Мрежова сигурност и мрежови атаки Добре дошли! Атанас БъчваровВасил КолевГеорги Чорбаджийски Николай НедялковПетър ПенчевСветлин Наков Климентови дни в СУ "Св. Климент Охридски" –

2 Относно настоящата лекция Настоящата демонстрационна лекция е част от курса Мрежова сигурност, четен във ФМИ на СУНастоящата демонстрационна лекция е част от курса Мрежова сигурност, четен във ФМИ на СУ Обхваща темата Мрежови атаки върху datalink, network и transport слоевете от OSI мрежовия моделОбхваща темата Мрежови атаки върху datalink, network и transport слоевете от OSI мрежовия модел Лектори ще бъдат експерти от екипа на курса Мрежова сигурностЛектори ще бъдат експерти от екипа на курса Мрежова сигурност

3 Лектори Атанас Бъчваров Системен и мрежов администраторСистемен и мрежов администратор Системен програмистСистемен програмист Състезател по информатикаСъстезател по информатика Специалист по UNIX OS. Занимава се с UNIX от 1994 (System V/286)Специалист по UNIX OS. Занимава се с UNIX от 1994 (System V/286) Старши системен администратор в голяма българска компанияСтарши системен администратор в голяма българска компания Проектирал и изградил мрежовата и инфраструктура и много вътрешни решенияПроектирал и изградил мрежовата и инфраструктура и много вътрешни решения

4 Лектори Васил Колев Програмист и състезател по информатика от 1992Програмист и състезател по информатика от 1992 Системен и мрежов администратор от 1996Системен и мрежов администратор от 1996 Приет за студент във ФМИ от олимпиада по информатикаПриет за студент във ФМИ от олимпиада по информатика Технически директор в Internet компания от 2001Технически директор в Internet компания от 2001

5 Лектори Георги Чорбаджийски Системен и мрежов администратор от 1996Системен и мрежов администратор от 1996 Технически директор и съдружник в Unix Solutions –Технически директор и съдружник в Unix Solutions – Компанията е основен технически консултант и изпълнител по проекта за изграждане на оптична (MAN) мрежа в гр. София и странатаКомпанията е основен технически консултант и изпълнител по проекта за изграждане на оптична (MAN) мрежа в гр. София и страната Член на "Сдружение свободен софтуер"Член на "Сдружение свободен софтуер"

6 Лектори Петър Пенчев Програмист от 1995, един от разработчиците на операционната система FreeBSDПрограмист от 1995, един от разработчиците на операционната система FreeBSD Системен и мрежов администратор от 1998Системен и мрежов администратор от 1998 Проектирал и изградил националната мрежова инфраструктура на Office 1 SuperstoreПроектирал и изградил националната мрежова инфраструктура на Office 1 Superstore Участвал в проектирането и изграждането на dial-up системата на 0rbitelУчаствал в проектирането и изграждането на dial-up системата на 0rbitel

7 Лектори Светлин Наков Консултант по разработка на софтуерКонсултант по разработка на софтуер Състезател по информатика от 1992Състезател по информатика от 1992 Медалист от няколко международни олимпиади по информатикаМедалист от няколко международни олимпиади по информатика Приет за студент във ФМИ от олимпиадаПриет за студент във ФМИ от олимпиада Автор на десетки статии в български и чуждестранни издания, свързани с алгоритми, софтуерни технологии и мрежова сигурностАвтор на десетки статии в български и чуждестранни издания, свързани с алгоритми, софтуерни технологии и мрежова сигурност Хоноруван преподавател в ФМИ на СУХоноруван преподавател в ФМИ на СУ Спечелил стипендията Джон Атанасов за високи постижения в компютърните наукиСпечелил стипендията Джон Атанасов за високи постижения в компютърните науки

8 Лектори Николай Недялков Програмист и състезател по информатика от 1995Програмист и състезател по информатика от 1995 Спечелил студентски права от олиампиадата по информатикаСпечелил студентски права от олиампиадата по информатика Проектирал и реализирал инфраструктурата за сигурност по проекти на български министерства и чужди компанииПроектирал и реализирал инфраструктурата за сигурност по проекти на български министерства и чужди компании Организатор на курсовете Мрежова сигурност във ФМИ през 2002 и 2003Организатор на курсовете Мрежова сигурност във ФМИ през 2002 и 2003

9 За курса Мрежова сигурност Курсът Мрежова сигурност е изборна дисциплина към ФМИ на СУКурсът Мрежова сигурност е изборна дисциплина към ФМИ на СУ Целта на курса е да запознае аудиторията с:Целта на курса е да запознае аудиторията с: Основните принципи за сигурност в локални мрежи и ИнтернетОсновните принципи за сигурност в локални мрежи и Интернет Основните протоколи и услуги, използвани в компютърните мрежи и тяхната сигурностОсновните протоколи и услуги, използвани в компютърните мрежи и тяхната сигурност Начини за защита на компютърни мрежи и предпазване от евентуални атакиНачини за защита на компютърни мрежи и предпазване от евентуални атаки Курсът е най-предпочитаната изборна дисциплина във факултетаКурсът е най-предпочитаната изборна дисциплина във факултета Избран е от повече от 500 студента!Избран е от повече от 500 студента!

10 План на лекцията Въведение. Цели на демонстрацията. Необходими знания и уменияВъведение. Цели на демонстрацията. Необходими знания и умения Описание на тестовата мрежова инфраструктураОписание на тестовата мрежова инфраструктура Демонстрация на атаките:Демонстрация на атаките: На datalink слоя – ARP poisoning, SniffingНа datalink слоя – ARP poisoning, Sniffing На network слоя – IPID атаки (idle scan)На network слоя – IPID атаки (idle scan) На transport слоя – TCP kill, TCP nice, SYN flood, Blind TCP spoofingНа transport слоя – TCP kill, TCP nice, SYN flood, Blind TCP spoofing На application слоя – DNS spoofНа application слоя – DNS spoof Дискусия – веднага след демонстрациитеДискусия – веднага след демонстрациите

11 Въведение Цели на демонстрациятаЦели на демонстрацията Запознаване с често срещани атаки върху datalink, network и transport слоевете от OSI мрежовия моделЗапознаване с често срещани атаки върху datalink, network и transport слоевете от OSI мрежовия модел Необходими знания и уменияНеобходими знания и умения Основни познания по компютърни мрежи и протоколите TCP/IPОсновни познания по компютърни мрежи и протоколите TCP/IP Не злоупотребявайте!Не злоупотребявайте! Демонстрацията на атаките е изключително и само с учебна целДемонстрацията на атаките е изключително и само с учебна цел Не злоупотребявайте с придобитите знанияНе злоупотребявайте с придобитите знания

12 Tестова мрежова инфраструктура Разполагаме с 4 компютъра, свързани в локална мрежа посредством switch:Разполагаме с 4 компютъра, свързани в локална мрежа посредством switch: server – – gateway – DNS, POP3, FTP, WWWserver – – gateway – DNS, POP3, FTP, WWW attacker – attacker – win9x – – SMTPwin9x – – SMTP client – client –

13 План за демонстрациите За всяка атака ще разгледаме:За всяка атака ще разгледаме: Цел на атакатаЦел на атаката Необходими условияНеобходими условия Теоретично обяснениеТеоретично обяснение Схематично представяне и участнициСхематично представяне и участници ИнструментиИнструменти Начини за защитаНачини за защита Проиграване на атаката (на живо)Проиграване на атаката (на живо)

14 Начало на демонстрацията

15 Datalink слой от OSI модела Слоят datalink отговаря за логическата организация на битовете данни, които се прехвърлят по дадена преносна средаСлоят datalink отговаря за логическата организация на битовете данни, които се прехвърлят по дадена преносна среда Например в Ethernet мрежа:Например в Ethernet мрежа: datalink слоят се грижи за изпращане и получаване на Ethernet framesdatalink слоят се грижи за изпращане и получаване на Ethernet frames Адресирането става по MAC адреса на мрежовия адаптерАдресирането става по MAC адреса на мрежовия адаптер Атаките, които работят на datalink слоя, се прилагат в локални мрежиАтаките, които работят на datalink слоя, се прилагат в локални мрежи

16 ARP Poisoning Предварителна подготовкаПредварителна подготовка Разликата между switch и hubРазликата между switch и hub Hub устройствата са най-обикновени повторители – разпращат получените пакети към всичките си портовеHub устройствата са най-обикновени повторители – разпращат получените пакети към всичките си портове Switch устройствата са по-интелигентни и изпращат получените пакети само до порта, на който е свързан техния получателSwitch устройствата са по-интелигентни и изпращат получените пакети само до порта, на който е свързан техния получател

17 ARP Poisoning Цели на атаката:Цели на атаката: Да се промени маршрута на чужд мрежов трафик в Ethernet локална мрежа, така че да преминава през атакуващата машинаДа се промени маршрута на чужд мрежов трафик в Ethernet локална мрежа, така че да преминава през атакуващата машина Подслушване на чужд мрежов трафик (sniffing)Подслушване на чужд мрежов трафик (sniffing) Възможност за промяна на чуждия мрежов трафик, преминаващ през атакуващия (man in the middle)Възможност за промяна на чуждия мрежов трафик, преминаващ през атакуващия (man in the middle) Използва се за осъществяване на много други мрежови атакиИзползва се за осъществяване на много други мрежови атаки

18 ARP Poisoning Необходими условия:Необходими условия: Ethernet локална мрежаEthernet локална мрежа Свързаността може да е чрез hub или switch – за атаката няма значениеСвързаността може да е чрез hub или switch – за атаката няма значение Мрежата трябва да няма ефективна защита срещу тази атака – така е в почти всички Ethernet мрежиМрежата трябва да няма ефективна защита срещу тази атака – така е в почти всички Ethernet мрежи Операционните системи нямат значениеОперационните системи нямат значение В някои операционни системи има някаква защита, но тя е неефективнаВ някои операционни системи има някаква защита, но тя е неефективна

19 ARP Poisoning Теоретично обяснение:Теоретично обяснение: Атакуващият изпраща фалшифицирани (spoofed) ARP пакети към машината жертва и към gateway-а в мрежата и чрез тях отклонява трафика между тях през себе сиАтакуващият изпраща фалшифицирани (spoofed) ARP пакети към машината жертва и към gateway-а в мрежата и чрез тях отклонява трафика между тях през себе си Възможно е да се отклони трафика между произволни две машини от локалната мрежаВъзможно е да се отклони трафика между произволни две машини от локалната мрежа Жертвата не знае, че изпращайки пакети към своя gateway, те преминават първо през атакуващияЖертвата не знае, че изпращайки пакети към своя gateway, те преминават първо през атакуващия

20 ARP Poisoning

21 ARP Poisoning Инструмент за провеждане на атакатаИнструмент за провеждане на атаката arpspoofarpspoof

22 ARP Poisoning Демонстрация на атаката ARP Poisoning

23 ARP Poisoning Начини за защитаНачини за защита Разпознаване на ARP Poisoning атакаРазпознаване на ARP Poisoning атака arparp ping -rping -r traceroutetraceroute Проблем: Атаката може да бъде прикритаПроблем: Атаката може да бъде прикрита

24 ARP Poisoning Начини за защитаНачини за защита Ефективна защита е възможна като се използва managed switch с филтри, който спира подправените ARP пакетиЕфективна защита е възможна като се използва managed switch с филтри, който спира подправените ARP пакети Managed switch-ът знае за всеки порт правилните MAC и IP адреси и не допуска измамиManaged switch-ът знае за всеки порт правилните MAC и IP адреси и не допуска измами Много скъпо устройствоМного скъпо устройство Статична ARP таблица на всички машини в мрежата – трудно за реализация и поддръжкаСтатична ARP таблица на всички машини в мрежата – трудно за реализация и поддръжка

25 ARP Poisoning Разпознаване на ARP Poisoning атакаРазпознаване на ARP Poisoning атака arparp Командата arp показва съдържанието на локалния ARP кеш – съответствието между IP и MAC адресиКомандата arp показва съдържанието на локалния ARP кеш – съответствието между IP и MAC адреси Можем да видим, че няколко машини в локалната мрежа имат еднакъв MAC адресМожем да видим, че няколко машини в локалната мрежа имат еднакъв MAC адрес Проблем: възможно е само в нашата локална мрежаПроблем: възможно е само в нашата локална мрежа Проблем: Атакуващата машина може да няма адрес в локалната мрежаПроблем: Атакуващата машина може да няма адрес в локалната мрежа

26 ARP Poisoning Разпознаване на ARP Poisoning атакаРазпознаване на ARP Poisoning атака ping -rping -r Командата ping -r изпраща ICMP пакети с включен record route флаг в IP хедъраКомандата ping -r изпраща ICMP пакети с включен record route флаг в IP хедъра Можем да видим, че нашият трафик минава през съмнителна машина (при не повече от 8 машини)Можем да видим, че нашият трафик минава през съмнителна машина (при не повече от 8 машини) Проблем: атакуващият може да изключи record route опцията от ядрото си и да стане прозрачен:Проблем: атакуващият може да изключи record route опцията от ядрото си и да стане прозрачен: Премахване на record route опцията от Linux ядрото –Премахване на record route опцията от Linux ядрото – При FreeBSD може да се включи IPSTEALTH опцията на ядротоПри FreeBSD може да се включи IPSTEALTH опцията на ядрото

27 ARP Poisoning Разпознаване на ARP Poisoning атакаРазпознаване на ARP Poisoning атака traceroutetraceroute Командата traceroute проследява пътя на пакетите между две машиниКомандата traceroute проследява пътя на пакетите между две машини Можем да видим, че нашият трафик минава през съмнителна машинаМожем да видим, че нашият трафик минава през съмнителна машина Проблем: атакуващият може да стане прозрачен за traceroute чрез ipt_TTL () или с опцията IPSTEALTH под FreeBSDПроблем: атакуващият може да стане прозрачен за traceroute чрез ipt_TTL ( или с опцията IPSTEALTH под FreeBSD

28 ARP Poisoning Демонстрация на начините за откриване на атаката ARP Poisoning и начините за маскирането и

29 Анализ на чужд мрежов трафик Цели на атаката:Цели на атаката: Да се подслуша чужд мрежов трафик и да се извлече информация от негоДа се подслуша чужд мрежов трафик и да се извлече информация от него Може да се придобие информация, полезна за много други атакиМоже да се придобие информация, полезна за много други атаки Може да се придобие конфиденциална информация (пароли за достъп)Може да се придобие конфиденциална информация (пароли за достъп) Необходими условия:Необходими условия: Локална мрежа, в която да има възможност да се подслушва трафика или трафикът да минава през атакуващияЛокална мрежа, в която да има възможност да се подслушва трафика или трафикът да минава през атакуващия

30 Теоретично обяснениеТеоретично обяснение Ако чуждият мрежов трафик достига по някакъв начин до атакуващия, той може да го подслушаАко чуждият мрежов трафик достига по някакъв начин до атакуващия, той може да го подслуша Инструменти за провеждане на атакатаИнструменти за провеждане на атаката EtherealEthereal arpspoofarpspoof Анализ на чужд мрежов трафик

31 Начини за защита:Начини за защита: Защита в локалната мрежаЗащита в локалната мрежа Не използваме hub-овеНе използваме hub-ове Не допускаме възможност за ARP poisoning атакаНе допускаме възможност за ARP poisoning атака Реална защитаРеална защита Използваме криптографска защита на трафика (VPN, SSL, PGP)Използваме криптографска защита на трафика (VPN, SSL, PGP) Анализ на чужд мрежов трафик

32 Демонстрация на атаката подслушване на чужд трафик по мрежатаДемонстрация на атаката подслушване на чужд трафик по мрежата Анализ на чужд мрежов трафик

33 DNS Spoofing DNS е много важна услуга в ИнтернетDNS е много важна услуга в Интернет Атаката е върху network и application слоевете от OSI мрежовия моделАтаката е върху network и application слоевете от OSI мрежовия модел Цели на атаката:Цели на атаката: Атакуващият се представя за друга машина (например някой Web сървър) и пренасочва трафика за тази машина към себе сиАтакуващият се представя за друга машина (например някой Web сървър) и пренасочва трафика за тази машина към себе си Необходими условия:Необходими условия: Трафикът на жертвата трябва да преминава през машината на атакуващия – например като резултат от ARP spoofing атакаТрафикът на жертвата трябва да преминава през машината на атакуващия – например като резултат от ARP spoofing атака

34 DNS Spoofing Теоретично обяснениеТеоретично обяснение Жертвата изпраща заявка за намиране на IP адреса по името на дадена машинаЖертвата изпраща заявка за намиране на IP адреса по името на дадена машина Атакуващият прихваща заявката и връща неверен отговор (собственото си IP)Атакуващият прихваща заявката и връща неверен отговор (собственото си IP) Жертвата не подозира, че комуникира не с търсената машина, а с атакуващата машинаЖертвата не подозира, че комуникира не с търсената машина, а с атакуващата машина

35 DNS Spoofing

36 DNS Spoofing Инструменти за провеждане на атакатаИнструменти за провеждане на атаката DNSspoofDNSspoof arpspoofarpspoof

37 Начини за защитаНачини за защита Защита в локалната мрежаЗащита в локалната мрежа Не използваме hub-овеНе използваме hub-ове Не допускаме възможност за ARP poisoning атакаНе допускаме възможност за ARP poisoning атака Реална защитаРеална защита Използване на протокола DNSSEC, който има криптографска защитаИзползване на протокола DNSSEC, който има криптографска защита DNS Spoofing

38 DNS Spoofing Демонстрация на атаката DNS Spoofing

39 Network слой от OSI модела Слоят network дефинира по какъв начин чрез последователност от обмяна на frames от datalink слоя могат да се пренасят данни между две машини в мрежаСлоят network дефинира по какъв начин чрез последователност от обмяна на frames от datalink слоя могат да се пренасят данни между две машини в мрежа Например в TCP/IP мрежи network слоят:Например в TCP/IP мрежи network слоят: Е представен от IP протоколаЕ представен от IP протокола Пренася данните като последователност от IP пакетиПренася данните като последователност от IP пакети Адресирането става по IP адресАдресирането става по IP адрес Пакетите могат да се рутират и да преминават през междинни машини по пътя сиПакетите могат да се рутират и да преминават през междинни машини по пътя си Атаките, които работят на network слоя, могат да се прилагат както в локални мрежи, така и в ИнтернетАтаките, които работят на network слоя, могат да се прилагат както в локални мрежи, така и в Интернет

40 IPID Games – Idle Scan Цели на атаката:Цели на атаката: Да се сканират TCP портовете на дадена машина без сканираният да разбере кой наистина го сканираДа се сканират TCP портовете на дадена машина без сканираният да разбере кой наистина го сканира Необходими условия:Необходими условия: Свързаност между атакуващата машина, машината-жертва и Zombie машинатаСвързаност между атакуващата машина, машината-жертва и Zombie машината Zombie наричаме машина в Интернет, която генерира лесно предвидими IPID-та (например Windows)Zombie наричаме машина в Интернет, която генерира лесно предвидими IPID-та (например Windows)

41 IPID Games – Idle Scan Теоретично обяснение:Теоретично обяснение: Атакуващата машина изпраща spoofed SYN пакет до някой порт на машината-жертва от името на Zombie машинатаАтакуващата машина изпраща spoofed SYN пакет до някой порт на машината-жертва от името на Zombie машината Машината-жертва отговаря с ACK или RST в зависимост дали съответният порт е отворенМашината-жертва отговаря с ACK или RST в зависимост дали съответният порт е отворен IPID-то на Zombie машината се увеличава с различна константа в зависимост дали е получила ACK или RST пакет от жертватаIPID-то на Zombie машината се увеличава с различна константа в зависимост дали е получила ACK или RST пакет от жертвата Атакуващата машина проверява IPID-то на машината Zombie и по него разбира дали сканираният порт е бил отворенАтакуващата машина проверява IPID-то на машината Zombie и по него разбира дали сканираният порт е бил отворен

42 IPID Games – Idle Scan

43 Инструменти за провеждане на атакатаИнструменти за провеждане на атаката hpinghping Начини за защитаНачини за защита Zombie машината може да се защити, като си смени операционната система или поне имплементацията на TCP/IP стекаZombie машината може да се защити, като си смени операционната система или поне имплементацията на TCP/IP стека Интернет доставчиците могат да защитят Интернет от своите клиенти чрез egress филтриране, което не допуска spoofed пакетиИнтернет доставчиците могат да защитят Интернет от своите клиенти чрез egress филтриране, което не допуска spoofed пакети IPID Games – Idle Scan

44 IPID Games – Idle Scan Демонстрация на атаката Idle Scan

45 Измерване на трафика на дадена машинаИзмерване на трафика на дадена машина Чрез следене как се променят стойностите на IPID-то може да се установи колко трафик генерира дадена машинаЧрез следене как се променят стойностите на IPID-то може да се установи колко трафик генерира дадена машина Машината-жертва трябва да има лесно предвидими IPID-та (например Windows)Машината-жертва трябва да има лесно предвидими IPID-та (например Windows) IPID Games – измерване на трафик

46 Transport слой от OSI модела Слоят transport дефинира как да се извършва пренасянето на информация по network слоя, така, че да се гарантира надеждностСлоят transport дефинира как да се извършва пренасянето на информация по network слоя, така, че да се гарантира надеждност Например в TCP/IP мрежи transport слоят:Например в TCP/IP мрежи transport слоят: Е представен чрез TCP и UDP протоколитеЕ представен чрез TCP и UDP протоколите TCP осигурява надеждни сесийни двупосочни комуникационни канали между две точки в мрежата, използвайки network слояTCP осигурява надеждни сесийни двупосочни комуникационни канали между две точки в мрежата, използвайки network слоя Адресирането става по IP адрес + номер на портАдресирането става по IP адрес + номер на порт Атаките, които работят на transport слоя, могат да се прилагат както в локални мрежи, така и в ИнтернетАтаките, които работят на transport слоя, могат да се прилагат както в локални мрежи, така и в Интернет

47 Установяване на TCP връзка 3-way handshake при TCP протокола:3-way handshake при TCP протокола:

48 Живот на една TCP връзка Първоначалното установяване на TCP връзка става с SYN пакет посредством 3- way handshakingПървоначалното установяване на TCP връзка става с SYN пакет посредством 3- way handshaking RST пакетите прекратяват безусловно връзката, независимо от коя от страните ги изпращаRST пакетите прекратяват безусловно връзката, независимо от коя от страните ги изпраща FIN пакетите служат за нормално прекратяване на TCP връзкаFIN пакетите служат за нормално прекратяване на TCP връзка

49 TCP Kill Цел на атаката:Цел на атаката: Да се прекрати насилствено TCP връзкаДа се прекрати насилствено TCP връзка Да не се позволява отваряне на TCP връзкиДа не се позволява отваряне на TCP връзки Необходими условия:Необходими условия: Да имаме възможност да подслушваме мрежовия трафик на атакуваните машини (например чрез ARP poisoning) или да можем лесно да отгатваме ISN номератаДа имаме възможност да подслушваме мрежовия трафик на атакуваните машини (например чрез ARP poisoning) или да можем лесно да отгатваме ISN номерата Операционните системи нямат значениеОперационните системи нямат значение

50 TCP Kill Теоретично обяснениеТеоретично обяснение Атакуващата страна подслушва трафика на жертвата и прихваща неговите TCP sequence номераАтакуващата страна подслушва трафика на жертвата и прихваща неговите TCP sequence номера Знаейки TCP sequence номерата, атакуващата страна генерира и изпраща подходящ RST пакет, който прекратява незабавно връзкатаЗнаейки TCP sequence номерата, атакуващата страна генерира и изпраща подходящ RST пакет, който прекратява незабавно връзката Инструменти за провеждане на атакатаИнструменти за провеждане на атаката tcpkilltcpkill arpspoofarpspoof

51 TCP Kill Начини за защита:Начини за защита: Не допускаме нашият трафик да бъде подслушванНе допускаме нашият трафик да бъде подслушван В локална мрежаВ локална мрежа Не използваме мрежа с hubНе използваме мрежа с hub Не допускаме възможност за ARP Poisoning атака (използваме интелигентен Managed Switch)Не допускаме възможност за ARP Poisoning атака (използваме интелигентен Managed Switch) Използване на ОС, при която не е лесно да се отгатнат ISN номератаИзползване на ОС, при която не е лесно да се отгатнат ISN номерата

52 TCP Kill Демонстрация на атаката TCP Kill

53 Методи за контрол на скоростта в TCP/IP TCP window sizeTCP window size Количеството чакащи данни (непотвърдени от получателя с ACK пакет), които изпращачът може да изпрати по дадена отворена TCP връзка без да чака потвърждениеКоличеството чакащи данни (непотвърдени от получателя с ACK пакет), които изпращачът може да изпрати по дадена отворена TCP връзка без да чака потвърждение MTU – Maximum Transmit UnitMTU – Maximum Transmit Unit Максималното количество данни в един IP пакетМаксималното количество данни в един IP пакет ICMP source quenchICMP source quench ICMP пакет, който сигнализира, че някъде по пътя има препълване на капацитета на някоя линияICMP пакет, който сигнализира, че някъде по пътя има препълване на капацитета на някоя линия

54 TCP Nice Цел на атаката:Цел на атаката: Да се забави скоростта на отворена TCP връзкаДа се забави скоростта на отворена TCP връзка Необходими условия:Необходими условия: Атакуващият трябва да има възможност да разбира текущия TCP sequence за дадена TCP сесия, например чрез подслушване (ARP poisoning)Атакуващият трябва да има възможност да разбира текущия TCP sequence за дадена TCP сесия, например чрез подслушване (ARP poisoning) Операционните системи нямат значениеОперационните системи нямат значение

55 TCP Nice Теоретично обяснениеТеоретично обяснение Чрез подходящи spoofed пакети атакуващият принуждава машините-жертви да си изпращат данните една на друга по-бавно:Чрез подходящи spoofed пакети атакуващият принуждава машините-жертви да си изпращат данните една на друга по-бавно: чрез намаляване на TCP window size-ачрез намаляване на TCP window size-а чрез намаляване на MTU-то на пакетитечрез намаляване на MTU-то на пакетите чрез изпращане на фалшифицирани ICMP source quench пакетичрез изпращане на фалшифицирани ICMP source quench пакети Инструменти за провеждане на атакатаИнструменти за провеждане на атаката tcpnicetcpnice arpspoofarpspoof

56 TCP Nice Начини за защита:Начини за защита: Не допускаме нашият трафик да бъде подслушванНе допускаме нашият трафик да бъде подслушван В локална мрежаВ локална мрежа Не използваме мрежа с hubНе използваме мрежа с hub Не допускаме възможност за ARP Poisoning атака (използваме интелигентен Managed Switch)Не допускаме възможност за ARP Poisoning атака (използваме интелигентен Managed Switch) Използване на ОС, при която не е лесно да се отгатнат ISN номератаИзползване на ОС, при която не е лесно да се отгатнат ISN номерата

57 TCP Nice Демонстрация на атаката TCP Nice

58 SYN Flood Цел на атаката:Цел на атаката: Да направим невъзможно приемането на нови TCP връзки на определен портДа направим невъзможно приемането на нови TCP връзки на определен порт По този начин може да се блокира дадена услугаПо този начин може да се блокира дадена услуга Необходими условия:Необходими условия: Атакуваната машина трябва да няма защита от SYN floodАтакуваната машина трябва да няма защита от SYN flood Необходими са множество недостъпни машини, за които атакуващият се представяНеобходими са множество недостъпни машини, за които атакуващият се представя

59 SYN Flood Теоретично обяснениеТеоретично обяснение Атакуващият изпраща голям брой фалшифицирани SYN пакети от името на различни недостъпни машиниАтакуващият изпраща голям брой фалшифицирани SYN пакети от името на различни недостъпни машини Операционната система на жертвата им отговаря по нормалния начин – добавя ги в опашката за TCP връзки в състояние SYN_RCDV, т.е. чакащи да завършат своя 3-way handshakeОперационната система на жертвата им отговаря по нормалния начин – добавя ги в опашката за TCP връзки в състояние SYN_RCDV, т.е. чакащи да завършат своя 3-way handshake Тъй като няма кой да завърши handshake-а, опашката се препълва с чакащи връзкиТъй като няма кой да завърши handshake-а, опашката се препълва с чакащи връзки Операционната система започва да не приема нови заявки за TCP връзки на атакувания портОперационната система започва да не приема нови заявки за TCP връзки на атакувания порт

60 SYN Flood

61 SYN Flood Инструменти за провеждане на атакатаИнструменти за провеждане на атаката synksynk Начини за защита:Начини за защита: SYN cookiesSYN cookies Не се използва опашка за частично отворените TCP връзкиНе се използва опашка за частично отворените TCP връзки Информацията за опашката се кодира в ISN чрез криптографски алгоритмиИнформацията за опашката се кодира в ISN чрез криптографски алгоритми Реализирани са в Linux, *BSD,...Реализирани са в Linux, *BSD,... В Windows няма защитаВ Windows няма защита

62 SYN Flood Демонстрация на атаката SYN Flood

63 Blind TCP Spoofing Цел на атаката:Цел на атаката: Да се осъществи TCP връзка до определена машина от името на произволен IP адресДа се осъществи TCP връзка до определена машина от името на произволен IP адрес Необходими условия:Необходими условия: Атакуваната машина трябва да има лесно предвидими ISN (например Windows 95/98)Атакуваната машина трябва да има лесно предвидими ISN (например Windows 95/98) Машината, за която атакуващият се представя, не трябва да има връзка до машината-жертваМашината, за която атакуващият се представя, не трябва да има връзка до машината-жертва

64 Blind TCP Spoofing Теоретично обяснение:Теоретично обяснение: Атакуващият изпраща SYN пакет към жертвата от името на някоя недостижима машина M, която няма връзка до жертватаАтакуващият изпраща SYN пакет към жертвата от името на някоя недостижима машина M, която няма връзка до жертвата Жертвата изпраща SYN+ACK до машината MЖертвата изпраща SYN+ACK до машината M Атакуващият налучква ISN на изпратения от жертвата пакет и изпраща правилен ACK пакет, данни и FINАтакуващият налучква ISN на изпратения от жертвата пакет и изпраща правилен ACK пакет, данни и FIN Възможно е да се изпратят няколко пакета с данниВъзможно е да се изпратят няколко пакета с данни Жертвата не разбира, че пакетите не идват от M, а от атакуващата машинаЖертвата не разбира, че пакетите не идват от M, а от атакуващата машина Като резултат атакуващата машина реално отваря еднопосочна TCP връзка от името на MКато резултат атакуващата машина реално отваря еднопосочна TCP връзка от името на M

65 Blind TCP Spoofing

66 Blind TCP Spoofing Инструменти за провеждане на атакатаИнструменти за провеждане на атаката Саморъчно разработени инструментиСаморъчно разработени инструменти Начини за защита:Начини за защита: Смяна на операционната система или поне на TCP/IP имплементацията, така че да се използват трудно предвидими ISNСмяна на операционната система или поне на TCP/IP имплементацията, така че да се използват трудно предвидими ISN

67 Blind TCP Spoofing Демонстрация на атаката Blind TCP Spoofing

68 Ресурси, свързани с темата Курс Мрежова сигурност –Курс Мрежова сигурност – Wireless Access Points and ARP Poisoning –Wireless Access Points and ARP Poisoning – nload/arppoison.pdf An Introduction to ARP Spoofing –An Introduction to ARP Spoofing – tro_to_arp_spoofing.pdf DSniff –DSniff – The Ethereal Network Analyzer –The Ethereal Network Analyzer –

69 Ресурси, свързани с темата Idle Scanning and related IPID games –Idle Scanning and related IPID games – hping - SYN Flood DoS Attack Experiments – sult.html Linux Blind TCP Spoofing – Computer and Network Security Threats - 4C03-03/slides/06-threats.pdf

70 Дискусия Вашите въпроси?