- •Воронеж 2008
- •Воронеж 2008
- •Введение
- •1 Подбор пароля
- •1.1 Общие понятия парольной защиты
- •1.1.1 Парольная система
- •1.1.2 Методы подбора паролей
- •1.1.3 Методы количественной оценки стойкости паролей
- •1.2 Парольная защита операционных систем
- •1.2.1 Подбор паролей в ос Windows
- •1.2.1.1 База данных учетных записей пользователей
- •1.2.1.2 Хранение паролей пользователей
- •1.2.1.3 Использование пароля
- •1.2.1.4 Возможные атаки на базу данных sam
- •1.2.2 Подбор паролей в ос unix
- •1.3 Классификация и принцип работы программного обеспечения для подбора паролей
- •1.3.1 Подбор паролей в oc Windows
- •1.3.2 Подбор паролей в oc unix
- •1.3.3 Подбор паролей в архивах zip, rar и arj
- •1.3.4 Подбор паролей документов ms Office
- •1.3.5 Подбор паролей pdf документов
- •1.4 Противодействие подбору паролей
- •1.4.1 Требования к паролю
- •1.4.2 Правила назначения/изменения паролей
- •1.4.3 Требования к генерации паролей
- •1.4.4 Хранение пароля пользователем
- •1.4.5 Хранение паролей компьютерной системой
- •1.4.6 Противодействие попыткам подбора паролей
- •1.4.7 Защита Windows nt и Unix от подбора паролей
- •2.1.2 Протокол tcp
- •2.1.2.1 Функции протокола tcp
- •2.1.2.2 Базовая передача данных
- •2.1.2.3 Разделение каналов
- •2.1.2.4 Управление соединениями
- •2.1.2.5 Заголовок тср-сегмента
- •2.1.2.6 Состояния соединения
- •2.2 Основные методы, применяемые при сканировании портов
- •2.2.1 Методы сканирования tcp-портов
- •2.2.1.1 Методы открытого сканирования
- •2.2.1.1.1 Метод icmp-сканирования
- •2.2.1.1.2 Сканирование tcp-портов функцией connect()
- •2.2.1.1.3 Сканирование tcp-портов флагом syn
- •2.2.1.1.4 Сканирование tcp-портов флагом fin
- •2.2.1.1.5 Сканирование с использованием ip-фрагментации
- •2.2.1.1.6 Сканирование tcp-портов методом reverse-ident (обратной идентификации)
- •2.2.1.1.7 Сканирование Xmas
- •2.2.1.1.8 Null сканирование
- •2.2.1.2 Методы "невидимого" удаленного сканирования
- •2.2.1.2.1 Скрытая атака по ftp
- •2.2.1.2.2 Сканирование через proxy-сервер
- •2.2.1.2.3 Скрытное сканирование портов через системы с уязвимой генерацией ip id
- •2.2.1.2.3.1 Исторические предпосылки
- •2.2.1.2.3.2 Описание базового метода ip id сканирования
- •2.2.1.2.3.3 Исследование правил и обход брандмауэра при сканировании
- •2.2.1.2.3.4 Сканирование машин с приватными адресами
- •2.2.1.2.3.5 Использование ip id при сканирование udp сервисов за брандмауэром
- •2.2.2 Методы сканирования udp-портов
- •2.2.2.1 Сканирование udp-портов проверкой icmp-сообщения «Порт недостижим»
- •2.2.2.2 Сканирование udp-портов с использованием функций recvfrom() и write()
- •2.3.1 Сканирование портов в ос семейства Windows
- •2.3.2 Сканирование портов в ос семейства Unix
- •2.4 Защита от сканирования портов
- •3 Анализ сетевого трафика
- •3.1 Анализ сетевого трафика сети Internet
- •3.1.1 Ложные arp-ответы
- •3.1.2 Навязывание ложного маршрутизатора
- •3.1.3 Атака при конфигурировании хоста
- •3.1.4 Атака на протоколы маршрутизации
- •3.2 Протокол telnet
- •3.2.1 Протокол ftp
- •3.2.3 Программы анализаторы сетевого трафика (сниффиры)
- •3.2.4 Принцип работы сниффира
- •3.3 Методы противодействия сниффирам
- •3.3.1 Протокол ssl
- •3.3.2 Протокол skip
- •3.3.3 Устройство обеспечения безопасности локальной сети skipBridge
- •4 Внедрение ложного доверенного объекта
- •4.1 Особенности атаки «Внедрение ложного доверенного объекта»
- •4.2 Внедрение ложного объекта путем использования недостатков алгоритмов удаленного поиска
- •4.2.1.1 Протокол arp и алгоритм его работы
- •4.2.1.2 Техника выполнения arp-spoofing
- •4.2.1.3 Методы обнаружения
- •4.2.1.4 Методы противодействия
- •4.2.2.1 Принцип работы Domain Name System
- •4.2.2.2 Внедрение dns-сервера путем перехвата dns-запроса
- •4.2.2.3 «Шторм» ложных dns ответов на атакуемый хост
- •4.2.2.4 Перехват dns-запроса или создание направленного «шторма» ложных dns-ответов непосредственно на атакуемый dns-сервер
- •4.2.2.5 Обнаружение и защита от внедрения ложного dns-сервера
- •4.3.1.2 Внедрение ложного доверенного объекта путем навязывания ложного маршрута с помощью протокола icmp
- •4.3.1.3 Обнаружение и методы противодействия
- •5 Отказ в обслуживании
- •5.1 Модель DoS атаки
- •5.1.1 Отказ в обслуживании (DoS)
- •5.1.2 Распределенный отказ в обслуживании (dDoS)
- •5.2.1.1 Описание утилиты для реализации icmp – флуда и атаки Smurf
- •5.2.1.2 Реализация атаки icmp-flooding, на основе отправки icmp-пакетов
- •5.2.1.3 Реализация атаки Smurf
- •5.2.3 Низкоскоростные dos-атаки
- •5.2.3.1 Механизм таймаута tcp-стека
- •5.2.3.2 Моделирование и реализация атаки
- •5.2.3.2.1 Минимальная скорость DoS-атаки
- •5.2.3.3 Многопоточность и синхронизация потоков
- •5.2.3.5 Атаки в сети интернет
- •5.2.4 Syn атака
- •5.3 Анализ средств и методов сетевой защиты
- •5.3.1 Настройка tcp/ip стека
- •5.3.4 Межсетевые экраны (FireWall)
- •5.3.5 Системы обнаружения атак (ids)
- •5.3.6 Система Sink Holes
- •Заключение
- •Список информационных источников
- •394026 Воронеж, Московский просп., 14
Г.А. Остапенко Е.Ю. Дмитриева
ЛОГИКО-ЛИНГВИСТИЧЕСКИЕ
МОДЕЛИ АТАК НА КОМПЬЮТЕРНЫЕ СИСТЕМЫ
Учебное пособие
Воронеж 2008
ГОУВПО «Воронежский государственный
технический университет»
Г.А. Остапенко Е.Ю. Дмитриева
ЛОГИКО-ЛИНГВИСТИЧЕСКИЕ
МОДЕЛИ АТАК НА КОМПЬЮТЕРНЫЕ
СИСТЕМЫ
Утверждено Редакционно-издательским советом
университета в качестве учебного пособия
Воронеж 2008
УДК 621.05
Остапенко Г.А. Логико-лингвистические модели атак на компьютерные системы: учеб. пособие/ Г.А. Остапенко, Е.Ю. Дмитриева. Воронеж: ГОУВПО «Воронежский государственный технический университет», 2008. 311с
В учебном пособии рассмотрены процессы атаки «перехват трафика» на информационно-телекоммуникационные системы. Исследованы алгоритмы работы парольной защиты ОС Windows и ОС Unix. Описаны методы и средства по противодействию атакам реализующим сканирование портов. Исследованы методы анализа сетевого трафика сети Интернет, рассмотрены протоколы передачи данных FTP,TELNET.
Издание соответствует требованиям Государственного образовательного стандарта высшего профессионального образования по направлению 090100 "Информационная безопасность", специальностям 090102 "Компьютерная безопасность", 090105 "Комплексное обеспечение информационной безопасности автоматизированных систем" и 090106 "Информационная безопасность телекоммуникационных систем", дисциплине «Компьютерные преступления». Для студентов очной формы обучения.
Учебное пособие подготовлено в электронном виде в текстовом редакторе MS WORD и содержится в файле ЛЛМАКС.doc
Табл. 11. Ил.119. Библиогр.: 63 назв.
Научный редактор д-р техн. наук, проф. А.Г. Остапенко
Рецензенты: Межрегиональный центр «Инфозащита»(ген. директор С.В. Кудрявцев);
канд. техн. наук, доц. Е.И. Воробьева
© Остапенко Г.А., Дмитриева Е.Ю., 2008
©
СОДЕРЖАНИЕ
Введение…………………………………….……………....…….8
1. Подбор паролей…………………………………….…….…..26
1.1. Общие понятия парольной защиты………………...…..26
1.1.1. Парольная система………………………………….…26
1.1.2. Методы подбора паролей………………………….….27
1.1.3. Методы количественной оценки стойкости паролей.30
1.2. Парольная защита операционных систем……………..34
1.2.1. Подбор паролей в ОС Windows NT…………………..34
1.2.1.1. База данных учетных записей пользователей……..34
1.2.1.2. Хранение паролей пользователей………….………35
1.2.1.3. Использование пароля………………………….…...36
1.2.1.4. Возможные атаки на базу данных SAM…………...36
1.2.2. Подбор паролей в ОС UNIX………….………………38
1.3. Классификация и принцип работы программного обес
пече ния для подбора паролей…………………………40
1.3.1. Подбор паролей в OC Windows………………………40
1.3.2. Подбор паролей в OC UNIX………………..………...60
1.3.3. Подбор паролей документов MS Office……………...63
1.3.4. Подбор паролей в архивах ZIP, RAR и ARJ…………65
1.3.5. Подбор паролей PDF документов……………………75
1.4. Противодействие подбору паролей……………………77
1.4.1. Требования к паролю……………………………….....77
1.4.2. Правила назначения/изменения паролей…………….78
1.4.3. Требования к генерации паролей…………………….82
1.4.4. Хранение пароля пользователем……………………..87
1.4.5. Хранение паролей компьютерной системой…….…..89
1.4.6. Противодействие попыткам подбора паролей………90
1.4.7. Защита OC Windows NT и OC Unix от подбора паро
лей…………………………………………………..….93
2. Атаки реализующие сканирование портов…………………97
2.1. Особенности протоколов, используемых при
сканировании портов……………………………………97
2.1.1. Протокол UDP……………………………………........97
2.1.2. Протокол TCP…………………...………………...…..99
2.1.2.1. Функции протокола TCP………………..…………..99
2.1.2.2. Базовая передача данных………………………….100
2.1.2.3. Разделение каналов………………………………..101
2.1.2.4. Управление соединениями………………………..101
2.1.2.5. Заголовок ТСР-сегмента…………………………..103
2.1.2.6. Состояния соединения…………………………….107
2.2. Основные методы, применяемые при сканировании
портов………………………………………………..…110
2.2.1. Методы сканирования TCP-портов………………...110
2.2.1.1. Методы открытого сканирования………………...110
2.2.1.1.1. Метод ICMP-сканирования………………………..110
2.2.1.1.2. Сканирование TCP-портов функцией connect()..…112
2.2.1.1.3. Сканирование TCP-портов флагом SYN……….…114
2.2.1.1.4. Сканирование TCP-портов флагом FIN…………..116
2.2.1.1.5. Сканирование с использованием IP-
фрагментации…………………………………...…119
2.2.1.1.6. Сканирование TCP-портов методом reverse-
ident……………………………………………...122
2.2.1.1.7. Сканирование Xmas………………………….…124
2.2.1.1.8. Null сканирование……………………………….125
2.2.1.2. Методы "невидимого" удаленного сканирова
ния…………………………………………………..126
2.2.1.2.1. Скрытая атака по FTP…………………………...126
2.2.1.2.2. Сканирование через proxy-сервер………………128
2.2.1.2.3. Скрытное сканирование портов через системы с
уязвимой генерацией IP ID…………………...…129
2.2.1.2.3.1. Исторические предпосылки…………………...129
2.2.1.2.3.2. Описание базового метода IP ID сканирова
ния….………………………………………...…130
2.2.1.2.3.3. Исследование правил и обход брандмауэра при
сканировании…………………………………..131
2.2.1.2.3.4. Сканирование машин с приватными адреса
ми…………………………………………….…132
2.2.1.2.3.5. Использование IP ID при сканирование UDP
сервисов за брандмауэром…………………….132
2.2.1.2.3.6. "2 в степени" (2^) сканирование и временные
особенности сканирования……………………134
2.2.2. Методы сканирования UDP-портов………………...136
2.2.2.1. Сканирование UDP-портов проверкой
ICMP-сообщения «Портнедостижим»……………136
2.2.2.2. Сканирование UDP-портов с использованием
функций recvfrom() и write()…...………………….137
2.3. Анализ реализации атаки с помощью программных
средств………………………………..................................138
2.3.1. Сканирование портов в ОС семейства
Windows…………………………………………........138
2.3.2. Сканирование портов в ОС семейства Unix……….148
2.4. Защита от сканирования портов………………………148
3. Анализ сетевого трафика…………………………..……….152
3.1. Анализ сетевого трафика сети Internet……………….152
3.1.1. Ложные ARP-ответы………………………………...152
3.1.2. Навязывание ложного маршрутизатора……………156
3.1.3. Атака при конфигурировании хоста………………..160
3.1.4. Атака на протоколы маршрутизации……………….161
3.2. Протокол TELNET……………………………………162
3.2.1.Протокол FTP………………………………………...163
3.2.2. Программа анализатор сетевого трафика (синфир).166
3.2.3. Принцип работы сниффира……………………........167
3.3. Методы противодействия сниффирам……………….182
3.3.1.Протокол SSL…………………………………………182
3.3.2. Протокол SKIP…………………………………….…184
3.3.3 Устройство обеспечения безопасности локальной сети
SKIPBridge…………………………………………….185
4. Внедрение ложного доверенного объекта…………..……187
4.1. Особенности атаки «Внедрение ложного
доверенного объекта»…………………………...…….187
4.2. Внедрение ложного объекта путем использования
недостатков алгоритмов удаленного поиска……………189
4.2.1. ARP-spoofing………………………………………....189
4.2.1.1. Протокол ARP и алгоритм его работы……...…....189
4.2.1.2. Техника выполнения ARP-spoofing…...……...…..198
4.2.1.3. Методы обнаружения………………...……...…….205
4.2.1.4. Методы противодействия…………………………207
4.2.2. DNS-spoofing…………………………………………212
4.2.2.1. Принцип работы Domain Name System…………..212
4.2.2.2. Внедрение DNS-сервера путем перехвата DNS-
запроса……………………………………………...219
4.2.2.3. «Шторм» ложных DNS ответов на атакуемый
хост.…………………………………………………222
4.2.2.4. Перехват DNS-запроса или создание направленного
«шторма» ложных DNS-ответов непосредственно
на атакуемый DNS-сервер……………………...…226
4.2.2.5. Обнаружение и защита от внедрения
ложного DNS-сервера……………………….…….230
4.3. Внедрение ложного объекта путем навязывания ложно-
го маршрута…………………………………………….241
4.3.1. Навязывание хосту ложного маршрута с
использованием протокола ICMP……….……….…241
4.3.1.1. Протокол ICMP……………………………….……241
4.3.1.2. Внедрение ложного доверенного объекта путем
навязывания ложного маршрута с помощью
протокола ICMP…………………………………....245
4.3.1.3. Обнаружение и методы противодейст
вия…………………………………………………..248
5. Отказ в обслуживании………………………………….…..249
5.1. Модель DoS атаки………………………………...……249
5.1.1. Отказ в обслуживании (DoS) …………...…………..250
5.1.2. Распределенный отказ в обслуживании (DDoS) ….252
5.2.1. ICMP-flooding и Smurf……………………………….253
5.2.1.1. Описание утилиты для реализации ICMP-флуда и
атаки Smurf………………………………………....253
5.2.1.2. Реализация атаки ICMP-flooding, на основе
отправки ICMP-пакетов………………………..….255
5.2.1.3. Реализация атаки Smurf…………………………....262
5.2.2. UDP-storm и Fraggle…………...……………………..264
5.2.3. Низкоскоростные DOS-атаки……………………….266
5.2.3.1. Механизм таймаута TCP-стека………………...….267
5.2.3.2. Моделирование и реализация атаки………..…….270
5.2.3.2.1. Минимальная скорость DoS-атаки……………..276
5.2.3.3. Многопоточность и синхронизация потоков……278
5.2.3.4. RTT-фильтрация………………….….…………….279
5.2.3.5. Атаки в сети интернет……………………………..282
5.2.4. SYN атака………………………………………...…..284
5.2.5. Teardrop……………………………………………….289
5.3. Анализ средств и методов сетевой защиты.………….291
5.3.1. Настройка TCP/IP стека……………………………..292
5.3.2. SYN cookies…………………………………………..294
5.3.3. SynAttackProtect………………………….……….….295
5.3.4. Межсетевые экраны (FireWall)……….…………….297
5.3.5. Системы обнаружения атак (IDS)………….…… …297
5.3.6. Система Sink Holes………………………………..…299
Заключение…………………………………….…………….....303
Список литературы……………………………………..……...305