Bezpieczeństwo systemów
Wybrane ataki sieciowe
Na czym polega spoofing?
Spoofing, czyli atak poprzez podszywanie się w tradycyjnym ujęciu oznacza działanie atakującego, Bezpieczeństwo
polegające na oszukaniu mechanizmu autentykacji zachodzącego pomiędzy maszynami przekazującymi systemów informatycznych
między sobą pakiety.
Proces autoryzacji przeprowadzany jest poprzez Testy penetracyjne
sfałszowanie pakietów "zaufanego" hosta - należącego do atakowanej sieci.
Obecnie mianem spoofingu określa się dowolną metodę Spoofing
łamania zabezpieczeń opartych na adresie lub nazwie hosta.
Istnieje kilka technik podszywania. Można go realizować praktycznie w każdej warstwie.
BSI – spoofing
BSI – spoofing
Zbigniew Suski
1
Zbigniew Suski
2
ARP – schemat działania
Spoofing ARP
C:\Windows> arp –a
Klient
Interfejs: 192.168.10.2 on Interface 0x2000003
1 Bufor ARP
B
Adres internetowy
Adres fizyczny
Typ
(ARP Cache)
5
192.168.10.3
00-50-BA-D4-C8-D3
dynamiczny
2
spooffer
A
[root@spooffer]# ./arpspoof –t 192.168.10.2 192.168.10.3
Bufor ARP
3 (ARP Cache)
Source
Destination
Prot
Info
Sniffer
6
00:50:BA:D4:B7:2B 00:50:BA:D4:AA:45 ARP 192.168.10.3 is at 00:50:BA:D4:B7:2B
1. Sprawdzenie bufora ARP
C
00:50:BA:D4:B7:2B 00:50:BA:D4:AA:45 ARP 192.168.10.3 is at 00:50:BA:D4:B7:2B
2. Wysłanie pytania ARP (jaki jest adres
00:50:BA:D4:B7:2B 00:50:BA:D4:AA:45 ARP 192.168.10.3 is at 00:50:BA:D4:B7:2B
sprzętowy komputera o adresie IP 192.168.1.5) 4
3. Dodanie pozycji ARP do bufora ARP odbiorcy C:\Windows> arp –a
Klient
4. Wysłanie odpowiedzi ARP
Interfejs: 192.168.10.2 on Interface 0x2000003
5. Dodanie pozycji ARP do bufora ARP nadawcy Adres internetowy
Adres fizyczny
Typ
6. Wysłanie pakietu IP
192.168.10.3
00-50-BA-D4-B7-2B
dynamiczny
BSI – spoofing
BSI – spoofing
Zbigniew Suski
3
Zbigniew Suski
4
Ochrona przed spoofingiem ARP
Routing IP
Dok
Zaprzestanie u
ąd wysłać datagram o danym adresie IP?
żywania ARP
Bariery sprzętowe ( routery)
Fragment tablicy routingu
192.168.1.0 255.255.255.0 192.168.1.1
192.168.2.0 255.255.255.0 192.168.2.1
Wykrywanie spoofingu ARP:
192.168.3.0 255.255.255.0 192.168.3.1
192.168.4.0 255.255.255.0 192.168.4.1
192.168.5.0 255.255.255.0 192.168.5.1
Pasywna detekcja na poziomie hosta
192.168.6.0 255.255.255.0 192.168.6.1
192.168.7.0 255.255.255.0 192.168.7.1
Aktywna detekcja na poziomie hosta
192.168.8.0 255.255.255.0 192.168.8.1
Detekcja na poziomie serwera
Detekcja na poziomie sieci przez okresowe
Router
kontrole
Detekcja na poziomie sieci przez ciągłe
monitorowanie
BSI – spoofing
BSI – spoofing
Zbigniew Suski
5
Zbigniew Suski
6
Opracował: Zbigniew Suski
Wybrane ataki sieciowe
Spoofing routingu
Spoofing routingu
Spoofing routingu
Spoofing routingu polega na skłanianiu komputerów do
wykorzystanie protokołu ICMP
przesyłania datagramów w miejsca inne niż te, do których powinny trafić.
permanentne zapisy ARP dotyczące routerów
Może to doprowadzić do odmowy usługi. Maszyna, do
Spoofing routingu opartego na RIP
której są kierowane pakiety nie odpowiada.
RIP wykorzystuje port 520 UDP, co oznacza, że nie wymagane jest połączenie, a pakiety
Może zostać przechwycony wszelki ruch pomiędzy przyjmowane są od każdego.
sieciami.
RIP v1 nie posiada żadnego mechanizmu
W trakcie tego działania można prowadzić filtrowanie autoryzacji.
ruchu, wprowadzać modyfikacje, tworzyć wrażenie
W RIP v2 zastosowana jest prosta forma
poprawnego funkcjonowania sieci.
autoryzacji używająca nieszyfrowanych haseł.
BSI – spoofing
BSI – spoofing
Zbigniew Suski
7
Zbigniew Suski
8
Spoofing routingu opartego na RIP
DNS – przypomnienie podstawowych pojęć
DNS jest systemem rozproszonej bazy danych
Normalny ruch z
udostępniającym usługę translacji nazw na adresy w sieci IP.
Komputera A do Komputera
Komputer A
B przechodzi przez routery
Jest to system hierarchiczny. Dane umożliwiające translację RIP1 i RIP2 bez interwencji
nazw na adresy są przechowywane w plikach strefowych na serwerze DNS.
RIP2 Router
Po przesłaniu
Domena prosta - zawiera rekordy, które umożliwiają sfałszowanego pakietu RIP
do routera RIP2, wszystkie
translację nazw na adresy IP, czyli umożliwia
Komputer C
dane przeznaczone dla
odpowiadania na proste pytania DNS.
Komputera B będą
najpierw przekazywane do
Komputera C, a następnie
Domena odwrotna - zawiera rekordy, które umożliwiają do Komputera A, ale
translację adresów IP na nazwy, czyli umożliwia RIP1 Router
dopiero po ich uprzednim
przejrzeniu przez Komputer
odpowiadania na odwrotne pytania DNS.
C
Serwer autorytatywny - serwer odpowiedzialny za Komputer B
utrzymywanie dokładnej i pewnej informacji o domenie BSI – spoofing
BSI – spoofing
Zbigniew Suski
9
Zbigniew Suski
10
DNS – przypomnienie podstawowych pojęć
Spoofing DNS
Serwer pierwotny - serwer autorytatywny stanowiący
Przejęcie serwera DNS
pierwotne źródło informacji o domenie
Umieszczanie sfałszowanych danych w pamięci
Serwer wtórny -
serwer autorytatywny, który okresowo
podręcznej serwera DNS
pobiera plik strefowy z serwera głównego.
wykorzystanie pola Transaction ID
Serwer Caching-Only - serwer nieautorytatywny, który
zablokowanie serwera DNS atakiem DoS
otrzymuje odpowiedzi od innych serwerów, zapamiętuje je i
odpowiednie ustawienie w sfałszowanych
jest wobec tego w stanie udzielać odpowiedzi klientom.
odpowiedziach:
Pytania iteracyjne - jeżeli serwer nie potrafi odpowiedzieć,
adresu źródłowego i docelowego
to zwraca adres serwera autorytatywnego, który powinien
numeru portu źródłowego i docelowego
znać odpowiedź.
odpowiednio dużej wartości TTL
Pytania rekursywne - jeżeli serwer nie potrafi odpowiedzieć, to sam poszukuje pełnej odpowiedzi na zadane pytanie i
wartości TID
zwraca odpowiedź klientowi.
wybranie właściwego momentu wysyłania odpowiedzi BSI – spoofing
BSI – spoofing
Zbigniew Suski
11
Zbigniew Suski
12
Opracował: Zbigniew Suski
Wybrane ataki sieciowe
Scenariusz ataku - założenia
Scenariusz ataku
1. Uzyskanie listy serwerów DNS domeny abc.com. Np.
Atak na serwer dns1.firma.com ma na celu poprzez usługę whois
umieszczenie w jego pamięci podręcznej
2. Zapytanie o dowolny komputer z domeny abc.com.
sfałszowanego zapisu dotyczącego serwera
nslookup www.abc.com dns1.firma.com
wazny.abc.com.
3. Atak DoS na serwery DNS domeny abc.com
4. Wysłanie zapytanie o adres serwera wazny.abc.com Celem intruza jest aby użytkownik korzystający z nslookup wazny.abc.com dns1.firma.com
serwera DNS dns1.firma.com, chcący połączyć się z 5. Wysłanie do serwera dns1.firma.com sfałszowanych odpowiedzi na pytania dotyczące komputera
serwerem wazny.abc.com uzyskiwał połączenie z wazny.abc.com
serwerem intruz.
BSI – spoofing
BSI – spoofing
Zbigniew Suski
13
Zbigniew Suski
14
Scenariusz ataku
Spoofing DNS - zapobieganie
Wyłączenie pamięci podręcznej serwerów DNS
Weryfikacja odpowiedzi serwera
Porównanie odpowiedzi z różnych serwerów
6. Sprawdzenie, czy sfałszowane odwzorowanie zostało umieszczone w pami
Porównywanie odpowiedzi na pytania proste i
ęci podręcznej serwera
dns1.firma.com nslookup wazny.abc.com
odwrotne
dns1.firma.com
Pytania iteracyjne zamiast rekursywnych
7. Próba połączenia klienta z domeny firma.com z serwerem wazny.abc.com
Test na autorytatywność
Nie używać DNS ?
Wykorzystanie ICMP (RFC 1788)
DNS Security
BSI – spoofing
BSI – spoofing
Zbigniew Suski
15
Zbigniew Suski
16
Opracował: Zbigniew Suski