- •Воронеж 2008
- •Воронеж 2008
- •Введение
- •1 Подбор пароля
- •1.1 Общие понятия парольной защиты
- •1.1.1 Парольная система
- •1.1.2 Методы подбора паролей
- •1.1.3 Методы количественной оценки стойкости паролей
- •1.2 Парольная защита операционных систем
- •1.2.1 Подбор паролей в ос Windows
- •1.2.1.1 База данных учетных записей пользователей
- •1.2.1.2 Хранение паролей пользователей
- •1.2.1.3 Использование пароля
- •1.2.1.4 Возможные атаки на базу данных sam
- •1.2.2 Подбор паролей в ос unix
- •1.3 Классификация и принцип работы программного обеспечения для подбора паролей
- •1.3.1 Подбор паролей в oc Windows
- •1.3.2 Подбор паролей в oc unix
- •1.3.3 Подбор паролей в архивах zip, rar и arj
- •1.3.4 Подбор паролей документов ms Office
- •1.3.5 Подбор паролей pdf документов
- •1.4 Противодействие подбору паролей
- •1.4.1 Требования к паролю
- •1.4.2 Правила назначения/изменения паролей
- •1.4.3 Требования к генерации паролей
- •1.4.4 Хранение пароля пользователем
- •1.4.5 Хранение паролей компьютерной системой
- •1.4.6 Противодействие попыткам подбора паролей
- •1.4.7 Защита Windows nt и Unix от подбора паролей
- •2.1.2 Протокол tcp
- •2.1.2.1 Функции протокола tcp
- •2.1.2.2 Базовая передача данных
- •2.1.2.3 Разделение каналов
- •2.1.2.4 Управление соединениями
- •2.1.2.5 Заголовок тср-сегмента
- •2.1.2.6 Состояния соединения
- •2.2 Основные методы, применяемые при сканировании портов
- •2.2.1 Методы сканирования tcp-портов
- •2.2.1.1 Методы открытого сканирования
- •2.2.1.1.1 Метод icmp-сканирования
- •2.2.1.1.2 Сканирование tcp-портов функцией connect()
- •2.2.1.1.3 Сканирование tcp-портов флагом syn
- •2.2.1.1.4 Сканирование tcp-портов флагом fin
- •2.2.1.1.5 Сканирование с использованием ip-фрагментации
- •2.2.1.1.6 Сканирование tcp-портов методом reverse-ident (обратной идентификации)
- •2.2.1.1.7 Сканирование Xmas
- •2.2.1.1.8 Null сканирование
- •2.2.1.2 Методы "невидимого" удаленного сканирования
- •2.2.1.2.1 Скрытая атака по ftp
- •2.2.1.2.2 Сканирование через proxy-сервер
- •2.2.1.2.3 Скрытное сканирование портов через системы с уязвимой генерацией ip id
- •2.2.1.2.3.1 Исторические предпосылки
- •2.2.1.2.3.2 Описание базового метода ip id сканирования
- •2.2.1.2.3.3 Исследование правил и обход брандмауэра при сканировании
- •2.2.1.2.3.4 Сканирование машин с приватными адресами
- •2.2.1.2.3.5 Использование ip id при сканирование udp сервисов за брандмауэром
- •2.2.2 Методы сканирования udp-портов
- •2.2.2.1 Сканирование udp-портов проверкой icmp-сообщения «Порт недостижим»
- •2.2.2.2 Сканирование udp-портов с использованием функций recvfrom() и write()
- •2.3.1 Сканирование портов в ос семейства Windows
- •2.3.2 Сканирование портов в ос семейства Unix
- •2.4 Защита от сканирования портов
- •3 Анализ сетевого трафика
- •3.1 Анализ сетевого трафика сети Internet
- •3.1.1 Ложные arp-ответы
- •3.1.2 Навязывание ложного маршрутизатора
- •3.1.3 Атака при конфигурировании хоста
- •3.1.4 Атака на протоколы маршрутизации
- •3.2 Протокол telnet
- •3.2.1 Протокол ftp
- •3.2.3 Программы анализаторы сетевого трафика (сниффиры)
- •3.2.4 Принцип работы сниффира
- •3.3 Методы противодействия сниффирам
- •3.3.1 Протокол ssl
- •3.3.2 Протокол skip
- •3.3.3 Устройство обеспечения безопасности локальной сети skipBridge
- •4 Внедрение ложного доверенного объекта
- •4.1 Особенности атаки «Внедрение ложного доверенного объекта»
- •4.2 Внедрение ложного объекта путем использования недостатков алгоритмов удаленного поиска
- •4.2.1.1 Протокол arp и алгоритм его работы
- •4.2.1.2 Техника выполнения arp-spoofing
- •4.2.1.3 Методы обнаружения
- •4.2.1.4 Методы противодействия
- •4.2.2.1 Принцип работы Domain Name System
- •4.2.2.2 Внедрение dns-сервера путем перехвата dns-запроса
- •4.2.2.3 «Шторм» ложных dns ответов на атакуемый хост
- •4.2.2.4 Перехват dns-запроса или создание направленного «шторма» ложных dns-ответов непосредственно на атакуемый dns-сервер
- •4.2.2.5 Обнаружение и защита от внедрения ложного dns-сервера
- •4.3.1.2 Внедрение ложного доверенного объекта путем навязывания ложного маршрута с помощью протокола icmp
- •4.3.1.3 Обнаружение и методы противодействия
- •5 Отказ в обслуживании
- •5.1 Модель DoS атаки
- •5.1.1 Отказ в обслуживании (DoS)
- •5.1.2 Распределенный отказ в обслуживании (dDoS)
- •5.2.1.1 Описание утилиты для реализации icmp – флуда и атаки Smurf
- •5.2.1.2 Реализация атаки icmp-flooding, на основе отправки icmp-пакетов
- •5.2.1.3 Реализация атаки Smurf
- •5.2.3 Низкоскоростные dos-атаки
- •5.2.3.1 Механизм таймаута tcp-стека
- •5.2.3.2 Моделирование и реализация атаки
- •5.2.3.2.1 Минимальная скорость DoS-атаки
- •5.2.3.3 Многопоточность и синхронизация потоков
- •5.2.3.5 Атаки в сети интернет
- •5.2.4 Syn атака
- •5.3 Анализ средств и методов сетевой защиты
- •5.3.1 Настройка tcp/ip стека
- •5.3.4 Межсетевые экраны (FireWall)
- •5.3.5 Системы обнаружения атак (ids)
- •5.3.6 Система Sink Holes
- •Заключение
- •Список информационных источников
- •394026 Воронеж, Московский просп., 14
Введение
Компьютерные пароли – важный атрибут сегодняшних дней, и большинство пользователей ПК имеют большое количество учетных записей с разными, или потенциально разными паролями доступа. Утечка паролей может приводить к незначительным последствиям, связанным с невозможностью получить доступ к аккуанту на форуме, так и к проблемам в масштабе корпорации, когда возникают сбои при покупке или продаже продукции.
В связи с высокими темпами компьютеризации, вопрос безопасности в компьютерных системах стоит необычайно остро. Внедрение компьютеров в повседневную жизнь человека проходит большими темпами. При положительной стороне данного прогресса, существуют и свои негативные последствия. Информация не является такой недоступной, как некоторое время назад. Технология Интернет позволила получать необходимую информацию в очень короткие сроки. Очень часто имеющаяся на компьютере информация на порядок, а то и более превышает стоимость самого устройства. И страшна, как правило, не столько потеря самой информации (например, по причине выхода из строя жесткого диска), сколько утрата ею конфиденциальности.
Сегодня на подавляющем большинстве компьютеров парольная защита является основным средством аутентификации пользователей, которая не удовлетворяет современным тенденциям информационной безопасности из-за так называемого человеческого фактора. Надежность парольной аутентификации полностью зависит от того, какое ключевое слово выбрал себе пользователь и как он его хранит [51].
Данная проблема действительно весьма серьезна и может привести к утечке коммерческой информации. Самым надежным способом защиты, является переход на любую систему строгой аутентификации с использованием смарт-карт, USB-токенов или биометрических сканеров. Однако в небольших компаниях зачастую не хватает финансовых возможностей для вложения в информационную безопасность. Другой вариант - усиление надежности парольной защиты путем контроля качества используемых сотрудниками фирмы ключевых слов.
В ОС Windows администратор, настраивая политику безопасности, может указать некоторые требования к качеству паролей пользователей, например, их минимальную длину. Однако эти возможности очень сильно ограничены. Например, с их помощью никак нельзя проконтролировать "осмысленность" используемых выражений. Поэтому лучшим контролем качества паролей служит только их аудит.
В настоящее время существует огромное количество утилит, позволяющих зашифровать информацию, но парадоксальность ситуации заключается в том, что практически для каждого типа паролей, создаваемых теми или иными приложениями, существует немало программ, позволяющих подобрать эти пароли. Причем если ранее подобные утилиты создавались хакерами, то сегодня этим занимаются крупные компании, а сами утилиты продаются за большие деньги. Утилиты для подбора паролей можно условно разделить на два класса: многоцелевые программные пакеты, позволяющие подбирать пароли к различным типам файлов (Web-приложение, электронная почта, ICQ-клиент), и специализированные утилиты, которые ориентированы на подбор паролей к файлам, созданным каким-либо одним приложением. Фактически многоцелевые программные пакеты представляют собой сборник отдельных утилит. Иногда такие пакеты предусматривают использование единой программной оболочки для доступа к отдельным утилитам.
Предотвращение нарушения конфиденциальности информации в настоящее время одна из приоритетных задач разработки систем защиты информации. В том числе паролирование является одним из ключевых элементов в данной системе защиты. Поэтому угроза подбора пароля на сегодняшний день является очень актуальной и будет рассмотрена в первой главе данного проекта. Данная глава состоит из четырех частей. В первой части рассматриваются общие понятия парольной защиты, парольная система, методы подбора паролей и методы количественной оценки стойкости паролей. Во второй части описывается парольная защита операционных систем ОС Windows и ОС Unix [56]. Подробно рассматривается принцип работы базы данных учетных записей пользователей, метод аутентификации, способ хранения и использования паролей, а также перечисляются возможные атаки на базу данных SAM. В третьей части приведена подробная классификация и принцип работы программного обеспечения для подбора паролей. Проанализированы актуальные на сегодняшний день программные утилиты для подбора паролей в ОС Windows и ОС Unix, документов MS Office, архиваторов ZIP, RAR и ARJ и PDF документов. В четвертой части уделено внимание противодействию подбора паролей. Перечислены требования к паролю, требования к генерации, методов хранения и правилам назначения/изменения паролей. Рассмотрены стандартные средства парольной защиты операционных систем Window и Unix. Подробно описано противодействие попыткам подбора паролей.
Критичность атаки подбора паролей определяется величиной риска, связанного с ее осуществлением. Величина риска, в свою очередь, определяется вероятностью успешного осуществления атаки и величиной возможного ущерба. Величина возможного ущерба определяется критичностью ресурсов, против которых направлена данная атака. Вероятность успешного осуществления атаки определяется эффективностью методов подбора паролей, таких как [46]:
- тотальный перебор;
- тотальный перебор, оптимизированный по статистике встречаемости символов;
- тотальный перебор, оптимизированный с помощью словарей;
- подбор пароля по маске;
- подбор пароля с использованием знаний о владельце пароля;
- подбор образа пароля;
и напрямую зависит от выбора пароля пользователя, а также от используемых технологий и программного обеспечения по подбору паролей злоумышленника. А в связи с высоким ростом компьютеризации, возрастает вероятность успешного осуществления атаки подбора паролей.
Методами противодействия подбору паролей можно минимизировать вероятность успешной атаки на информационную систему и снизить величину риска до приемлемой величины.
В современном мире, на фоне развитых сетевых коммуникаций, обмен знаниями происходит мгновенно. Электронное общение принесло вместе с неоспоримыми благами немало проблем, с которыми вынуждены сталкиваться рядовые пользователи. Это могут быть компьютерные вирусы, сетевые мошенники, хакеры, и т.д. Компания McAfee, занимающаяся сетевой безопасностью, выпустила отчет о киберпреступности в мире. Главная мысль отчета заключалась в следующем: в 2006-2007 годах произошел качественный скачок в кибер-преступности, которая перешла в стадию формирования организованных групп, которые занялись серьезными атаками на крупные сети. Акцент делался на то, что кибер-война начинается уже на государственном уровне.
В 2008 году эксперты McAfee ожидают повышенные риски в четырех основных направлениях:
- возникновения новых форм атак;
- атаки, направленные на новые технологии, такие как peer-to-peer или VoIP;
- атаки на социальные сети;
- атаки на он-лайн сервисы, в частности – банковские.
Согласно отчету уже 120 стран создают свои кибервойска, так или иначе готовясь к борьбе за превосходство в Сети, которая развернется в течение ближайших 10-20 лет. При этом Китай называется основным игроком на этом фронте, который в последнее время упорно ищет уязвимости в сетях у предполагаемого противника.
Натовские эксперты считают, что в действительности 99% атак на различные госструктуры остаются незамеченными. Так как правительства большинства стран либо не подозревают об угрозах, либо не в состоянии их отслеживать. Фактически, судя по этому, невозможно даже примерно оценить каких масштабов достигает кибер-война между государствами.
С другой стороны угроза сетевой безопасности может происходить со стороны правительств, которые начинают использовать те же методы локально, внутри страны против своих же граждан. По последним данным, канцлер Германии Ангела Меркель на партийном съезде высказалась за предоставление правоохранительным органам права внедрять шпионское программное обеспечение в частные компьютеры. Конечно же, речь шла только о тех, кого предполагают в пособничестве терроризму. Пока что подобное противоречит конституции демократической Германии. Учитывая слова Меркель, что сегодня нет разницы между внешней и внутренней безопасностью, становится понятно, что опасения McAfee вскоре совершенно спокойно могут стать легитимными методами борьбы с терроризмом. Поэтому проблемы сетевой безопасности обычных пользователей вырастают до масштабов государства.
Виды атак на компьютерные системы разнообразны. Но алгоритм действий злоумышленников в большинстве случаев однотипен: сбор информации о системе, определение слабых мест в защите, подготовка атаки и её реализация.
Самое первое, с чего начинается взлом или тест системы на уязвимость – сканирование портов. Обычно оно применимо к сетям, работающим на основе TCP/IP. Цель данной атаки заключается в получении сведений о запущенных на атакуемой машине сервисах. Как правило, избыточность запущенных на компьютере сервисов и является причиной успешной реализации атаки. Известно, что сокет (IP-адрес + номер порта) определяет службу, которая запущена на данном компьютере, т. е. наличие ответа на попытку TCP соединения по данному порту означает функционирование сервиса или демона, запущенного на атакуемом узле. Таким образом, можно собрать данные о службах, запущенных на узле-жертве и, возможно, об операционной системе и ее версии. А далее, зная соответствующие уязвимости в этих службах, злоумышленник может проникнуть на удаленный хост и получить права на доступ в систему. Для сканирования портов существует специальное программное обеспечение, которое работает без участия человека (например, ночью) и может быть легко загружено с известных хакерских сайтов.
Предположим, модем работает всего лишь в режиме приема-передачи файлов на уровне, ниже сетевого, не используя схему TCP/IP. Ошибочным может быть cделать вывод, что его работа не представляет опасности для организаций. Следует принять во внимание, что некое устройство (в данном случае модем с соответствующим программным обеспечением), основываясь на своих алгоритмах (известных в том числе и злоумышленникам), не всегда учитывая вопросы безопасности, складывает на компьютер в информационной сети предприятия (а возможно и отсылает во вне) некую информацию. Это происходит автоматически, без участия человека. Не существует стопроцентной уверенности, что программное обеспечение для модема разработано без уязвимостей.
После проведения сканирования, когда атакующий знает, что и как работает в атакуемой системе, начинается наиболее интеллектуальная часть работы хакера. Многие сервисы и операционные системы имеют известные уязвимости и, если администратор или специалист по безопасности атакуемой сети не позаботился об устранении, то атакующий сможет ими воспользоваться.
Например, большинство операционных систем имеет установленные производителем административные счета с большими правами, с известными паролями по умолчанию. Если никто не позаботился об их удалении или отключении (или хотя бы изменении пароля), ими можно воспользоваться. Другой широко известный пример — установка полного доступа для всех на каждый новый разделяемый каталог в сети в Windows 9x и NT-системах.
Кроме этого, прикладные программы могут иметь известные уязвимости. Примеров можно приводить огромное количество, начиная от уязвимости программы bdmail, использованной еще червем Морриса, до спецсимволов в URL для некоторых интернет-браузеров.
Во второй главе данного проекта рассматривается атака типа сканирование портов. Она состоит из четырех частей. В первой части идет описание протоколов, с помощью которых возможно реализовать атаку. Основными является протоколы TCP и UDP. Приводятся сведения о том, как выглядит формат заголовка пакета, какие содержит поля, и какие данные в них передаются.
Во второй части следует описание методов сканирования портов. Для удобства классификации все методы разделены на две группы: методы открытого сканирования и методы “невидимого” сканирования. Исследуя методы, приводится информация о том, в чем каждый из них заключается, как выглядит отсылаемый пакет, какую информацию он в себе несет и что возвращается обратно от сканируемого объекта. Приводятся данные о том, как обойти защиту систем обнаружения атак и брандмауэров.
В третьей части приводятся примеры атак, с помощью различных программных средств под управлением операционных систем семейства Windows и Unix. С помощью программы-анализатора пакетов наглядно показывается работа сканера портов. Подбирается наиболее оптимальный сканер пакетов, который отображает полную информацию, передаваемую в сеть. Дается описание возможностей данных программных продуктов и их настроек.
Четвертая часть содержит сведения о том, каким существуют пути организации защиты от сканирования портов. Приводится информация о существующих методах и средствах по противодействию данной угрозе. Дано описание некоторых программных средств, позволяющих обнаружить и подавить атаку.
С увеличением зависимости мировой экономики и государственных структур от Интернет, возрастает и уровень риска, связанного с осуществлением сетевых атак на ресурсы сетей, подключенных к Интернет. Осуществление атак через сеть Интернет становиться мощным средством ведения информационных войн.
Основной особенностью любой сетевой системы является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т. п.) и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы (ВС), передаются по сетевым соединениям в виде пакетов обмена.
Анализатор сетевого трафика - основное средство для сетевого хакера. Анализатор сетевого трафика по своей сути является сетевым отладчиком.
Основной особенностью распределенной ВС является то, что ее объекты распределены в пространстве и связь между ними физически осуществляется по сетевым соединениям и программно - при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами РВС, передаются по сетевым соединениям в виде пакетов обмена. Эта особенность привела к появлению специфичного для распределенных ВС типового удаленного воздействия, заключающегося в прослушивании канала связи (анализом сетевого трафика).
Анализ сетевого трафика позволяет, во-первых, изучить логику работы распределенной ВС, то есть получить взаимно однозначное соответствие событий, происходящих в системе, и команд, пересылаемых друг другу ее объектами, в момент появления этих событий. Это достигается путем перехвата и анализа пакетов обмена на канальном уровне.
Во-вторых, анализ сетевого трафика позволяет перехватить поток данных, которыми обмениваются объекты распределенной ВС. Таким образом, удаленная атака данного типа заключается в получении на удаленном объекте несанкционированного доступа к информации, которой обмениваются два сетевых абонента. При этом отсутствует возможность модификации трафика и сам анализ возможен только внутри одного сегмента сети. Примером перехваченной при помощи данной типовой удаленной атаки информации могут служить имя и пароль пользователя, пересылаемые в незашифрованном виде по сети.
По характеру воздействия анализ сетевого трафика является пассивным воздействием. Осуществление данной атаки без обратной связи ведет к нарушению конфиденциальности информации внутри одного сегмента сети на канальном уровне OSI.
В сети Internet основными базовыми протоколами удаленного доступа являются TELNET и FTP (File Transfer Protocol). TELNET - это протокол виртуального терминала (ВТ), позволяющий с удаленных хостов подключаться к серверам Internet в режиме ВТ. FTP - протокол, предназначенный для передачи файлов между удаленными хостами. Для получения доступа к серверу по данным протоколам пользователю необходимо пройти на нем процедуру идентификации и аутентификации. В качестве информации, идентифицирующей пользователя, выступает его идентификатор (имя), а для аутентификации используется пароль.
Особенностью протоколов FTP и TELNET является то, что пароли и идентификаторы пользователей передаются по сети в открытом, незашифрованном виде. Таким образом, необходимым и достаточным условием для получения удаленного доступа к хостам по протоколам FTP и TELNET являются имя и пароль пользователя.
Одним из способов получения паролей и идентификаторов пользователей в сети Internet является анализ сетевого трафика. Сетевой анализ осуществляется с помощью специальной пpогpаммы-анализатоpа пакетов (сниффера), перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатоp пользователя и его паpоль. Сетевой анализ протоколов FTP и TELNET показывает, что TELNET разбивает пароль на символы и пересылает их по одному, помещая каждый символ из пароля в соответствующий пакет, а FTP, напротив, пересылает пароль целиком в одном пакете.
Были разработаны различные протоколы обмена, позволяющие защитить сетевое соединение и зашифровать трафик (например, протоколы SSL, SKIP и т. п.).
Вся проблема состоит в том, что для того, чтобы они стали стандартом, на эти протоколы должны перейти все пользователи сети, но, так как в Internet отсутствует централизованное управление сетью, то процесс перехода на эти протоколы может длиться еще многие годы. А на сегодняшний день подавляющее большинство пользователей используют стандартные протоколы семейства TCP/IP. анализ сетевого трафика в сети Internet успешно пpименялся кракерами в последние годы, и, согласно матеpиалам специального комитета пpи конгpессе США, с его помощью в 1993-1994 годах было пеpе-хвачено около миллиона паpолей для доступа в различные информационные системы.Результат этой атаки во-первых, выяснение логики работы распределенной ВС и, во-вторых, перехват потока информации, которой обмениваются объекты системы.
К программно-аппаратным средствам обеспечения информационной безопасности средств связи в вычислительных сетях относятся:
- аппаратные шифраторы сетевого трафика;
- защищенные сетевые криптопротоколы;
- программно-аппаратные анализаторы сетевого трафика;
Внедрение ложного доверенного объекта возможно из-за недостаточной защищенности маршрутизирующих и управляющих протоколов, что позволяет осуществлять навязывание ложных маршрутов при прохождении сообщения при помощи удаленной модификации служебных пакетов, передаваемых в рамках протоколов маршрутизации. С другой стороны, при таких атаках используется тот факт, что в глобальных распределенных системах часто приходится сталкиваться с недостатком информации необходимой для адресации сообщений. Для получения подобной информации в распределенных сетях используются различные алгоритмы удаленного поиска, заключающиеся в передаче по сети специального вида поисковых запросов, и в ожидании ответов на запрос с искомой информацией. После получения ответа на запрос, запросивший субъект обладает всеми необходимыми данными для адресации. Руководствуясь полученными из ответа сведениями об искомом объекте, запросивший субъект начинает адресоваться к нему. В IP-сетях данную проблему решают протоколы удаленного поиска, такие как ARP и DNS.
Идея реализации ложного DNS-сервера достаточно проста - прослушивание по сети DNS-запроса и формирование ложного DNS- ответа. При этом вместо искомого IP-адреса в ответе на запрос подставляется адрес ложного IP-сервера. Воплощение этой идеи возможно по двум причинам:
- во-первых, в силу существования определенной иерархии DNS-серверов (для больших сетей она может быть весьма большой и неизвестной) время выполнения DNS -запроса может существенно превышать время обработки прослушанного запроса и посылки ответа ложным DNS-сервером;
- во-вторых, если первичный DNS-сервер не нашел искомое имя у себя, то он пересылает DNS-запрос следующему DNS-серверу, и т.д.
Для адресации в сети Ethernet используется протокол ARP, который позволяет установить взаимнооднозначное соответствие адресов IP и Ethernet. Идея подмены маршрутизатора основана на свойствах реализации протокола ARP. Любая рабочая станция, подключаясь к сети, рассылает широковещательный ARP-запрос для получения Ethernet-адресов. Прослушивая сеть, ложный маршрутизатор выдает в сеть ARP-ответ, в котором указывает свой Ethernet-адрес. Реализация этой подмены возможна в силу того, что все станции, получившие ARP- запрос, сначала заносят Ethernet-адрес рабочей станции в свои ARP- таблицы, а затем посылают ответ.
Для осуществления атаки навязывание ложного маршрута с использованием протокола ICMP необходимо подготовить ложное ICMP Redirect Host сообщение, в котором указать конечный IP-адрес маршрута (адрес хоста, маршрут к которому будет изменен) и IP-адрес ложного маршрутизатора. Далее это сообщение передается на атакуемый хост от имени маршрутизатора. Для этого в IP-заголовке в поле адреса отправителя указывается IP-адрес маршрутизатора. Можно предложить два варианта данной удаленной атаки.
В первом случае атакующий находится в том же сегменте сети, что и цель атаки. Тогда, послав ложное ICMP-сообщение, он в качестве IP-адреса нового маршрутизатора может указать либо свой IP-адрес, либо любой из адресов данной подсети. Это даст атакующему возможность изменить маршрут передачи сообщений, направляемых атакованным хостом на определенный IP-адрес, и получить контроль над трафиком между атакуемым хостом и интересующим атакующего сервером. После этого атака перейдет во вторую стадию, связанную с приемом, анализом и передачей пакетов, получаемых от «обманутого» хоста.
В случае осуществления второго варианта удаленной атаки атакующий находится в другом сегменте относительно цели атаки. Тогда, в случае передачи на атакуемый хост ложного ICMP Redirect сообщения, сам атакующий уже не сможет получить контроль над трафиком, так как адрес нового маршрутизатора должен находиться в пределах подсети атакуемого хоста. Поэтому использование данного варианта этой удаленной атаки не позволит атакующему получить доступ к передаваемой по каналу связи информации. Однако в этом случае атака достигает другой цели: нарушается работоспособность хоста. Атакующий с любого хоста в Internet может послать подобное сообщение на атакуемый хост и в случае, если сетевая ОС на данном хосте не проигнорирует данное сообщение, то связь между данным хостом и указанным в ложном ICMP-сообщении сервером будет нарушена. Это произойдет из-за того, что все пакеты, направляемые хостом на этот сервер, будут отправлены на IP-адрес несуществующего маршрутизатора.
Внедрив ложных объект, атакующий меняет маршрут прохождения трафика между легальными пользователями, получая тем самым полный контроль над проходящим через него потоком данных, который он может модифицировать.
По сути, эта атака, является начальным этапом для реализации других атак на компьютерные системы. Например, для реализации в одной из самых сложных для отражения атак - DoS-атак. В ней нападающие стремятся забить пропускной канал жертвы, и заставить ее потреблять большее количество ресурсов, выводя ее из строя. Тем самым взломщикам не нужно беспокоиться о правильном заполнении sequence и acknowledgement полей пакетов. Для того чтобы максимально продлить время атаки, они подменяют исходные IP адреса, что делает сложным отслеживание и остановку атаки.
Таким образом, атака по внедрению ложного доверенного объекта является одной из ключевых атак, с помощью, которой осуществляются и другие еще более опасные атаки, принося огромные убытки владельцам компьютерных систем.
В четвертой главе данного проекта рассматривается атака- внедрение ложного доверенного объекта. Она состоит из 3 основных частей. В первой части рассматриваются особенности атаки внедрение ложного доверенного объекта.
Вторая часть посвящена атакам по внедрению ложного доверенного объекта основанных на недостатках алгоритмов удаленного поиска. В ней рассматриваются протоколы удаленного поиска ARP и DNS, строение, алгоритмы работы и проблемы при их использовании. Также в этой части приводятся примеры атак внедрения ложного доверенного объекта, методы обнаружения и противодействия.
В третьей части рассматривается атака по внедрению ложного доверенного объекта путем навязывания ложного маршрута. В частности навязывание хосту ложного маршрута с использованием протокола ICMP и общие сведения о протоколе ICMP.
Методы исследования. В процессе работы использовались общенаучные и частнонаучные методы исследования. Среди общенаучных методов в наибольшей степени использовался диалектический метод. Из естественно научных в основном использовался логико-лингвистический метод для описания моделей атак. А также методы сравнительного анализа и синтеза.
В данном пособии рассмотрены логико-лингвистические модели атак на основе внедрения ложного доверенного объекта. Проведены возможные виды атак при помощи программных средств, будут раскрыты основные недостатки протоколов, за счет которых могут быть реализованы описанные атаки. Исследованы основные способы обнаружения и противодействия атакам внедрения ложного доверенного объекта.
В последние годы реализация атак вызывающих отказ в обслуживании приводит к опустошительному хаосу в Internet. Ежегодно атаки DoS (Denial of Service — отказ в обслуживании) стоят различным компаниям миллионы долларов и таят в себе серьезную угрозу для любой системы или сети. И как результат, длительные простои системы, потерянная прибыль, большие объемы работ по идентификации атак и подготовка адекватных ответных мер. По существу, атака DoS нарушает или полностью блокирует обслуживание легитимных пользователей, сетей, систем или других ресурсов.
Одной из таких атак оказались подвержены несколько известных Web-узлов, таких как Yahoo, eBay, Buy.com, CNN.com, E*TRADE, ZDNet и PANIX, что привело к их кратковременной неработоспособности. Требуемые контрмеры, а также восстановление работоспособности удалось осуществить лишь через несколько дней. Эти атаки из-за присущей им жестокости были сразу же охарактеризованы как распределенные атаки DoS (Distributed DoS), последствия которых являются гораздо более разрушительными, чем результаты обычных атак DoS.
Большинство подобных атак базировалось на использовании изъяна в основном протоколе Internet (TCP/IP), в частности на способе обработки системами запросов SYN. Эта ситуация усугублялась еще тем, что взломщики, чтобы сохранить свою анонимность, использовали ложные исходные адреса.
Таким образом, значительно затруднялось выявление реальных злоумышленников. Эти события оказали огромное влияние на сообщество Internet и еще раз подчеркнули несостоятельность применяемых в глобальной сети технологий обеспечения безопасности. Хотя уже несколько лет назад подобные атаки были теоретически предсказаны, только в настоящее время можно оценить всю опасность деловой активности в Век Информатизации.
Также атаки вызывающие отказ в обслуживании, могут быть использованы как этап реализации более сложной атаки. Как известно многим администраторам системы Windows NT, к сожалению, для вступления в силу внесенных изменений ее нужно перезагрузить. Таким образом, после внесения изменений в параметры NT, которые в будущем позволят взломщику получить привилегии администратора, он должен вызвать крах системы с ее последующей перезагрузкой. Несмотря на то что эта ситуация должна привлечь внимание администраторов, большинство из них не обращают на нее никакого внимания и без особых раздумий перезагружают систему.
К сожалению, атаки DoS становятся мощным оружием террористов киберпространства, что свидетельствует о наступлении нового электронного тысячелетия. Зачастую гораздо проще нарушить функционирование сети или системы, чем на самом деле получить к ней доступ. Сетевой протокол типа TCP/IP был разработан для применения в открытом и доверенном сообществе пользователей, и его текущая версия 4 унаследовала все слабые стороны своих предшественниц. Кроме того, многие операционные системы и сетевые устройства имеют различные изъяны в используемой реализации сетевого стека, что значительно снижает их способность противостоять атакам DoS. Поскольку для реализации атак DoS существует много средств, очень важно идентифицировать их типы, а также разобраться с тем, как выявить и предотвратить эти атаки.
В 1999 года концепция распределенных атак DoS была не более чем предположением. А сейчас разговор о компьютерах без упоминания фразы "распределенная атака DoS" (DDoS — Distributed Denial of Service) можно считать неполным. Как и вирусы, появляющиеся в Internet как сорная трава, атаки DDoS привлекают все большее внимание средств массовой информации.
В феврале 2000 года была предпринята первая массированная атака DDoS. Сначала ей подвергся Web-сервер Yahoo, а затем ETRADE, eBay, buy.com, CNN.com и другие серверы. В результате было нарушено функционирование семи общеизвестных Web - узлов. Некоторые склонны считать, что эта атака была инициирована группой опытных хакеров, которые решили удовлетворить свои низменные желания за счет простых пользователей Internet, однако это не совсем так. Верно как раз обратное.
Атаки, направленные на насыщение полосы пропускания, являются наиболее жестокими из-за их способности захвата трафика. Атаки с захватом ресурсов уже используются многие годы, и взломщики продолжают применять их с большим успехом. Бреши в программном обеспечении особенно популярны у взломщиков, поскольку сложность реализации стека протокола IP и связанных с ним программ постоянно повышается. И, наконец, атаки на службу DNS и механизм маршрутизации чрезвычайно эффективны при использовании унаследованных изъянов важнейших служб, являющихся фундаментом Internet. Некоторые эксперты по вопросам безопасности считают, что теоретически вполне возможно инициировать атаку DoS на Internet, если через протокол ВОР воспользоваться данными о маршрутах. Этот протокол интенсивно применяется большинством магистральных провайдеров.
Стремительно возрастает популярность распределенных атак DoS, поскольку необходимые для этого средства становятся абсолютно доступны, и для их использования не требуется никаких особых знаний. Эти атаки являются наиболее разрушительными, так как при этом быстро "захватываются" даже большие узлы Internet, которые становятся абсолютно неработоспособными.
Ввиду того, что электронная коммерция продолжает играть основную роль в электронном мире, воздействие атак DoS на электронное сообщество будет все время возрастать. В настоящее время многие организации начали получать свои доходы от предоставления интерактивных ресурсов и сервисов. В результате распределенная атака DoS может привести некоторые из них к банкротству. Что еще более важно, так это возможности сокрытия, которые в каждой атаке используются в полной мере. И наконец, не забывайте о том, что атаки DoS применяются и в милитаристских целях. Многие правительства планируют или уже приступили к разработке приемов ведения электронных войн, в которые вовлечены атаки DoS, а не обычные ракеты. Поистине пришло время кибертерроризма.
Пятая глава работы будет состоять из шести разделов.
В первом разделе описывает особенности атак вызывающих отказ в обслуживании. Выделяются основные цели для нападения злоумышленника. Рассматриваются реально реализованные атаки на сервис Интернета.
Во втором разделе описываются модели DoS и DDoS – атак. Рассматриваются алгоритмы реализации атак, с указанием на слабые места протоколов межсетевого взаимодействия. На практике описывается поэтапная схема проведение DoS – атаки. Подробно изучаются пакеты, которыми обмениваются злоумышленник и жертва. Отслеживается состояние памяти, загрузки центрального процессора машины жертвы в разные моменты времени и при различной интенсивности атаки. Сравниваются эффективность различных атак, при разнообразных условиях: атакуемая система с запущенной службой FireWall. Отслеживается момент выхода системы из строя.
Третий раздел описывает системы обнаружения и противодействия сетевым вторжениям. Исследуются современные методы обнаружения и противодействия атакам, вызывающим отказ в обслуживании.