 |
Классификация по уровню модели OSI
|
|
|
|
1) Атаки на физическом уровне – используют физические особенности каналов передачи информации.
Примеры:
- установка злоумышленником передатчика, заглушающего сигнал от Wi-Fi точки доступа, с целью нарушить работу беспроводной сети;
- установка злоумышленником точки доступа, сигнал от которой будет мощнее, чем сигнал от точки доступа атакуемой сети (чтобы заставить беспроводных клиентов подключиться к точке доступа злоумышленника и похитить какую-либо информацию);
- съём информации с кабеля посредством анализа электромагнитного излучения;
- нарушение физической целостности кабелей и оборудования
и т.д.
2) Атаки на канальном уровне – используют информацию из заголовка канального уровня
Примеры:
- MAC spoofing - подделка MAC-адреса в отправляемых пакетах (например, с целью незаконного подключения к беспроводной сети, если точка доступа использует проверку клиентов по их MAC адресам);
- взлом протокола шифрования беспроводных сетей WEP
и т.д.
3) Атаки на сетевом уровне – используют протоколы сетевого уровня (IP, ICMP, ARP, протоколы маршрутизации).
Примеры:
- IP spoofing - подделка IP-адреса в отправляемых пакетах (как правило, используется для прохода через брандмауэр и получения несанкционированного доступа к компьютеру. Также может использоваться злоумышленником для маскировки своего истинного IP-адреса, с целью обеспечить свою безопасность от преследования);
- ARP spoofing (рассматривалось в разделе 2.1);
- ICMP Redirect (атака будет рассмотрена далее);
- Атака на протоколы маршрутизации (будет рассмотрена далее);
- Атака «отказ в обслуживании» типа ICMP flood (будет рассмотрена далее)
и т.д.
4) Атаки на транспортном уровне - используют протоколы транспортного уровня (TCP, UDP).
|
|
|
Примеры:
- сканирование с целью выявления открытых портов;
- Атаки «отказ в обслуживании» типа TCP flood, UDP flood (будут рассмотрены далее);
- Атака TCP Hijacking (будет рассмотрена далее)
и т.д.
5) Атаки на прикладном уровне
Это самая многочисленная группа атак. К ним относятся внедрение вирусов и троянских программ на атакуемый компьютер, использование уязвимостей ОС и прикладных программ, подбор паролей, атаки на веб-приложения типа XSS (Cross-Site Scripting) и SQL Injection (будут рассмотрены далее) и т.д.
Классификация по типу
По типу все атаки подразделяются на активные и пассивные. К пассивной атаке относится прослушивание некоммутируемой сети с помощью сниффера, без применения каких-либо дополнительных методов и средств (таких, как, ARP spoofing). В этом случае злоумышленник не предпринимает никаких активных действий, не вмешивается в работу атакуемой системы, а просто наблюдает за передаваемым трафиком. Соответственно, все остальные атаки, требующие от злоумышленника вмешательства в работу атакуемого компьютера, относятся к классу активных атак.
Классификация по местоположению злоумышленника и атакуемого объекта
Можно выделить следующие разновидности:
1) злоумышленник и атакуемый объект находятся внутри одного сегмента локальной сети (например, районной локальной сети провайдера или корпоративной локальной сети организации). Компьютеру злоумышленника и атакуемому объекту присваиваются IP-адреса из одного диапазона.
В этом случае злоумышленнику проще всего осуществить атаку.
2) злоумышленник и атакуемый объект находятся в разных сегментах одной локальной сети, соединенных маршрутизатором. Компьютеру злоумышленника и атакуемому объекту присваиваются IP-адреса из разных диапазонов (например, 192.168.1.1 и 192.168.2.2).
Сложность осуществления атаки при таком расположении атакующего и жертвы выше, чем в первом случае.
|
|
|
3) злоумышленник и атакуемый объект находятся в разных локальных сетях, соединенных через Интернет. Это наиболее сложный для злоумышленника случай, поскольку благодаря технологии NAT внутренняя структура атакуемой сети не видна, а виден только внешний IP-адрес.
4) Атака осуществляется из локальной сети на сервер с внешним IP-адресом.
С одной стороны, проведение такой атаки кажется довольно простым делом, поскольку сервер имеет внешний IP-адрес, общедоступен и обязан принимать и обслуживать запросы от клиентских приложений. С другой стороны, сервер почти всегда хорошо защищен с помощью межсетевых экранов и систем обнаружения вторжений, имеет мощное аппаратное обеспечение и, как правило, обслуживается целой командой грамотных специалистов по ИТ-безопасности.
Атаки типа spoofing
Слово «spoofing» переводится как «обман», «подделка». Существует несколько разновидностей спуфинга.
1) IP-spoofing - подмена реального IP-адреса ложным в отправляемых пакетах.
Предположим, в локальной сети имеется хост А, предоставляющий другому хосту В из этой же локальной сети определенный сервис (например, доступ по протоколу telnet). Для других хостов этот сервис недоступен; хосты А и В идентифицируют друг друга по IP-адресам.
Злоумышленник на узле Х, находящийся в той же сети и желающий получить такой сервис, должен имитировать узел В. Для этого он присваивает себе IP-адрес хоста B. В том случае, когда хост В выключен, это присвоение выполняется простой заменой IP-адреса в свойствах сетевого соединения. Атакуемый хост А принимает запрос от злоумышленника и отвечает на него.
В случае, когда хост В включен, злоумышленник не может просто присвоить себе чужой IP-адрес, так как это вызовет конфликт одинаковых адресов. Ему придется подменить IP адрес источника в отправляемом пакете.
Однако здесь возникает определенная сложность. Дело в том, что хост А, перед тем, как ответить на запрос от злоумышленника, должен определить MAC-адрес, на который он будет отправлять свой ответ. Как известно, для определения MAC-адреса используются ARP-запросы. Но на ARP-запрос от компьютера А ответит компьютер В (потому что именно его IP адрес будет указан в ARP-запросе). Таким образом, хост А отправит свой ответ на хост В, а не злоумышленнику.
|
|
|
Чтобы решить эту проблему, злоумышленник X может отправить на А ложный ARP-ответ, в котором будет сопоставлен IP (B) и MAC (X).
Схема проведения атаки приведена на рисунке.
Применение IP spoofing для получения несанкционированного доступа к ресурсу
Довольно часто подобная атака применяется в районных локальных сетях с целью получения несанкционированного доступа в Интернет (если фильтрация пользователей происходит по IP-адресам). В этом случае в роли хоста А, предоставляющего некий сервис, выступает шлюз локальной сети, а в роли злоумышленника – пользователь, желающий получить бесплатный доступ в Интернет.
Другой пример - межсетевой экран организации может запрещать какой-либо группе пользователей выход в Интернет в рабочее время или блокировать доступ к определенным сайтам (в то время как другой группе пользователей, например администраторам, этот доступ может быть разрешен). Если фильтрация пользователей производится по их IP-адресам, то, присвоив себе на время чужой IP-адрес, пользователь может получить доступ к желаемым ресурсам.
В том случае, когда злоумышленник и хост В находится за пределами локальной сети, атака резко усложняется. Это связано с тем, что злоумышленник не сможет получать ответы от атакуемого компьютера А. По-прежнему ничто не мешает ему отправлять в адрес А сфальсифицированные пакеты от имени В, но ответные пакеты А будет отправлять узлу В, минуя злоумышленника. В некоторых случаях этого может быть достаточно для успешного осуществления атаки: хакер будет передавать на атакуемый хост А определенные команды, которые тот будет выполнять, полагая, что они исходят от В.
Однако существует определенная сложность, связанная с тем, что злоумышленник не получает ответов от А.
Как правило, взаимодействие между хостами осуществляется посредством протокола TCP. Перед тем, как начать обмен данными, необходимо установить соединение, то есть обменяться тремя служебными сегментами. Также, TCP присваивает каждому сегменту определенный порядковый номер.
|
|
|
Узел Х от имени В отправляет в А сегмент с битом SYN, где указывает свой начальный порядковый номер ISN(В). Узел А отвечает узлу В SYN-сегментом, в котором подтверждает получение предыдущего сегмента, и устанавливает свой начальный номер ISN(A). Этот сегмент злоумышленник никогда не получит.
Здесь возникает две проблемы: 1) узел В, получив от А ответ на SYN-сегмент, который он никогда не посылал, отправит узлу А сегмент с битом RST (сброс соединения), тем самым сводя к нулю усилия злоумышленника. 2) узел Х все равно не сможет отправить в А следующий сегмент (как раз это должен быть сегмент с данными), потому что в этом сегменте узел Х должен подтвердить получение SYN-сегмента от А. Но злоумышленник не может подтвердить его получение – он не знает знает номера ISN(A), потому что соответствующий сегмент ушел к узлу В.
Первая проблема решается относительно просто: злоумышленник проводит против узла В атаку типа «отказ в обслуживании» с тем расчетом, чтобы узел В не был способен обрабатывать сегменты, приходящие из А. Например, можно поразить узел В шквалом SYN-сегментов от несуществующих узлов. Впрочем, к облегчению злоумышленника, может оказаться, что узел В просто выключен.
Для решения второй проблемы злоумышленник должен уметь предсказывать значения ISN(A). Если операционная система узла А использует какую-либо функцию для генерации значений ISN (например, линейную зависимость от показания системных часов), то последовательно открыв несколько пробных соединений с узлом А и проанализировав присылаемые в SYN-сегментах от А значения ISN, злоумышленник может попытаться установить эту зависимость опытным путем.
Хорошая реализация TCP должна использовать случайные числа для значений ISN (более подробное обсуждение этого вопроса можно найти в RFC-1948). Несмотря на кажущуюся простоту этого требования, проблема с угадыванием номеров ISN остается актуальной и по сей день.
Описанная выше ситуация с “угадыванием” порядковых номеров TCP-сегментов носит название «Перехват TCP-сессии», или «TCP Hijacking», и является довольно сложной и нетривиальной задачей.
Если в качестве транспортного протокола используется UDP, то проблемы с подбором порядковых номеров сегментов не существует. Протокол UDP не использует установку соединения и не нумерует сегменты, поэтому злоумышленник должен только сфабриковать пакет, адресованный от узла В узлу А, и отправить ее по назначению.
IP-spoofing также часто используется как составная часть более сложной атаки, где важно замаскировать свою личность, свой истинный IP-адрес.
|
|
|
Методы борьбы:
Применение дополнительных методов аутентификации. Это означает, что для получения доступа к ресурсу необходимо не только иметь соответствующий IP-адрес, но и предъявить правильный логин и пароль. В этом случае IP-spoofing отказывается неэффективным.
Фильтрация RFC 2827. Многие провайдеры пресекают попытки спуфинга чужих сетей из своей сети. Это делается следующим образом: отсекается исходящий трафик, если адрес источника не является внутренним адресом сети, т.е. был заменен. Эта мера не защищает свою собственную сеть от спуфинга - она только не позволяет атаковать чужие сети.
2) MAC-spoofing - подделка MAC-адреса в отправляемых пакетах (например, с целью незаконного подключения к беспроводной сети, если точка доступа использует проверку клиентов по их MAC-адресам). Подделка MAC-адреса может быть осуществлена чрезвычайно просто – сменой MAC-адреса в свойствах сетевого адаптера, либо путем использования генератора пакетов.
Смена MAC-адреса сетевого адаптера
2) ARP-spoofing – отправка ложного ARP-ответа на атакуемый компьютер, с целью перехвата трафика (рассматривался в п. 2.1).
3) ICMP-Spoofing.
При этом подделываются пакеты протокола ICMP. В частности, используется при DoS-атаке ICMP Smurf (будет рассмотрена далее).
|
|
|
