В последней части книги мы рассмотрим обычные и автоматические методы ответных действий, а также архитектурные и организационные вопросы. Эта глава, посвященная атаке Митника, может считаться переходным звеном между рассмотренным выше базовым материалом и знаниями более высокого уровня. Атака Митника (Мкпіск) является одной из самых знаменитых. Любой специалист в области компьютерной безопасности должен знать о методе, использованном Митником для взлома систем Цутому Шимомуры (Твиготи БЫтотига). В этой главе также рассматриваются такие важные проблемы, как разведывательные действия и сканирование с целью обнаружения доверительных отношений. Мы обсудим защиту от взлома на периметре локальной сети и на отдельном хосте.

Основным источником изложенного материала являются сообщения самого Шимомуры об атаке Митника. Более подробную информацию по этой теме можно получить, написав письмо по адресу tsutomu@ariel. с^эс . есіи (ТяиСоти БЫтотига).

Использование недостатков ТСР

Для проведения атаки Митник использовал недостатки протокола ТСР, которые были хорошо известны в научных кругах, но никак не учитывались разработчиками систем. Использовалось два типа атак: наводнение с помощью БУК-пакетов и перехват ТСР-сеанса. Хотя и в наше время наводнение БУК-пакетами способно вывести систему из строя, операционные системы, использовавшиеся во время атаки в 1994 году, были значительно более уязвимыми. С помощью потока БУМ-пакетов блокировалась передача данных от одной из систем. Благодаря этому нарушитель смог подменить одну из сторон соединения и перехватить ТСР-сеанс. Митник обнаружил установленные доверительные отношения между двумя компьютерами и воспользовался ими в своих целях. Как ни странно, но с того времени почти ничего не изменилось, например, между компьютерными системами по-прежнему используются практически не контролируемые довериные отношения. Чаще всего это делается для удобства системных администраторов или пользователей.

Недостатки стека TCP/IP

Большинство программ для проведения разведки, атаки и отказа в обслуживании используют недостатки в архитектуре или реализации стеков протоколов Internet. В главе 4, “Протокол ICMP”, мы рассматривали использование широковещательных запросов ICMP для проведения сканирования сети и отказа в обслуживании с помощью атаки Smurf. В главе 3, “Фрагментация пакетов”, обсуждались методы проникновения в защищенный периметр с помощью фрагментированных пакетов, а также применение фрагментации с вредоносными целями.

В некоторых атаках используются старые, хорошо известные методы, а новые, постоянно создаваемые программы, основаны на ошибках программирования при реализации стеков IP. Следующий отчет TCPdump содержит запись о пакете, созданном средством тестирования PROTOS, которое использует ошибку в реализации SNMP.

18:49:54.519006 10.0.0.1.59108 > 10.0.0.2.161: GetRequest(33)

.1.3.6.1.2.1.1.5.0[Ien3<asnlen4294967295] (DF)

0x0000 4500 004с 0000 4000 4011 269f 0а00 0001

0x0010 ОаО0 0002 е6е4 OOal 0038 Oefc 302e 0201

0x0020 0004 0670 7562 6с69 бЗаО 2102 0206 9202

0x0030 0100 0201 0030 1530 1306 082b 0601 0201

0x0040 0105 0044 84ff ffff ff02 0100

Когда мы впервые использовали этот тест против компьютера, работающего под управлением Red Hat Linux 7.0, произошел аварийный сбой в работе серверного приложения SNMP и прекратил работу анализатор пакетов ethereal. Почему это случилось? Обратите внимание на длину пакета, указанную согласно формату ASN.1 в квадратных скобках в начале отчета. Как видите, передается 4 миллиарда байт какой-то информации. Попытка выделения памяти для приложений SNMP и ethereal приводит к аварийному завершению работы этих приложений. Наличие доступной памяти является основной проблемой и для атаки Митника.

Проще всего организовать растрату всех ресурсов памяти (“утечку памяти”) с помощью незавершенной процедуры установки соединения. Используемые Мит-ником недостатки присутствовали в цервых реализациях стеков TCP/IP, но даже сейчас подобные ^таки иногда могут иметь успех.

Параметры правил snort | Обнаружение нарушений безопасности в сетях | История tcp/ip


Обнаружение нарушений безопасности в сетях



Новости за месяц

  • Октябрь
    2021
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс