2020-04-12
161
| Для перехвата пакетов используются специальные программы (packet sniffer) которые переводят сетевую карту в «беспорядочный» режим работы для захвата всех пактов, передаваемых в сети. Такой способ разведки может проводиться, если атакующий находится в одном домене коллизий с атакуемыми ресурсами. Информация, полученная с помощью перехвата, может использоваться для подготовки других типов сетевых атак или кражи информации. Существует два типа средств перехвата. Средства захвата пакетов. Устанавливаются в широковещательном домене и требуют наличия сетевой карты, работающей в беспорядочном режиме. Анализаторы протоколов. Программное обеспечение, устанавливаемое в соответствующем узле или специализированном тестовом оборудовании. | Картинка из 1.27, комп зах пакетов и анал прот мигают. Рис 1.28. анимация |
Разведка. Интернет запрос, развертка ping, сканирование портов
| Информационный Интернет запрос(Internet information queries) может предоставить информацию о том, кто является собственником отдельного домена и какой адрес имеет данный домен или кому принадлежит IP -адрес и с каким доменом он связан. На основании этой информации можно переходить к проверке адресов домена. Развертка ping (ping sweep) является основным средством автоматического сканирования действующих IP-адресов сети. Развертка ping сканирует диапазон IP-адресов и строит карту сети. Результаты могут применяться для определения вектора атаки. При выполнении развертки ping генерируются запросы «ICMP echo requests» (Internet Control Message Protocol —протокол контроля сообщений в сети Internet) на множество узлов. Если адрес используется, то придет сообщение «ICMP echo reply». Для сбора дополнительной информации могут использоваться запросы ICMP Timestamp, ICMP Address Mask, ICMP Information Request. Сканирование портов. После определения действующего IP -адреса в сети можно выполнить сканирование портов для определения доступных служб и приложений. Программа сканирования портов проверяет заданный диапазон портов TCP или UDP. При этом, наибольший интерес представляют сетевые службы типа Telnet, FTP, HTTP. Для скрытия процесса сканирования применяется фрагментация пакетов и установка битов SYN и FIN в заголовках TCP. | Картинка из 1.27, комп раз ping скан порт мигает. Рис 1.29. анимация |
Методы противодействия атакам разведки.
| На этапе выявления целей можно отключить ответы на команды типа finger (запрос информации о пользователе) и nslookup (обращение к системе DNS) в маршрутизаторах и узлах сети. Развертка ping блокируется с помощью о тключения ответа на команды ping. Для предотвращения сканирования портов необходимо отключить неиспользуемые службы на маршрутизаторах и узлах сети. На все отключенные средства настроить систему обнаружения вторжений для выявления попыток несанкционированных действий. Меры предотвращения перехвата носят организационный характер и состоят из следующих частей: Ограничение физического доступа к сетевому оборудованию для исключения размещения анализаторов протокола. Предотвращение несанкционированного доступа к узлам для исключения размещения средств захвата пакетов. Использование в ключевых точках сети сетевых карт, которые нельзя переключить в беспорядочный режим работы. Использование программного обеспечения типа cpm и ifstatus для определения интерфейсов, работающих в беспорядочном режиме. Применение шифрования данных для защиты содержимого пакетов при передаче через незащищенные сети. | Выявление целей - отключить ответы на команды типа finger и nslookup Развертка ping - о тключение ответа на команды ping. Сканирование портов - отключить неиспользуемые службы. Перехват - организационный характер. Рис 1.30 |
Несанкционированный доступ
| Атаки несанкционированного доступа используют известные уязвимые места в службах аутентификации, закрытых базах данных, сервисах WEB и FTP. Существует много способов выполнения этой атаки. Рассмотрим основные. Парольная атака – атакующий пытается получить пароль доступа в систему с помощью специального словаря для подбора паролей (словарная атака). Доверительный доступ (Trust exploitation) – атакующий не имеет пароля на доступ к системе, но получил доступ к узлу Х, который имеет пароль. В результате, злоумышленник получает пароль узла Х, который нелегально использует для доступа к системе. Перенаправление портов (Port redirection) – это разновидность атаки доверительного доступа. Например, на firewall открыт порт 45, а надо получить доступ к сервису FTP (порт 21). Атакующий получает доступ к узлу Х внутри системы и устанавливает программу перенаправления портов. После этого, на узел X выполняется запрос по порту 45, на узле происходит перенаправление запроса на сервер на порт 21. Перенаправление ответа происходит в обратном порядке. Атака «человек по середине» (Man-in-the-middle attack) – атакующий размещается между двумя легальными узлами и читает или изменяет данные, которыми обмениваются эти узлы. Атака переполнения буфера – Программы часто пишутся на языке C или C++. Атакующий превышает размер буфера программы, что приводит к необходимости перезаписи данных. В этот момент туда можно внедрить вредоносный код. | Парольная атака Доверительный доступ Перенаправление портов Человек по середине. Переполнение буфера Рис 1.31. |
