Please enable JavaScript.
Coggle requires JavaScript to display documents.
Атаки на технологии 2-4 уровней модели OSI
Можно поделить на две…
Атаки на технологии 2-4 уровней модели OSI
Можно поделить на две разновидности:
- Связанные с неудачной (небезопасной) идеологией технологии (логики работы), не связанные с ошибками реализации данной технологии
- Связанные с неудачной реализацией той или иной технологии
Методы и инструменты
Злоумышленник использует:
- прослушивание (sniffing) -- применяется для сбора информации о данных и сети (топологии и т.д.); является пассивной атакой;
- сканирование сети (сканеры сети, Nmap) -- определение активных хостов, сканирование портов и их состояния, fingerprintion этих портов, отпечатков ОС (реакции ОС на определенные ситуации и действия); активная атака;
- генерация пакетов (Socks, ARPspuffing, ) -- для фальсификации, ввода в заблуждение и т.д.
Прослушивание сети
Для Sniffing надо перейти в беспорядочный режим на интерфейсе (для прослушивани всех пакетов, которые шастают по сети, как юникасты для данного узла так и для бродкастов). Антиснифинг (AntiSniff) - генерируется поток трафика для несуществующих узлов в сети.
Заставить отвечать те узлы, которые в штатном режиме не должны отвечать, а в беспорядочном режиме интерфейса (запущеный сниффер) будут обрабатывать и ответить на эти запросы.
Сканирование сети
Имеет своей целью выявления подключенных к сети компов и определения работающих на них сетевых сервисов (открытых портов TCP/UDP).
Может использоваться программа Nmap.
Генерация пакетов
Генерация дейтаграмм или кадров произвольного формата и содержания производится не менее просто, чем прослушивание сети. Библиотека Libnet обеспечит программиста всех необходимым для решения этой задачи. Библиотека Libpcap представляем инструментарий для обратного действия - извлечения пакетов из сети и их анализа.
Перехват данных
Ложные ARP-ответы - рассылает сфальсифицированные ARP-сообщения так, что каждый из атакуемых узлов считает МАС-адрес злоумышленника своего собеседника.
Обнаружение ARP-атак
- вести базу данных соответствия МАС- и IP-адресов всех узлов сети и использовать программу arpwatch, которая прослушивает сеть и уведомляет админа о замеченных нарушениях.
- использование статических ARP-таблиц, по крайней мере на ключевых узлах (сервак, роутер)
Навязывание ложного маршрутизатора
Выполняется с помощью фальсифицированных ICMP-сообщений Redirect. Злоумышленик обьявляет свой адрес в качестве адреса маршрутизатора.
В некоторых случаях может быть произведено с помощью ICMP-сообщения Router Advertisement или через протокол ICMP.
Атака на протоколы маршрутизации
Роутеры не реагируют на сообщения ICMP Redirect, по этому для атаки необходимо, чтобы они использовали какой-либо протокол маршрутизации.
-
Отказ в обслуживании
- Целью атаки является приведение атакуемого узла или сети в такое состояние, когда передача данных другому узлу становится невозможной или затруднительной (Distrubuted DoS, DDos).
DoS-атаки можно поделить не несколько групп:
- атаки большим числом формально корректных, но возможно, сфальсифицированных пакетов, направленные на истощение ресурсов узла или сети;
- атаки специально сконструированными пакетами, вызывающие общий сбой системы з-за ошибок в программах;
- атаки сфальсифицированными пакетами, вызывающими изменения в конфигурации или состояния системы, что приводит к невозможности передачи данных, сбросу соединения или резкому снижению эффективности.
- Smurf - состоит в генерации шквала ICMP Echo-ответов, направленных на атакуемый узел.
Способы защиты:
- запрет на маршрутизацию дейтаграмм с бродкастными адресами назначения между сетью организации и интернетом;
- запрет на обработку узлами Echo-запросов, направленных на бродкастный адрес;
- запрет на маргшрутизацию дейтаграмм, направленных из внутренней сети (сети оргранизации) в Интернет, но имеющих внешний адрес отправителя
- SYN flood and Naptha
Атака SYN flood (Neptune) состоит в посылке SYN-сегментов ТСР на атакуемый узле в большом кол-ве, чем тот может обработать одновременно. Эту атаку можно определить как удерживание большого числа соединений на атакуемом узле в состоянии SYN-RECIEVED.
- UDP flood - состоит в заполнении атакуемой сети шквалом UDP сообщений. Для генерации используются сервисы UDP, посылающие сообщения в ответ на любое сообщение (echo - порт, chargen - порт 19).
Ложные DCHP-клиенты - состоит в создании большого числа сфальсифицированных запросов от различных несуществующих клиентов. Если сервер выделяет адреса динамически из некоторого пула, ото все адресные ресурсы могут быть истрачены на фиктивных клиентов, вследствие чего легитимные хосты не смогут сконфигурироваться и лишатся доступа в сеть.
- Сбой системы - DoS-атаки этой группы не связаны с проблемами протоколов стека TCP/IP, а используют ошибки в их программной реализации.
Ping of death - состоит в посылке на узел фрагментированной дейтаграммы, размер которой после сборки превысит 65535 октетов
Teardrop - использует ошибку, возникающую при подсчете длины фрагмента во время сборки дейтаграммы.
Land - состоит в посылке SYN-сегмента ТСЗ, у которого IP-адрес и порт отправителя совпадают с адресом и потром получателя
Nuke - состоит в посылке на TCP-порт срочных данных (задействованно поле Urgent Pointer).
- Изменение конфигурации или состояния узла
- перенаправление трафика на несуществующий узел
- навязывание длинной сетевой маски
- десинхронизация ТСР-соединения
- сброс ТСР-соединения
- принуждение к передаче данных на заниженной скорости