Тестирование Сетевой Безопасности

Сарварова Руфина. Fujitsu

Казань

• Сбор информации • Сканирование• Атаки:

– Фрагментация данных– Ping/Syn Flooding– Land– Нестандартные протоколы, инкапсулированные в IP– Атака smurf– Атака IP spoofing– Навязывание пакетов– Навязывание хосту ложного маршрута с помощью

протокола ICMP– Sniffing– Человек посередине

Agenda

Anonymous

•Операция «Расплата»

28 ноября 2010 года

•«Правительство отключило Megaupload? Через 15 минут группа Anonymous отключит правительственные сайты и сайты звукозаписывающих компаний»

19 января 2012 года

•на сайт Европарламента обрушилась мощная DDoS-атака Anonymous после подписания Польшей Торгового соглашения по борьбе с контрафакцией

6 января 2012 года

•«Анонимус» перехватили телеконференцию ФБР и Скотланд-Ярда, участники которой обсуждали меры борьбы с хакерами.

3 февраля 2012

•Операция «Россия» (Op Russia)

Январь 2012

• Ping fujitsu.com

• Nslookup fujitsu.com

• Whois fujitsu.com

owner-organization: Fujitsu Limitedowner-name: Domain Administratorowner-street: 4-1-1 Kamikodanaka, Nakahara-kuowner-city: Kawasakiowner-state: Kanagawaowner-zip: 211-8588owner-country: JPowner-phone: +81.362522503owner-fax: +81.362522944owner-email: domain.master@brights.jp

…

Сбор информации

• inetnum: 62.7.86.192 - 62.7.86.207netname: FUJITSUdescr: FTIP003151044 Fujitsu Ltdcountry: GBadmin-c: NB3291-RIPEtech-c: NB3291-RIPEstatus: ASSIGNED PAmnt-by: BTNET-MNTmnt-lower: BTNET-MNTmnt-routes: BTNET-MNTremarks: Please send abuse notification to abuse@bt.netremarks: Please send delisting issues to btnetdns@bt.netremarks: This range is statically assignedsource: RIPE #Filtered

Виды сканирования:

SYN-сканирование

TCP-сканирование

UDP-сканирование

ACK-сканирование

FIN-сканирование

• Xspider, MaxPatrol• Fping, tracerout• IP-Tools• Nessus • Burb Suite• LanSpy• Nmap

Инструменты сканирования

HTTPrint

HTTPrint

LanSpy

LanScope

• На компьютер-жертву передается несколько фрагментированных IP пакетов, которые при сборке образуют один пакет размером более 64К (максимальный размер IP пакета равен 64К минус длина заголовка).

Фрагментация данных

#nmap –f –sS –p 53 host1.local

tcpdump:

truncated-tcp 14 (frag 2301:14@0+)

host2.local > host1.local (frag 2301:6@14)

truncated-tcp 14 (frag 1321:14@0+)

Фрагменты заголовков

• Ping посылает ICMP-пакет типа ECHO REQUEST, выставляя в нем время и его идентификатор. Ядро машины-получателя отвечает на подобный запрос пакетом ICMP ECHO REPLY. Получив его, ping выдает скорость прохождения пакета.

Атака Ping flooding

• Затопление SYN-пакетами основано на переполнении очереди сервера, после чего сервер перестает отвечать на запросы пользователей.

Атака SYN flooding

• eic2

• Usage : eic -p -r -h -w

• -h | —host : Target host name or IP address-r | —protocol : IP protocol, value of TCP or UDP-p | —port : valid values 0 — 65535-w | —wait : Number of seconds to wait

Инструменты Syn Flooding

Атака Land

Передача на открытый порт компьютера-жертвы ТСР-пакета с установленным флагом SYN, причем исходный адрес и порт такого пакета соответственно равны адресу и порту атакуемого компьютера.

• Злоумышленники могут использовать нестандартное значение поля, определяющего протокол инкапсулированного пакета, для передачи данных, которые не будут фиксироваться стандартными средствами контроля информационных потоков

Нестандартные протоколы, инкапсулированные в IP

• Атака smurf заключается в передаче в сеть широковещательных ICMP запросов от имени компьютера-жертвы.

Атака smurf

• Передача на компьютер-жертву сообщения от имени другого компьютера внутренней сети

Атака IP spoofing

• Злоумышленник отправляет в сеть пакеты с ложным обратным адресом. С помощью этой атаки злоумышленник может переключать на свой компьютер соединения, установленные между другими компьютерами.

Навязывание пакетов

• Посылка ложного redirect-сообщения от имени маршрутизатора на атакуемый хост.

Навязывание хосту ложного маршрута с помощью протокола ICMP

• Рабочая станция может принимать пакеты, адресованные другим компьютерам того же сегмента сети.

Sniffing — прослушивание канала

• Aircrack-ng• tcpdump• Wireshark• Iris• Network General • LanGrabber • Observer• Fiddler• Packetyzer

Инструменты:

Man In The Middle

Обмен открытыми ключами

Внедрение вредоносного

кода

Downgrade Attack• SSH V1 вместо SSH V2• Ipsec• PPTP

• Dsniff• Cain and Abel• Karma

MITN инструменты

• arp-sk• AirJack• 4g8

Хакеры среди нас