Когда у тебя все хорошо, помни, что у кого-то может быть плохо. Поделись своим хорошо с другим. © Александр Дьяков 1008 - | 796 - или читать все...
Обратная связь Пожаловаться на материал

Получение повторного доступа.


⇐ ПредыдущаяСтр 24 из 25Следующая ⇒

После получения первичного доступа, нарушитель может попытаться обеспечить себе тайную возможность для повторных обращений к узлу, уничтожив все признаки своего вторжения, чтобы позже вернуться и использовать «взломанный» узел в качестве трамплина для достижения других целей. Чтобы «замести следы» несанкционированного доступа и обеспечить повторный доступ, нарушитель может пытаться выполнить следующее:

- удалить соответствующие записи журналов

- установить анализатор пакетов, чтобы иметь возможность наблюдать за сетевым трафиком

- создать для себя «черных ход» (backdoor), добавив подходящие имена и пароли пользователей или установив программу «троянского коня».

 

Методы противодействия:

- Обеспечение защиты от вирусов и троянов, своевременное их обнаружение

- Сканирование запросов на открытие портов от узлов, с которых такие запросы не ожидаются

- Использование программ проверки целостности файлов и структуры каталогов, обнаруживающих несанкционированные изменения

 

Многие сервисы и приложения могут быть весьма уязвимыми для атак удаленного доступа, так как изначально создавались как раз для упрощения доступа.

Уязвимость сервисов удаленного доступа.

Значительная часть сетевых сервисов, запускаемых на серверах, не имеет достаточных средств аутентификации и авторизации, с помощью которых можно было бы контролировать доступ  удаленных пользователей к этому сервису. Поэтому, неиспользуемые сервисы на серверах необходимо исключать.

Рассмотрим примеры приложений и сервисов использующих протокол TCP/IP, уязвимых в отношении атак удаленного доступа

- FTP – Анонимный доступ FTP позволяет нарушителям читать и, возможно, записывать файлы в узле сети (папка incoming). Не используйте этот сервис  без особой надобности и обязательно контролируйте возможность записи.

- Telnet – Предоставляет пользователю возможность удаленного доступа к командному процессору в открытом (незашифрованном) виде. Контролируется простым механизмом аутентификации (по имени пользов. и паролю), который легко обмануть (рассказать про отказ в пользу ssh).

- TFTP - В этом протоколе вообще отсутствует аутентификация. Возможна подмена файлов злоумышленниками на сервере или вообще, подмена IP-адреса сервера.

- SMTP, POP, sendmail – нарушители могут манипулировать средой sendmail с целью получения привилегий корневого уровня.

o Электронная почта вообще один из наименее безопасных сервисов Интернет. Кроме возможностей получения несанкционированного доступа к серверу, возможна несанкционированная отправка писем (спам). Спамэто тоже вопрос безопасности, так как значительные объемы спама наносят ощутимый экономический ущерб (трафик, ресурсы серверов, потеря времени и т.д). На данный момент в общем почтовом трафике спам составляет уже почти 90%!  (можно посмотреть статистику на http://mail.yandex.ru). Любой из Вас, может скачать из Интернет бесплатную программу для массовой рассылки писем, запустить ее в режиме SMTP-сервера и с ПК, подключенного к Интернет рассылать спам (пример из собственного опыта, выгодность рассылки спама для спамеров, история происхождения слова SPAM).

o   Почта одна из основных сред распространения вирусов на данный момент. По статистике примерно 5% всех пересылаемых через Интернет писем имеют вирусы. На пике эпидемий эта цифра может быть больше в несколько раз.

o Всё чаще идут разговоры о скором конце Интернета в таком виде, как он есть сейчас. Основная причина спам и вирусы. Прогнозируют переход в будущем к более закрытым сетям.

- Серверы Web, HTTP – уязвимости связаны с ошибками в ПО серверов и их неправильной конфигурацией. Апплеты и приложения Java и ActiveX могут действовать, как вирусы или троянцы.

o  В некоторых реализациях веб-серверов, можно было набрав в адресной строке определенную последовательность символов вывести в окне файл паролей. Например, встречаются уязвимость включения (include) файлов в скриптах php, когда набрав адрес вида: http://www.vulnhost.hu/vulnscript.php?page=../../../../etc/passwd можно прочитать файл паролей.

 

Методы противодействия:

- Запрет использования всех ненужных сервисов и команд

- Установка защищенных версий программ (т.е. самых последних версий web- и ftp- серверов, электронной почты)

- Замена значений конфигурации, установленных по умолчанию (например, замена разрешений «чтение/запись»).

-

2.9 Блокирование сервиса (Denial[di’nail]of Service)

Блокирование сервиса - это попытка нарушить или прекратить работу отдельных сервисов или всей ИС, в результате чего отказ на запрос услуг получат легальные пользователи.

 

Основные мотивы использования злоумышленниками блокирования сервиса:

- нанесение ущерба конкуренту

- бессмысленное создание помех (вандализм)

- проверка уязвимости системы для осуществления дальнейших атак

- скрытие следов несанкционированного доступа

 

Протокол IP весьма уязвим в отношении атак блокирования сервиса, поэтому существует множество типов таких атак. Рассмотрим основные виды DoS атак.

Перегрузка ресурса

Блокирование сервиса перегрузкой ресурса - это попыткой создания такой нагрузки на выбранные сервера или сетевое оборудование, в результате чего они становятся недоступными для легальных пользователей или перестают работать вообще.

К подобным примерам можно отнести: выход за рамки допустимых параметров интерфейса, переполнение оперативной памяти, достижение предела возможностей процессора, переполнение дискового пространства.

 

Рассмотрим конкретные виды атак перегрузки ресурсов:

Лавина ping (ping flood)

Средство атаки: pingflood.c (Здесь и далее я буду давать название исходных программ на С, которые положены в основу большого количества других программ. Исходный код большинства этих программ Вы сможете легко найти в Интернет) посылает атакуемому узлу большое число ICMP Echo Request (запросы отклика ICMP).

Средство атаки: smurf.c - посылает большое число запросов ICMP Echo Request по широковещательному адресу, указывая в качестве отправителя адрес «узла-жертвы». Когда пакет с запросом отклика достигнет сети назначения, все узлы сети посылают пакеты ICMP Echo Reply (ответ на запрос отклика) по фальсифицированному адресу. При этом, каждый запрос порождает множество ответов. Генерируемый поток сообщений в адрес соответствующего узла создает перегрузку.

fraggle является версией smurf, использующей протокол UDP.

Контрмеры

- Запрет ответов на пакеты ICMP Echo Request на пограничных маршрутизаторах

- Отключение возможностей широковещания.

 

Лавина SYN (SYN flood, атака полуоткрытых соединений)

Средства атаки: neptune.c, synk4.c

Инициализация большого числа TCP соединений с некоторым портом без завершения процесса инициализации, в результате чего, легальные пользователи не имеют возможности открыть новое соединение.

 

SYN атака - это одна из наиболее распространенных атак типа "отказ в обслуживании". В случае удачно проведенной SYN атаки можно сделать неработоспособным какой-либо сервис, основанный на TCP протоколе.

Чтобы разобраться в механизме этой атаки, нужно понять принцип работы процесса установления соединения для TCP протокола.

Процесс установления соединения TCP протокола проходит в 3 этапа:

    1. Клиент посылает пакет серверу со специальным флагом, который называется SYN flag. Наличие такого флага показывает, что клиент хочет установить соединение.
    2. Сервер в ответ посылает пакет, содержащий как флаг SYN , так и флаг ACK; это значит, что сервер принял запрос о соединении и ждет от клиента подтверждения для его установления.
    3. Клиент после получения пакета с SYN и ACK флагами посылает в ответ пакет, содержащий только флаг ACK, который указывает серверу, что соединение успешно установлено.

Все полученные сервером запросы о соединениях хранятся в специальной очереди, имеющей заранее определенный размер, зависящий от операционной системы. Они хранятся там до тех пор, пока сервер не получит от клиента информацию об установленном соединении. Если сервер получает пакет с запросом о соединении и очередь заполнена, этот пакет отбрасывается.

SYN атака заключается в отправке определенному серверу большого количества пакетов с запросами о соединении. Эти пакеты посылаются с несуществующим адресом источника. Сервер после получения этих пакетов, посылает ответный пакет и ждет подтверждения от клиента. Поскольку адрес источника пакетов не существует, сервер никогда не получит подтверждения.

Спустя некоторое время на данном сервере очередь для хранения запросов об установлении соединения полностью заполнится. С этого момента, все запросы на установление соединений будут отбрасываться, а сервис окажется бездействующим. Бездействие будет продолжаться в течение нескольких секунд, пока сервер, обнаружив, что подтверждение соединения не приходит слишком долго, не удалит эти ожидающие соединения из очереди. Однако, если атакующий настойчиво продолжает посылать подобные пакеты, сервис будет оставаться бездействующим столько времени, сколько захочет нарушитель.

Контрмеры:

- Использование последних реализаций системного сетевого ПО, более устойчивых к подобным атакам

- Использование системы защиты от атак SYN, встроенной в различные реализации брандмауэров (сетевых экранов)

- Использование системы обнаружения вторжений (IDS)

 

Пакетный шторм

Средства атаки: chargen, pepsi5.c, “бомба” UDP

chargen    19/tcp     ttytst source

chargen    19/udp     ttytst source

Протокол chargen, генератор символов в тестовых целях, присутствует в ОС UNIX и Windows, и работает с портом 19. Посылает последовательность ASCII символов на указанный узел.

Атакующий компьютер посылает поток UDP-пакетов с фальсифицированным IP-адресом источника по широковещательному адресу подсети. Каждый узел подсети отвечает на данные сообщения, в результате чего возникает лавина пакетов UDP, что приводит к отказу в обслуживании.

Контрмеры:

- Отключение отклика на chargen на всех машиных

- Закрытие используемых chargen портов сетевыми средствами

 

Pepsi5.c “заваливает” цель UDP-пакетами, содержащими случайные адреса источника

“Бомба” UDP формирует пакеты с некорректными значениями поля длины в заголовке пакета, что в некоторых узлах вызывает “панику” ядра (т.е. регистрируемую ядром системы внутреннюю ошибку, которую система считает достаточно серьезной, чтобы прекратить работу).

Контрмеры:

- Установка обновлений ОС

- Закрытие неиспользуемых сервисов и портов

 

Дата добавления: 2018-05-12; просмотров: 338; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая16171819202122232425Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.079)