П О Р Т А Л                            
С Е Т Е В Ы Х                          
П Р О Е К Т О В                        
  
Поиск по сайту:
                                                 
Главная

О проекте

Web-мастеру
     HTML & JavaScript
     SSI
     Perl
     PHP
     XML & XSLT
     Unix Shell

MySQL

Безопасность

Хостинг

Другое







Самое читаемое:

Учебник PHP - "Для Чайника".
Просмотров 4088 раз(а).

Иллюстрированный самоучитель по созданию сайтов.
Просмотров 6742 раз(а).

Учебник HTML.
Просмотров 3711 раз(а).

Руководство по PHP5.
Просмотров 5979 раз(а).

Хостинг через призму DNS.
Просмотров 4800 раз(а).

Подборка текстов стандартных документов.
Просмотров 56234 раз(а).

Учебник PHP - Самоучитель
Просмотров 3689 раз(а).

Документация на MySQL (учебник & справочное руководство)
Просмотров 8305 раз(а).

Внешние атаки...
Просмотров 4547 раз(а).

Учебник PHP.
Просмотров 3167 раз(а).

SSI в примерах.
Просмотров 169 раз(а).
 
 
| Добавить в избранное | Сделать стартовой Project.Net.Ru | Помощь





Сетевые атаки

Подмена адреса источника (IP Spoofing)

Целью данной атаки является узурпировать IP-адрес определенной машины. Это позволяет злоумышленнику либо скрыть источник атаки (используется в атаках типа "отказ в обслуживании"), либо извлечь какую-либо пользу из доверительных связей двух машин. Здесь мы рассмотрим второй вариант использования атаки IP Spoofing.

Для злоумышленника, базовый принцип атаки заключается в фальсификации собственных IP-пакетов (например, с помощью таких программ, как hping2 или nemesis) в которых изменяется, среди прочего, IP-адрес источника. Атака IP Spoofing часто называется "слепой подменой" (Blind Spoofing). Это связано с тем, что ответы на фальсифицированные пакеты не могут прийти машине кракера (сленговое название "любителя" сетевых взломов -- прим.ред.), ведь был изменен исходящий адрес. Следовательно, они отправляются машине, адрес которой использовал кракер для подмены. Однако, все-таки существуют два метода получения ответов:

  1. Маршрутизация от источника (Source Routing): в протокол IP существует возможность маршрутизации от источника, которая позволяет задавать маршрут для ответных пакетов. Этот маршрут представляет собой набор IP-адресов маршрутизаторов, через которые должен проследовать пакет. Для кракера достаточно предоставить маршрут для пакетов до маршрутизатора, им контролируемого. В наше время, большинство реализаций стека TCP/IP отбраковывают пакеты с маршрутизацией от источника;

  2. Перемаршрутизация (Re-routing): если маршрутизатор использует протокол RIP, то его таблицы можно изменить присылая ему RIP-пакеты с новой информацией о маршрутах. С помощью этого, кракер добивается направления пакетов на подконтрольный ему маршрутизатор.

Эти технологии трудноприменимы: атака выполняется без получения ответных пакетов целевого сервера.

Слепая подмена используется против таких сервисов, как rlogin и rsh. Их механизмы аутентификации основаны лишь на исходных IP-адресах клиентских машин. Это широко известная атака (Кевин Митник [Kevin Mitnick] применил ее против машины Цутому Шимомура [Tsutomu Shimomura] в1994) требует некоторых шагов:

  • обнаружение IP-адреса доверенной машины, например, при помощи команды showmount -e, которая выводит список хостов для которых экспортируются файловые системы, или команды rpcinfo, выдающей больше информации;

  • выполнение атаки "отказ в обслуживании" против доверенной машины, используя, например, SYN-наводнение (SYN Flooding, детальнее об атаках такого типа смотрите ниже). Это необходимо для предотвращения возможности ответа доверенной машины на пакеты от целевого сервера. В противном случае, машина пошлет серверу пакеты TCP RST, которые оборвут попытку соединения;

  • предугадывание последовательного номера TCP: каждому TCP-пакету присваивается начальный номер последовательности. Стек TCP/IP операционной системы генерирует его линейно, в зависимости от времени, случайным или псевдослучайным методом. Кракер может атаковать только те системы, которые пользуются прогнозируемыми методами (линейным или основанном на времени) для вычисления номера последовательности;

  • атака заключается в открытии TCP-соединения с желаемым портом (например rsh). Для лучшего понимания, мы напомним вам как работает механизм установления TCP-соединения. Он происходит в три шага (механизм тройного квитирования):

    1. клиент шлет серверу пакет с выставленным флагом TCP SYN и номером последовательности x ;

    2. сервер отвечает пакетом с выставленными флагами TCP SYN и ACK (с номером подтверждения x+1). Номер последовательности данного пакеты равен y;

    3. клиент шлет пакет с флагом TCP ACK (и номером подтверждения y+1) серверу.

Во время атаки, кракер не получает от сервера пакет с выставленными флагами SYN-ACK. Для того, чтобы установить соединение он прогнозирует номер последовательности y и посылает пакет с предполагаемым номером подтверждения (y+1). После этого соединение установлено. Кракер теперь может послать команду сервису rsh, такую как echo ++ >> /.rhosts и получить дополнительные права доступа. Чтобы сделать это, он шлет пакет с выставленным флагом TCP PSH (Push): полученные данные немедленно передаются протоколу более высокого уровня (в нашем случае сервису rsh). После чего, кракер может подключаться к серверу по rlogin или rsh без подмены адреса источника.

Рисунок 7 демонстрирует шаги по реализации атаки IP Spoofing:

Рис.7: Атака IP Spoofing направленная на сервис rsh
ip_spoof

Кракер использует машину A, машина C -- это доверенная система. Обозначение A(C) символизирует пакет, отправленный машиной А с адресом машины C в качестве адреса источника.

Примечание: существует программа mendax, реализующая механизмы атаки IP Spoofing.

[ Назад ] [ Содержание ] [ Вперед ]



Если Вы не нашли что искали, то рекомендую воспользоваться поиском по сайту:
 




Copyright © 2005-2016 Project.Net.Ru