Стандартным признаком сканирования сетей является появление широковещательного или фрагментированного трафика, а также наличие установленных параметров IP-дейтаграмм. Входящий широковещательный трафик никогда не является легитимным и его следует блокировать, чтобы предотвратить вышеописанные попытки составления схемы сети и атаки Smurf. Как известно, фрагментация является естественным способом доставки пакетов, MTU которых больше, чем MTU одного из участков маршрута передачи сообщения. Но фрагментация также может применяться для атак отказа в обслуживании или для обмана систем обнаружения вторжений или маршрутизаторов, не поддерживающих хранение содержимого пакетов.

Выявление широковещательного трафика

Будем считать широковещательным адрес, последний байт которого содержит значение 0 или 255. Адрес получателя занимает диапазон с 16-го по 19-й байты (32 бит) IP-заголовка (см. рис. 12.1). Нас интересует только последний, 19-й, байт. Описать широковещательные адреса можно следующим образом:

ip [19] = Oxff ip [19] = 0x00

Или как один скомбинированный фильтр: ip[19] = Oxff or ip[19] = 0x00

Авторы этой книги привыкли записывать свои фильтры шестнадцатеричными символами, но, если кому-то больше нравится десятичная форма, то этот фильтр можно легко изменить.

1р [19] = 255 ог 1р [19] = О

В зависимости от месторасположения хоста, на котором запущена программа ТСРс1итр с этим фильтром, можно организовать перехват всего широковещательного трафика в своей сети. Предположим, например, что адрес нашей сети 192.168.х.х. Настроим фильтр на регистрацию широковещательного трафика, отправляемого с удаленного хоста только для этой конкретной сети, пс^ зге пеЬ 192.168. апсЗ ар [19] = Oxff ог ±р [19] = 0x00)

Оператор пс^ обозначает отрицание, а макросы бгс и пеЬ используются для указания на трафик, исходящий от указанного далее отправителя, и для обозначения сети соответственно. Таким образом, данный фильтр позволяет зарегистрировать весь широковещательный трафик, исходящий из любого внешнего источника, кроме нашей подсети. Если запустить ТСРс1итр, задав данный фильтр (или проверить собранные ранее данные), то будет выдан отчет о всех попытках сканирования локальной сети.

Выявление фрагментированного трафика

В этом разделе рассказано о создании фильтров ТСЛМитр для поиска фрагментированного трафика. Во всех фрагментах стандартной последовательности пакетов, кроме последнего, установлен флаг МЕ. По этому признаку можно выявить большинство проходящих фрагментов. Еще раз обратимся к рис. 12.1. Бит МЕ находится во второй строке 1Р-заголовка. Какой это байт?

Результат подсчета позволяет сказать, что это шестой байт 1Р-заголовка, а нужный нам бит является третьим справа от самого старшего бита этого байта. Посмотрим на рис. 12.3, чтобы понять, какая маска позволит скрыть все биты этого байта, кроме бита МЕ. Потребуется маска 0010 0000, которая в шестнадцатеричном формате выглядит как 0x02. Фильтр принимает вид 1р [в] & 0x20 != 0.

Используется оператор “не равно” и значение 0. Это означает, что проверяется установка флага МР. А почему просто не задать фильтр 1р [ 6 ] & 0x2 0 = 1. Разве не так проверяется установка этого бита? Не совсем. Дело в том, что проверяется не само значение конкретного бита, а результат маскирования всего байта (логического умножения исходного байта и байта маски). Установленный бит МЕ занимает в байте позицию, соответствующую значению 2 -32. Поэтому проверить результат с помощью выражения ! = 0 несколько проще. Альтернативным вариантом может послужить фильтр 1р [6 ] & 0x2 0 = 32. Не забывайте, что фрагментация является нормальным методом доставки пакетов, и такой фильтр может послужить причиной появления многочисленных сообщений о ложных атаках.

Рис. 12.3. Обнаружение установленного битаМЕ

Были представлены примеры создания трех фильтров ТСРёитр для обнаружения потенциально опасного трафика. Теперь рассмотрим пакеты других протоколов и способы создания фильтров ТСРс1итр для этих пакетов.

Побитовое маскирование | Обнаружение нарушений безопасности в сетях | Udp-фильтры программы tcpdump


Обнаружение нарушений безопасности в сетях



Новости за месяц

  • Июнь
    2021
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс