Sieciowa analiza
powłamaniowa krok po kroku
Mariusz Burdach
Ka dy, kto choć troch interesu-
je si bezpiecze stwem wie, co
to jest i do czego słu y przyn ta
(ang. honeynet). Jednym z celów,
dla których bardziej do wiadczeni
administratorzy instaluj kompu-
tery-przyn ty we własnej sieci jest
ch ć dogł bnego zapoznania si
z metodami działania intruzów. Cza-
sami udaje si nawet wykryć nowy
typ ataku.
artykule przedstawi ciekawsze
Honeynet Project (http://project.honeynet.org) jest
fragmenty analizy działa intruza,
organizacj skupiaj c specjalistów od bezpie-
Wktóry włamał si do serwera-przy-
cze stwa. Jej główne cele to poznanie narz dzi
n ty projektu Honeynet (patrz Ramka).
oraz metod wykorzystywanych przez hakerów,
Analiza powłamaniowa w tym przypadku
a nast pnie dzielenie si zdobyt wiedz . Od
przeprowadzana jest na podstawie zareje-
chwili powstania, czyli 1999 roku, co pewien czas
strowanej komunikacji sieciowej przychodz -
ogłaszane s konkursy polegaj ce na przepro-
cej i wychodz cej z komputera-przyn ty. Ten
wadzaniu analiz powłamaniowych. Pod koniec
typ analizy powłamaniowej ma pewnie zalety
miesi ca publikowane s wyniki z najlepszymi
w stosunku do analizy powłamaniowej prze-
analizami.
prowadzanej na podstawie utworzonych obra-
zów systemu plików hosta, na który włamał
si intruz. Po pierwsze jeste my w stanie przeprowadzamy na podstawie utworzonych
odtworzyć dokładnie przebieg działa , jakie wcze niej obrazów wszystkich systemów
wykonał intruz po uzyskaniu dost pu do sys- plików skompromitowanego hosta.
temu nawet w przypadku, gdy intruz zmo-
Narz dzia niezb dne do
dyfi kuje j dro systemu operacyjnego poprzez
załadowanie dodatkowego modułu, tzw. LKM analizy
rootkit (celem instalacji tego typu rootkitów Przed przyst pieniem do analizy powłamanio-
jest ukrycie obecno ci intruza przed admini- wej nale y przygotować odpowiednie rodo-
stratorem systemu oraz omini cie narz dzi wisko. Pierwsz czynno ci b dzie instalacja
weryfi kuj cych integralno ć plików za pomoc systemu operacyjnego (ja u yłem systemu
funkcji haszuj cych). Ponadto, posiadaj c Red Hat w wersji 7.3). Nast pnie nale y
zarejestrowan komunikacj mo emy odzy- skompilować i zainstalować najnowsze wersje
skać wszystkie pliki, jakie intruz załadował nast puj cych narz dzi:
na skompromitowany serwer. W przypadku,
gdy intruz u yje np. protokołu SSH do szy- " libpcap,
frowania komunikacji, analiz powłamaniow " tcpdump,
i i
Listing 1. Fragment wynik z zapytaniami DNS
" snort, nia polecenia md5sum porównujemy z warto ciami
" tcpfl ow, umieszczonymi na stronie projektu Honeynet.
" ettercap,
" binutils.
Narz dzia te pozwol nam na odczytywanie i interpre-
tacj zarejestrowanej komunikacji oraz fi ltrowanie mniej
istotnych informacji (pakietów). Zgadza si .
Ostatni czynno ci przed przyst pieniem do ana-
Weryfi
kacja autentyczno ci
lizy b dzie rozpakowanie plików oraz weryfi kacja, czy
pobranych plików pobrane pliki to faktycznie zarejestrowany ruch siecio-
Gdy mamy zainstalowane wszystkie wy ej wymienione wy:
narz dzia, kolejn czynno ci b dzie pobranie dwóch
skompresowanych plików zawieraj cych zarejestrowa-
n komunikacj sieciow .
ż
Narz dziem fi le, które jest dost pne w ka dym systemie
Linux, sprawdzamy typ rozpakowanych plików.
ż
Nast pnie za pomoc funkcji skrótu md5 sprawdza-
my, czy pliki zostały pobrane prawidłowo oraz czy nie
zostały przez nikogo zmodyfi kowane. Wynik działa-
Listing 2. Fragment zarejestrowanego skanowania
ż
ż
i i
Listing 3. Fragment wynik polecenia # snort dv r day1.log tcp[tcpfl ags] = tcp-syn|tcp-ack and src
host 192.168.100.28 | less
Od czego zaczniemy?
Otwieraj c otrzymany plik za pomoc polecenia less lub
s
Po poprawnej weryfi kacji mo emy przyst pić do analizy more mo emy zauwa yć, e zawiera on du ilo ć zapy-
powłamaniowej. Celem naszej analizy b dzie znalezie- ta DNS. wiadczy o tym przede wszystkim numer lub
nie odpowiedzi na nast puj ce pytania: nazwa portu docelowego domain (port 53), który skoja-
rzony jest z usług DNS. Ponadto zarejestrowanych jest
" Jaki jest rodzaj systemu operacyjnego hosta, na szereg odwoła do rekordów PTR czyli usługi zamiany
który dokonano włamania? W jaki sposób mo na adresów IP na nazwy domenowe (fragment wyniku
zidentyfi kować ten system operacyjny? z zapytaniami DNS przedstawia Listing 1).
" Jak atakuj cy uzyskał dost p do systemu? Przegl daj c zapytania DNS widzimy, e nie zawie-
" Których serwerów u ył intruz oraz w jakim celu? raj istotnych dla naszej analizy danych. Spróbujmy
" W jakim celu były wysyłane pakiety ICMP zawieraj - wi c pozbyć si i tych pakietów.
ce słowo skillz?
ż
" Analizuj c zarejestrowan komunikacj mo na
zauwa yć, e intruz uruchamia nietypowy proto-
kół. Co to za protokół i do czego został wykorzy-
stany? Teraz wynik jest ju bardziej przejrzysty. Poza kilkoma
zapytaniami NetBIOS w tym pliku zarejestrowanych
Naszym punktem zaczepienia jest oczywi cie host- zostało szereg prób skanowa portów TCP/UDP, które
przyn ta, na który dokonano włamania. Jego adres s przeprowadzane nieustannie do godziny 17:36. Na
IP to 192.168.100.28. Spróbujmy wi c z całego zareje- Listingu 2 umieszczony jest fragment zarejestrowanego
strowanego ruchu wydobyć wył cznie ruch kierowany skanowania.
do i z tego hosta. Wynik zapiszemy do pliku w forma- W wi kszo ci s to skanowania typu SYN. Na czym
cie ASCII. Do tego celu u yjemy narz dzia tcpdump polega ta technika? Gdy intruz wysyła pakiet inicjuj cy
z parametrem X, który wy wietli zawarto ć pakietów z ustawiona fl ag SYN na konkretny port TCP, to w wi k-
w formacie szesnastkowymi oraz ascii. Po parametrze szo ci przypadków mo e oczekiwać dwóch odpowiedzi.
r
r podajemy nazw pliku z zarejestrowan komunika- Gdy ofi ara odpowie pakietem z fl ag RST, oznacza to, e
cj . port jest zamkni ty. Pakiet zwrotny z ustawionymi fl aga-
Analiz zaczniemy od pierwszego pliku (day1.log). mi SYN oraz ACK oznacza, e port na ho cie ofi ary jest
otwarty i wtedy intruz przerywa proces inicjacji wysyłaj c
pakiet z ustawiona fl ag RST. Takie rezultaty mo emy
Listing 4. Wynik wykonanego przez intr za polecenia name -a
i i
Listing 5. Ataki wykryte przez narz dzie Snort
zaobserwować w analizowanym pliku (day1.log). Analizu- operacyjnych. Analizuj c proces nawi zywania poł -
j c ten zapis mo emy okre lić, które porty skanowanego czenia TCP pomi dzy dwoma hostami jeste my
hosta s otwarte, a które nie. Z powy szego przykładu w stanie dokładnie okre lić rodzaje, a nawet wersje sys-
wynika, e zarówno port 80 (http) jak i port 3128 (squid) temów operacyjnych bior cych udział w inicjacji. Jest
s zamkni te. Przeanalizujmy ten fragment (Listing 2). wiele pól w nagłówkach pakietów TCP oraz IP, które
Otó po wysłaniu przez host o adresie IP: 61.144.145.243 pomagaj w identyfi kacji systemu. S to:
pakietu z ustawion fl ag SYN (na Listingu nr 2 jest on
oznaczony liter S) na port docelowy http (80/TCP) ser- " IP TTL pole Time-to-Live z nagłówka IP,
wera-przyn ty, jego odpowiedzi jest pakiet z fl ag RST " TCP Window Size pole w nagłówku TCP,
(na listingu jest to litera R). Taka sama sytuacja ma miejsce " TCP Maximum segment size pole MSS w nagłów-
w przypadku badania usługi squid (port 3128). Pełna lista ku TCP,
portów TCP/UDP oraz powi zanych z nich numerów jest " Pole DF w nagłówku IP,
dost pna w ka dym systemie Unix w pliku /etc/services. " TCP sackOk w nagłówku TCP,
Po tym krótkim wprowadzeniu zaczynamy wła ciw " Pole NOP w nagłówku TCP,
analiz powłamaniow . " Opcja skalowania okna oraz rozmiar pakietu (z usta-
wion fl ag SYN b d SYN-ACK).
Odpowiedzi na pytania
Pytanie: Jaki jest rodzaj systemu operacyjnego hosta, Najwi ksz baz ze zbiorem ró nic w implementa-
na który dokonano włamania? W jaki sposób mo na cjach stosów TCP/IP posiada narz dzie ettercap,
zidentyfi kować ten system operacyjny? a dokładniej plik etter.passive.os.fp. W celu identy-
Odpowied : Sun Solaris 5.8 (platforma SPARC). fi kacji systemu operacyjnego musimy znale ć przy-
System operacyjny hosta-przyn ty mo emy okre lić najmniej jeden pakiet z ustawion fl ag SYN b d
przynajmniej na dwa sposoby. SYN-ACK, który został wysłany z hosta, na który
dokonano włamania. Przypominam, e adres IP tej
Metoda pierwsza: passive fi maszyny to 192.168.100.28.
ngerprinting
Ta technika polega na wykorzystaniu ró nic w imple-
ż
mentacjach stosu TCP/IP poszczególnych systemów
Tabela 1. Wybrane pola z pakiet przedstawionego na
Listing 3
Fragment wyniku przedstawia Listing 3.
Z całego pakietu wybrałem interesuj ce nas pola
Pole Warto ć lub stan
patrz Ramka 1. Teraz musimy zapoznać si z for-
Windows Size 0x6028 (in hex)
matem pliku etter.passive.os.fp, który jest nast puj cy:
TTL 64 (40 in hex)
WWWW:MSS:TTL:WS:S:N:D:T:F:LEN:OS. WWWW
Size 64 (40 in hex)
oznacza rozmiar okna (Window Size). MSS to mak-
S
symalny rozmiar segmentu, TTL zawiera czas ycia
Flag DF Set
pakietu, WS to opcja skalowno ci okna. Kolejne pole to
S
Flag NOP Set
S, które sprawdza, czy podczas poł czenia obsługiwa-
WS 0
ny b dzie SACK. Pole N to opcja NOP. Nast pne pole
N
Flag SackOK Set
D zwi zane jest z fl ag defi niuj c , czy podczas
MSS 1460 (05B4 in hex)
transmisji dozwolona jest fragmentacja pakietów. Litera
i i
T
T powi zana jest z opcj Timestamp, która znajduje si tym sugerować przy przeprowadzaniu innych
si w nagłówku TCP. Kolejne pole pliku oznaczone analiz. O wiele bardziej skuteczniejsz metod mo e
jest liter F,wskazuje ono, z jakim pakietem b dzie być np. odzyskanie i prosta analiza dowolnego
,
porównywany ten rekord. Gdy jego zawarto ć to litera pliku, który załadował na skompromitowany system
S
S oznacza to, e porównywany pakiet te musi mieć intruz.
ustawion wył cznie fl ag SYN. Natomiast gdy jego Wracaj c do komendy . Wystarczy proste
zawarto ć to litera A, to porównywany pakiet musi mieć zapytanie o tre ci / name (przy przegl daniu pliku
ustawione dwie fl agi: SYN i ACK. Przedostatnie pole poleceniem less) i mamy odpowied . Wynik poszu-
LEN opisuje długo ć pakietu inicjuj cego. Ostatnie pole kiwa to:
N
opisuje system operacyjny, dla którego wcze niejsze
warto ci s charakterystyczne. Dodam, e pola S, N,
D i T mog posiadać warto ć 0 lub 1 (wył czone lub
T
wł czone). Porównuj c warto ci wybranych pól z baz Cały pakiet z rezultatem przedstawiony jest na Listingu 4.
etter.passive.os.fp znajdujemy jeden rekord, który jest Innym ciekawym sposobem na znalezienie odpo-
odpowiedzi na pierwsze pytanie: wiedzi na to pytanie mogłoby te być sprawdzenie,
z jakim producentem skojarzony jest adres fi zyczny
(MAC) interfejsu sieciowego sytemu.
Pytanie: Jak atakuj cy uzyskał dost p do systemu?
Metoda druga: obserwacja aktywno ci Odpowied : Intruz wykorzystał bł d przepełnienia bufora
Druga metoda polega na znalezieniu w zarejestro- we współdzielonej bibliotece, która jest wykorzystywana
wanej komunikacji wyniku wykonania polecenia min. przez usług CDE Subprocess Control Service. Jest
. T komend wydał intruz chwil po uzy- ona skojarzona z portem TCP o numerze 6112.
skaniu dost pu do systemu, tym samym pomagaj c Znalezienie odpowiedzi na to pytanie nie jest łatwe.
nam w odpowiedzi na pytanie. Oczywi cie nie nale y Trzeba cierpliwie analizować pakiet po pakiecie zare-
Listing 6. Pakiet wysłany o godzinie 17:36:26 (adres IP intr za to 61.219.90.180, hosta-p łapki
192.168.100.28)
i i
jestrowanej komunikacji. Inn metod (szybsz ), jest
Listing 7. Komendy wykonane przez intr za po
wykorzystanie narz dzia Snort oraz jego sygnatur.
zyskani dost p do system
Wydajemy nast puj c komend :
ż
ż
ż
Wa ny jest parametr c, po którym podajemy plik kon-
fi guracyjny, w którym znajduj si defi nicje sygnatur
ataków.
Ataki wykryte przez narz dzie Snort przedstawia
Listing 5. Widzimy tu kilka wykrytych prób skanowa ,
a zaraz po nich prób u ycia exploita dokładnie
o godzinie 17:36:26. Teraz mo emy dowolnym edyto-
rem otworzyć zarejestrowan komunikacj (plik o tp t
nodns) i przyjrzeć si bli ej atakowi.
O godzinie 17:36:25 intruz z hosta o adre-
sie 61.219.90.180 wysłał pierwszy pakiet z fl ag SYN na
port 6112/TCP serwera-pułapki. W tym samym czasie
intruz sprawdził, czy przypadkiem serwer nie został
ju przej ty przez kogo innego. Usługa nasłuchuj ca
na porcie 1525/TCP nie działa, co mo e oznaczać, e
nikt jeszcze nie przej ł kontroli nad systemem. O 17:36:
26 intruz wysyła pakiet z nast puj c zawarto ci (ten
pakiet został wykryty przez narz dzie Snort).
Przedstawiony pakiet zawiera kilkadziesi t instrukcji
NOP w kodzie maszynowym (w przypadku architektury
SPARC jest to warto ć 0x801c4011). NOP jest u ywany
przy atakach przepełnienia bufora (ang. buffer overfl ow),
kiedy to nadpisywany jest adres powrotny zapisywany na
stosie. U ywaj c instrukcji NOP intruz nie musi dokład-
nie znać adresu w pami ci, gdzie umie cił kod (polecenia
systemowe), który ma być wykonany przez system.
Widzimy dalej, e exploit wysłany przez intruza
zawiera polecenia systemowe, które maj być wyko-
nane na serwerze. Chwil po tym intruz inicjuje drugie
poł czenie na port 1524 TCP tym razem udane.
W wyniku tego intruz uzyskał nieautoryzowany dost p
do serwera pułapki.
Poni ej znajduj si komendy wykonane po prze-
pełnieniu bufora.
ż
Intruz u ył powłoki ksh do utworzenia pliku /tmp/x, który
zawiera jedn lini zgodn z formatem pliku konfi gura-
Listing 8. Fragment pakiet ICMP ze słowem skillz
i i
Wynikiem działania jest kilkadziesi t plików o nazwach,
które zawieraj adresy IP oraz porty, pomi dzy który-
mi nast powała komunikacja. Co ciekawe, niektóre
z wygenerowanych plików s w formacie binarnym.
Dlaczego? Otó , jak ju wiemy, tcpfl ow rekonstruuje
nawi zane sesje, a ka de poł czenie pomi dzy dwoma
portami zapisywane jest do oddzielnego pliku. Wi c
je li intruz po uzyskaniu dost pu do systemu pobie-
rał za pomoc usługi FTP trzy pliki, to ka dy z plików
b dzie zapisany przez tcpfl ow oddzielnie wynika to
zasady działania protokołu FTP. Przegl daj c wszyst-
kie wygenerowane pliki natkniemy si na plik o nazwie
061.219.090.180.56712-192.168.100.028.01524.
Zawiera on zrekonstruowan komunikacj pomi dzy
intruzem (host o adresie IP 061.219.090.180) a naszym
Rysunek 1. Strona domowa projekt Honeynet
serwerem (adres IP: 192.168.100.028). Przypominam,
cyjnego usługi inetd. Nast pnie uruchamiana usługa e 01524 to numer docelowego portu TCP, z którym
INETD wczytuje nowo utworzony plik konfi guracyjny, poł czył si intruz.
którego zadaniem jest otwarcie nowego portu TCP. Po Plik przedstawiony na Listingu 7 zawiera wszystkie
dziesi ciu sekundach plik /tmp/x jest kasowany. Teraz komendy, jakie wykonał intruz po uzyskaniu dost pu do
x
intruz ł cz c si na port 1524 TCP (ingreslock) mo e systemu. S te adresy IP cz ci z hostów, do których
uzyskać dost p do powłoki bez konieczno ci uwierzy- si ł czył.
telniania. Ciekawe informacje mo na znale ć w pliku o nazwie
Wi cej informacji dotycz cych wykorzystanego 192.168.100.28.01524-061.219.211.090.180.56712.
przez intruza bł du mo na znale ć pod adresami: Wła nie zawarto ć tego pliku to odpowied na trzecie
pytanie. Hosty, które były wykorzystane przez intruza
" http://www.cert.org/advisories/CA-2002-01.html do przeprowadzenia ataku, to:
" http://www.cert.org/advisories/CA-2001-31.html
" Host o adresie 61.219.90.180. Z tego adresu intruz
Których serwerów u ył intruz oraz w jakim uzyskał dost p do serwera pułapki. Z tego samego
celu? hosta intruz wykonał szereg czynno ci: załadował
W typ przypadku równie mo emy analizować pakiet po i zainstalował zestaw narz dzi rootkit, uruchomił
pakiecie i zapisywać adresy IP hostów, które ł czyły si narz dzie irc bo ncer w wersji 2.2.1 (słu y ono do
r
z serwerem pułapk . Jednak przydałoby si zauto- ukrywania prawdziwego adresu IP klientów kanałów
matyzować i to działanie. Do szybkiej rekonstrukcji sesji IRC), uruchomił narz dzia do przeprowadzania ataków
wykorzystamy narz dzie tcpfl ow, które ka d utworzo- Denial of Service. Ponadto usun ł dzienniki zdarze
n sesj z lub do serwera-pułapki zapisuje w oddziel- oraz skonfi gurował obsług protokołu IP w wersji 6.
nym pliku tekstowym. " Serwer FTP o adresie IP: 62.211.66.16. Z tego
serwera intruz pobrał 4 pliki (wget, solbnc, dls,
ipv6sun).
Listing 9. Zawarto ć skrypt ipv6s n
i i
Listing 10. Przykładowy pakiet z plik day3.log
" Serwer WWW o adresie 62.211.66.53. Z tego ser-
wera intruz pobrał programy typu ko troja ski oraz
zestaw narz dzi rootkit.
" Serwer FTP sunsolve.sun.com. Intruz z tego Otó Snort wykrył agenta narz dzia do przeprowadza-
serwera załadował poprawki bezpiecze stwa, aby nia ataków Denial of Service o nazwie Stacheldraht.
zabezpieczyć serwer przed innymi intruzami. Ten agent (jego nazwa to solbnc) został zainstalowany
" Serwer IRC o nazwie irt-1.stealth.net. kilka minut po uzyskaniu dost pu do systemu-pułapki.
" Hosty o adresach 217.116.38.10 oraz 61.134.3.11. Zaraz po instalacji (o godzinie 17:59:52) agent zaczyna
Zainstalowane na serwerze narz dzie solbnc wysy- si komunikować za pomoc pakietów ICMP ECHO
łało co pewien czas komunikaty do tych hostów. REPLY z dwoma hostami o adresach 217.116.38.10
Komunikaty wysyłane były za pomoc protokołu oraz 61.134.3.11. Z pewno ci s to serwery, na których
ICMP ECHO REPLY. intruz uruchomił narz dzie zarz dzaj ce (ang. han-
dler). Analizuj c zarejestrowan komunikacj mo na
Szczegółowe informacje o wy ej wymienionych hostach zauwa yć, e pakiety wysyłane s co 10-11 sekund.
mo na uzyskać korzystaj c z bazy danych whois http: Tylko podczas pierwszego dnia wysłanych zostało
//www.whois.org. prawie 2000 takich pakietów. Jak mo na si domy lać,
Pytanie: W jakim celu były wysyłane pakiety ICMP agent mo e równie odbierać komunikaty od serwerów
zawieraj ce słowo skillz ? zarz dzaj cych.
Odpowied : Powodem, dla którego narz dzie zain- Fragment pakietu ICMP ze słowem skillz przedsta-
z
stalowane przez intruza wysyłało pakiety zawie- wia Listing 8. Szczegółowy opis tego narz dzia mo na
raj ce słowo skillz, było utrzymanie poł czenia znale ć pod adresem: http://staff.washington.ed /
pomi dzy agentem (nasz host pułapka) a serwerem dittrich/misc/stacheldraht.analysis.txt
zarz dzaj cym. Host wysyłaj c pakiet ICMP ECHO Pytanie: Analizuj c zarejestrowan komunikacj
REPLY informował serwer o gotowo ci do wykonania mo na zauwa yć, e intruz uruchamia nietypowy
pewnych działa , jak np. ataku Denial of Service czy protokół. Co to za protokół i do czego został wyko-
skanowania innych hostów. rzystany?
Najlepiej cofn ć si do wykrytych przez narz dzie Odpowied : Tym protokołem jest wersja 6 Internet Pro-
Snort ataków. Mo emy zauwa yć, e powtarzaj si tocol, która została skonfi gurowana na skompromito-
nast puj ce wpisy: wanym systemie Sun Solaris. Protokół został wł czony
za pomoc skryptu ipv6s n (jest to plik 062.211.066.
16.00020-192.168.100.028.32788 wygenerowany przez
narz dzie tcpfl ow).
Listing 11. Informacja wysłana z system p łapki do serwera logów dowód na to, e na
skompromitowanym ho cie została wł czona obsł ga IP w wersji 6
i i
Listing 12. Informacje o serwerze ftp, z którego Listing 13. Fragment kom nikacji znaleziony
intr z pobrał pliki w plikach wygenerowanych przez narz dzie
tcpfl ow
Zawarto ć skryptu przedstawia Listing 9. O tym, e kanałow IRC znajduje si w plikach wygenerowanych
jest to protokół IP w wersji 6 dowiadujemy si analizuj c przez tcpfl ow.
drugi plik (day3.log) pobrany ze strony Honeynet Pro-
Podsumowanie
ject. Przykładowy pakiet przedstawia Listing 10.
Prawdopodobnie powodem, dla którego została wł - My l , e nie musz ju nikogo przekonywać o zaletach
czona obsługa IP w wersji 6 była ch ć wykorzystania stosowania serwerów pułapek. Nale y jednak pami tać,
nowej wersji narz dzia irc bo ncer. Wszystko oczywi- e instalacja takiego systemu we własnej sieci wi e si
r
r
cie w celu uniemo liwienia podsłuchiwania komuni- z dodatkowym nakładem pracy, gdy taki system wymaga
kacji pomi dzy klientami i serwerami IRC. Ponadto IP ci głej kontroli administratorów. Jednak uzyskane w ten
w wersji 6 nie jest rozpoznawane przez wi kszo ć sie- sposób informacje i zebrane wyniki mog być ciekawe
ciowych systemów wykrywania włama , co pozwala na i pouczaj ce, jak ma to miejsce i w naszej analizie, gdzie
ukrycie aktywno ci intruza. poznali my techniki przełamywania zabezpiecze oraz
Dowodem na to, e na skompromitowanym ukrywania si w systemie. Ponadto zidentyfi kowali my
ho cie została wł czona obsługa IP w wersji 6 jest narz dzia, jakie s wykorzystywane przez intruzów do
fakt, e o godzinie 01:07:40 intruz przeładował np. przeprowadzania zmasowanych ataków Denial of
system (konfi guracja IP v6 na systemach Sun Solaris Service. Te informacje mog pozwolić nam na lepsze
wymaga restartu). lad tego działania to informacja zabezpieczenie własnych systemów ju nie pułapek.
wysłana z systemu pułapki do serwera logów (patrz
Listing 11).
Wykorzystane w artykule narz dzia
Kilka minut pó niej zostało nawi zane pierw-
i dokumenty
sze poł czenie po protokole IPv6. Oczywi cie IP
w wersji 6, która nie jest jeszcze obowi zuj cym stan-
" http://project.honeynet.org/papers/fi nger/
dardem w sieci Internet, jest tunelowany za pomoc IP
" http://www.sec rityfoc s.com/infoc s/1224
w wersji 4.
" http://www.sans.org/reso rces/idfaq/fi ngerp telnet.php
Dodatkowym zadaniem była próba zidentyfi ko-
" Original IRC RFC http://www.faqs.org/rfcs/
wania pochodzenia intruza. Dokładnie analizuj c
rfc1459.html
dane mo na stwierdzić, e intruz pochodził z Włoch. " http://staff.washington.ed /dittrich/misc/stacheldraht.an
alysis.txt
wiadczy o tym j zyk, w jakim si porozumiewał na
" Snort with IPv6 support http://www.tahi.org/~tanaka/
kanałach IRC oraz skrypty (patrz skrypt ipv6sun),
snort/snort+ipv6-20011201.tgz
których komentarze s w j zyku włoskim. Ponadto
" http://www.cert.org/advisories/CA-2002-01.html
przewa aj ca wi kszo ć wykorzystywanych hostów
" http://www.cert.org/advisories/CA-2001-31.html
nale y do włoskich ISP.
" IPv6 Administration Guide from Sun Microsystems
Przykład: informacje o serwerze ftp, z którego intruz
http://www.circlem d.org/~jelson/software/tcpfl ow/
pobrał pliki (wget, dlp, solbnc, ipv6sun) przedstawione
" http://ettercap.so rceforge.net
s na Listingu 12. Fragment komunikacji znaleziony
" http://www.gn .org/software/bin tils/
w plikach wygenerowanych przez narz dzie tcpfl ow
" http://project.honeypot.org
przedstawia Listing 13. Cała komunikacja za pomoc
i i
Wyszukiwarka
Podobne podstrony:
VHS na DVD poradnik krok po krokuCharakterystyka energetyczna budynku krok po krokuFundusze UE krok po kroku Bankier[język polski matura] wypracowanie maturalne krok po kroku [model](1)Grzybek tybetański – hodowla krok po krokuPlecenie różańców krok po krokuJak zainstalowa Windows 7 Instrukta krok po krokuwięcej podobnych podstron