- •2006 Содержание
- •Слайд 3 Типы адресов: физический (mac-адрес), сетевой (ip-адрес) и символьный (dns-имя)
- •Mac – адреса
- •3 Байта
- •Десятичная нотация.
- •10000000 00001010 00000010 00011110
- •128.10.2.30
- •КлассыIPадресов
- •Адреса описывают сетевые соединения
- •Сетевые и широковещательные адреса
- •Ограниченное широковещание (limitedbroadcast)
- •1, 1 1 1 1 .........................................1 1
- •Групповая адресация (multicast)
- •Преимущества кодирования информации о сети в межсетевых адресах:
- •Направленное широковещание
- •Ограниченный широковещательный адрес или локальный сетевой широковещательный адрес
- •Интерпретация нуля как символа "это"
- •Групповая адресация
- •Dns имя
- •Недостатки адресации Интернета
- •Отображение адресов
- •Отображение физических адресов на ip-адреса: протоколы arp и rarp
- •Протокол arp
- •Принцип работы:
- •Arp-таблица для преобразования адресов
- •Arp кэш.
- •Порядок преобразования адресов
- •Продолжение преобразования адресов
- •Определение межсетевого адреса при начальной загрузке (rarp)
- •Протокол обратного разрешения адресов(rarp)
- •Повторение rarp
- •Реализация rarp сервера
- •Отображение символьных адресов на ip-адреса: служба dns
- •Автоматизация процесса назначения ip-адресов узлам сети - протокол dhcp
- •Недостатки адресации Интернета
- •Ложный arp-сервер в сети Internet
- •Ложный dns-сервер в сети Internet
- •Перехват dns-запроса
- •Дополнительная информация, не вошедшая в основную лекцию Направленный шторм ложных dns-ответов на атакуемый хост
- •Перехват dns-запроса или создание направленного шторма ложных dns-ответов на dns-сервер
- •Литература:
Дополнительная информация, не вошедшая в основную лекцию Направленный шторм ложных dns-ответов на атакуемый хост
Другой вариант осуществления удаленной атаки - внедрение в сеть Internet ложного сервера путем создания направленного шторма ложных DNS-ответов на атакуемый хост - основан на второй разновидности типовой атаки "ложный объект РВС" (при использовании недостатков алгоритмов удаленного поиска). В этом случае кракер осуществляет постоянную передачу на атакуемый хост заранее подготовленного ложного DNS-ответа от имени настоящего DNS-сервера без приема DNS-запроса. Другими словами, атакующий создает в сети Internet направленный шторм ложных DNS-ответов. Это возможно, так как обычно для передачи DNS-запроса используется протокол UDP, в котором отсутствуют средства идентификации пакетов. Сетевая ОС хоста предъявляет следующие требования к полученному от DNS-сервера ответу: IP-адрес отправителя ответа должен совпадать с IP-адресом DNS-сервера, а имя в DNS-ответе - с именем в DNS-запросе; кроме того, DNS-ответ следует направить на тот же UDP-порт, с которого было послано сообщение (в данном случае это первая проблема для взломщика), и поле идентификатора запроса (ID) в заголовке DNS-ответа должно содержать то же значение, что и в переданном запросе (а это вторая проблема).
Так как атакующий не имеет возможности перехватить DNS-запрос, основную проблему для него представляет номер UDP-порта, с которого этот запрос был послан. Однако, как было отмечено ранее, номер порта отправителя принимает ограниченный набор значений (>= 1023), поэтому атакующему достаточно действовать простым перебором, направляя ложные ответы на соответствующий перечень портов. На первый взгляд, второй проблемой может стать двухбайтовый идентификатор DNS-запроса, но он либо равен единице, либо, в случае DNS-запроса, например от Netscape Navigator, имеет значение близкое к нулю (один запрос - ID увеличивается на 1).
Поэтому для осуществления данной удаленной атаки взломщику необходимо выбрать интересующий его объект (например, сервер top.secret.com). маршрут к которому требуется изменить так, чтобы он проходил через ложный сервер - хост кракера. Это достигается постоянной передачей (направленным штормом) ложных DNS-ответов на соответствующие UDP-порты атакуемого объекта. В этих ложных DNS-ответах в качестве IP-адреса хостаtop.secret.comуказывается IP-адрес атакующего. Далее атака развивается по следующей схеме. Как только атакуемый обратится по имени к хостуtop.secret.com, то от данного хоста в сеть будет передан DNS-запрос, который атакующий никогда не получит. Однако кракеру этого и не требуется, так как на объект атаки сразу же поступит постоянно передаваемый ложный DNS-ответ, что и будет воспринято ОС атакуемого хоста как настоящий ответ от DNS-сервера. Все! Атака состоялась, и теперь жертва будет передавать все пакеты, предназначенные дляtop.secret.com, на IP-адрес хоста взломщика, который, в свою очередь, будет переправлять их наtop.secret.com, воздействуя на перехваченную информацию по схеме "ложный объект РВС".
Конечно, условием успеха этой атаки будет получение объектом атаки ложного DNS-ответа ранее настоящего ответа от ближайшего DNS-сервера. Поэтому для повышения вероятности ее успеха желательно нарушить работоспособность ближайшего DNS-сервера (например, путем создания направленного шторма UDP-запросов на 53-й порт).
Внедрение в Internet ложного сервера путем создания направленного шторма ложных DNS-ответов на атакуемый хост
Рассмотрим функциональную схему предложенной удаленной атаки на службу DNS:
Постоянная передача кракером ложных DNS-ответов на различные UDP-порты атакуемого хоста и, возможно, с различными ID от имени (с IP-адреса) настоящего DNS-сервера с указанием имени интересующего хоста и его ложного IP-адреса, которым будет являться IP-адрес ложного сервера - хоста атакующего.
В случае получения пакета от хоста - изменение в IP-заголовке пакета его IP-адреса на IP-адрес атакующего и передача пакета на сервер (то есть ложный сервер ведет работу с сервером от своего имени - со своего IP-адреса).
В случае получения пакета от сервера - изменение в IP-заголовке пакета его IP-адреса на IP-адрес ложного сервера и передача пакета на хост (для хоста ложный сервер и есть настоящий сервер).
Таким образом, реализация данной удаленной атаки, использующей пробелы в безопасности службы DNS, позволяет из любой точки сети Internet нарушить маршрутизацию между двумя заданными объектами (хостами). Такая атака осуществляется межсегментно по отношению к цели атаки и угрожает безопасности любого хоста Internet, использующего обычную службу DNS.