атака Smurf
Атака Smurf основана на способности ICMP посылать трафик по широковещательному адресу. Услышать один эхо-запрос ICMP, посланный по такому адресу, и ответить на него может множество хостов. Такая возможность используется для атаки типа "отказ в обслуживании", направленного на какой-нибудь целевой хост.
Сначала хост-нарушитель формирует эхо-запрос ICMP по широковещательному адресу вспомогательной сети с имитируемым IP-адресом источника. В качестве имитируемого выбирается IP-адрес целевого хоста-жертвы. Затем вспомогательный сайт разрешает выполнение широковещательной операции в сети. Если это происходит, эхо-запрос ICMP посылается всем хостам данной подсети, которым было направлено широковещательное сообщение. Наконец, все реагирующие активные хосты вспомогательной сети посылают эхо-ответ ICMP тому, кто, по их мнению, является отправителем, т.е. хосту-жертве. Хост-жертва (или сеть, в которой он находится) может быть парализован всеми этими действиями и испытать значительное снижение производительности, если:
Нарушитель посылает по широковещательному адресу большое число запросов ICMP.
Вспомогательный сайт разрешает входной широковещательный трафик.
Вспомогательный сайт велик, и на его запросы реагирует большое число хостов.
У целевого хоста медленное соединение с Интернетом.
2.1.7 Атака Tribe Flood Network
Атака Tribe Flood Network (TFN) - еще одна атака типа "отказ в обслуживании", в которой для связи используется ICMP. В отличие от атаки Smurf, начинающейся из одного источника и применяющей в качестве усилителя вспомогательную сеть, атака TFN прибегает к помощи множества распределенных хостов. Они называются хостами-демонами (daemon hosts). Для этой атаки необходимо установить хост-хозяин TFN и хосты-демоны - как правило, пораженные хосты, на которых инсталлирована TFN. Затем хост-хозяин TFN приказывает хостам-демонам напасть на хост-жертву иногда одновременно. Связь между хозяином и демоном поддерживается с помощью эхо-ответов ICMP. Демоны могут посылать целевому хосту группы пакетов UDP, группы пакетов SYN TCP, группы эхо-запросов ICMP или нападать на него с помощью Smurf. Хозяин инструктирует демона по поводу его действий, посылая команды в эхо-ответе ICMP. Поле идентификационного номера в заголовке ICMP эхо-ответа ICMP используется для указания демонам на то, какие действия необходимо предпринять. Компонент данных эхо-ответа ICMP применяется для посылки аргументов.
Лучшим способом применения нескольких распределенных вспомогательных хостов для одновременной рассылки пакетов целевому хосту является атака "отказ в обслуживании" на этот хост или его сеть.
2.1.8 Атака WinFreeze.
Атака WinFreeze заставляет восприимчивый хост нападать на самого себя. ICMP-сообщение redirect информирует посылающий хост о том, что он воспользовался неоптимальным маршрутом, и предлагает добавить оптимальный маршрут в таблицу маршрутизации. Атака WinFreeze наводняет уязвимый хост Windows NT сообщениями redirect, в результате чего тот иногда отказывает в обслуживании. Происходит все это в сети, где расположен хост-жертва, а сообщения redirect посылаются якобы с маршрутизатора. Хост Windows, получая массу таких сообщений, пытается внести соответствующие изменения в свою собственную таблицу маршрутизации, что может значительно снизить его производительность.