После рассмотрения основных сведений о перехвате сеанса TCP остальное будет несложно. Проблемы, с которыми злоумышленник сталкивается при перехвате сеанса TCP, обусловлены встроенными защитными механизмами, повышающими надежность его работы. Если бы не было последовательных номеров, механизма уведомления ASK и других вещей, используемых протоколом TCP для повышения надежности доставки пакетов адресату, злоумышленнику было бы гораздо проще жить. Догадываетесь, куда клонит автор? У пользовательского протокола данных UDP нет этих защитных механизмов. По крайней мере, даже если они и есть, то они не реализованы в той степени, как в протоколе TCP. Тем не менее разработчик протокола может реализовать необходимые ему защитные механизмы протокола TCP поверх протокола UDP. Известно об очень немногих попытках реализации даже малой части защитных механизмов протокола TCP. В сетевой файловой системе NFS реализовано что-то похожее на последовательные номера и возможности ретрансляции, но гораздо проще, чем в протоколе TCP.

Поэтому чаще всего похищение UDP-сессий сводится к состоянию гонок: кто быстрее сможет получить отклик в виде соответствующего пакета - злоумышленник или легитимный сервер с клиентом? Чаще всего в гонке выигрывает злоумышленник, поскольку у него всегда есть возможность подготовиться к атаке. Злоумышленнику необходимы инструментальные средства, с помощью которых он мог бы наблюдать за запросами, генерировать фальсифицированный ответ настолько быстро, насколько это возможно, а затем вбрасывать его в сеть.

Например, для перехвата очень привлекательна служба имен доменов DNS. Допустим, что атакующая машина злоумышленника находится ближе к клиенту, чем DNS-сервер. Тогда последовательность действий злоумышленника может быть следующей:

• злоумышленник претендует на роль какого-либо Web-сервера, например securityfocus.com;

• злоумышленник настраивает и оснащает свою машину таким образом, чтобы она отслеживала запросы, предназначенные для securityfocus.com, и сохраняла копию пакета;

• злоумышленник извлекает из запроса идентификатор запроса (request ID), а затем использует его для завершения формирования и отправки ответного пакета, приготовленного заранее и указывающего на IP-адрес злоумышленника;

• после этого клиент соединяется с машиной злоумышленника вместо securityfocus.com;

• в результате к клиенту приходит сообщение об установке соединения с securityfocus.com: «SecurityFocus has been Owned».

Конечно, в данном случае соединение с сервером на самом деле не было установлено, но клиент об этом не знает до тех пор, пока он не додумается проверить 1Р-адрес securityfocus.com. В качестве альтернативы злоумышленник может сделать свой Web-сервер идентичным серверу securityfocus.com, но все загружаемые с него программы безопасности будут превращены в Троянских коней. Другая часть пакета dsniff - утилита dnsspoof -помогает реализовать подобные атаки.

Популярные инструментальные средства перехвата сеанса

На сегодняшний день широко известен ряд инструментальных средств, существенно облегчающих перехват сеансов. В некоторых случаях они работают в автоматическом режиме. Инструментарии подобного типа являются важнейшей частью любой инструментальной панели безопасности. Для обсуждения их возможностей были выбраны некоторые из них, наиболее функциональные и популярные.

Атаки на протокол разрешения адресов arp | Защита от хакеров корпоративных сетей | Программа juggernaut


Защита от хакеров корпоративных сетей



Новости за месяц

  • Август
    2019
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс