На головну

Перехоплення і перенаправлення трафіку

  1. I. Методи перехоплення.
  2. Б. Перехоплення і перлюстрація листів.
  3. Інжиніринг трафіку
  4. Інжиніринг трафіку в MPLS
  5. Інжиніринг трафіку різних класів
  6. Кругове рулювання з перехресними перехопленнями на бічному секторі рульового колеса
  7. Магістральні мости провайдера з підтримкою інжинірингу трафіку

Наступний тип атак має на меті направити трафік атакується комп'ютера по помилковому адресою, в якості якого може виступати адреса або зловмисника, якої третьої сторони. Потоком даних, який користувач посилає, наприклад, на свій корпоративний сервер або сервер банку, зловмисник може розпорядитися двома способами. Перший полягає в тому, що зловмисник маскується під сервера адресата, передаючи клієнту ту «картинку» і ті повідомлення, які той очікує. Так, зловмисник може імітувати для користувача-жертви процедуру логічного входу, отримуючи при цьому ідентифікатор і пароль користувача. Ці дані в подальшому можуть застосовуватися для несанкціонованого доступу до сервера підприємства або банку, які і є головною метою атаки. Другий спосіб полягає в організації транзиту трафіку. Кожен перехоплений пакет запам'ятовується і / або аналізується на атакуючому вузлі, а після цього переправляється на «справжній» сервер. Таким чином весь трафік між клієнтом і сервером пропускається через комп'ютер зловмисника.

Розглянемо деякі прийоми, які використовуються зараз (або в недалекому минулому) при проведенні атак даного типу. Для більшості з них вже розроблені засоби протидії, і наведені тут опису атак носять в основному навчальний характер.

Найпростіший варіант перенаправлення трафіку в локальній мережі може бути здійснений шляхом відправки в мережу помилкового ARP-відповіді. (Залишимо осторонь питання, наскільки часто може виникнути така ситуація, коли зловмисник зацікавлений в перехопленні трафіку власної локальної мережі.) В даному випадку схема очевидна: отримавши широкомовний ARP-запит щодо деякого IP-адреси, зловмисник посилає помилковий ARP-відповідь, в якому повідомляється, що даним IP-адресою відповідає його власний МАС-адресу.

Для перехоплення і перенаправлення трафіку в локальній мережі теоретично може також використовуватися протокол ICMP. Відповідно до цього протоколу ICMP-повідомлення про перенаправлення маршруту маршрутизатор за замовчуванням посилає хосту безпосередньо приєднаної локальної мережі у разі відмови цього маршруту або в тих випадках, коли виявляє, що для деякого адреси призначення хост використовує нераціональний маршрут. На рис. 24.3, а застосовуваний за замовчуванням маршрутизатор R1, отримавши від хоста HI пакет, адресований хосту Н2, визначає, що найкращий маршрут до хосту Н2 пролягає через інший маршрутизатор даної локальної мережі, а саме через маршрутизатор R2. Маршрутизатор R1 відкидає отриманий пакет і поміщає його заголовок в ICMP-повідомлення про перенаправлення маршруту, яке посилає хосту HI. У повідомленні міститься IP-адреса альтернативного маршрутизатора R2, який хост тепер повинен використовувати, посилаючи дані хосту Н2. Хост HI вносить зміни в свою таблицю маршрутизації і з цього моменту відправляє пакети хосту Н2 по новому скоригованого маршруту. Для перехоплення трафіку, що направляється хостом HI хосту Н2, зловмисник повинен сформувати і послати хосту HI пакет, що маскується під ICMP-повідомлення про перенаправлення маршруту (рис. 24.3, б). У цьому повідомленні міститься запит про коригування таблиці маршрутизації хоста HI, так щоб у всіх пакетах з адресою 1Рн2 адресою наступного маршрутизатора став адреса IPha, що є адресою хоста-зловмисника НА. Для того щоб хост «повірив» цього повідомлення, в поле IP-адреси відправника повинен бути поміщений адресу маршрутизатора R1, що є маршрутизатором за замовчуванням. Коли пакети, що передаються введеним в оману хостом, почнуть надходити на вузол зловмисника, він може або захоплювати і не передавати ці пакети далі, імітуючи для підтримки діалогу додаток, з яким ці пакети призначалися, або організувати транзитну передачу даних за вказаною адресою призначення IРH2. Читаючи весь трафік між вузлами H1 і Н2, зловмисник отримує все необхідну інформацію для несанкціонованого доступу до сервера Н2.

Ще одним способом перехоплення трафіку є використання помилкових DNS-omвemoв (Рис. 24.4). Завдання зловмисника полягає в отриманні доступу до корпоративного сервера. Для цього йому потрібно заволодіти ім'ям і паролем авторизованого користувача корпоративної мережі. Цю інформацію він вирішує отримати шляхом відгалуження потоку даних, які корпоративний клієнт посилає корпоративного сервера.

Мал. 24.3. Перенаправлення маршруту за допомогою протоколу ICMP: а - повідомлення про більш раціональне маршруті хосту Н2 посилає маршрутизатор R1, застосовуваний за замовчуванням; б - повідомлення про перенаправлення маршруту на себе направляє атакуючий хост НА

Зловмисник знає, що клієнт звертається до сервера, вказуючи його символьне DNS-ім'я www. example.com. Відомо йому також, що перед тим як відіслати пакет серверу, програмне забезпечення клієнтської машини направляє запит DNS-сервера, щоб дізнатися, який IP-адреса відповідає цьому імені.

Мета зловмисника - випередити відповідь DNS-сервера і нав'язати клієнтові свій варіант відповіді, в якому замість IP-адреси корпоративного сервера (в прикладі 193.25.34.125) зловмисник вказує IP-адреса атакуючого хоста (203.13.1.123). На шляху реалізації цього плану є кілька серйозних перешкод.

Мал. 24.4. Схема перенаправлення трафіку шляхом використання помилкових DNS-відповідей

Перш за все необхідно затримати відповідь DNS-сервера, для цього сервер, наприклад, може бути підданий DoS-атаці. Інша проблема пов'язана з визначенням номера порту клієнта DNS, який необхідно вказати в заголовку пакета, щоб дані дійшли до додатка. І якщо серверна частина DNS має постійно закріплений за нею так званий «добре відомий» номер 53, то клієнтська частина протоколу DNS отримує номер порту динамічно при запуску, причому операційна система вибирає його з досить широкого діапазону.

Зауважимо, що протокол DNS може використовувати для передачі своїх повідомлень як протокол UDP, так і протокол TCP, в залежності від того, як він буде налаштований адміністратором. Оскільки протокол TCP встановлює логічне з'єднання з відстеженням номерів посланих і прийнятих байтів, «вклинитися» в діалог клієнта і сервера в цьому випадку набагато складніше, ніж у випадку, коли використовується дейтаграммний протокол UDP.

Однак і в останньому випадку залишається проблема визначення номера UDP-порта клієнта DNS. Це завдання зловмисник вирішує шляхом прямого перебору всіх можливих номерів. Також шляхом перебору можливих значень зловмисник долає проблему визначення ідентифікаторів DNS-повідомлень. Ці ідентифікатори передаються в DNS-повідомленнях і служать для того, щоб клієнт системи DNS міг встановити відповідність відповідей, що надходять посланим запитам. Отже, зловмисник бомбардує клієнтську машину помилковими DNS-відповідями, перебираючи всі можливі значення ідентифікують полів так, щоб клієнт, врешті-решт, прийняв один з них за істинний DNS-відповідь. Як тільки це відбувається, мета зловмисника можна вважати досягнутою - пакети від клієнта направляються на адресу атакуючого хоста, зловмисник отримує в своє розпорядження ім'я і пароль легального користувача, а з ними і доступ до корпоративного сервера.



Попередня   427   428   429   430   431   432   433   434   435   436   437   438   439   440   441   442   Наступна

Інтеграція систем адресації Е.164 і DNS на основі ENUM | Протокол передачі файлів | Основні модулі служби FTP | Керуючий сеанс і сеанс передачі даних | Команди взаємодії FTP-клієнта з FTP-сервером | Функції систем управління | Архітектури систем управління мережами | ГЛАВА 24. Мережева безпека | Визначення безпечної системи | Загроза, атака, ризик |

© um.co.ua - учбові матеріали та реферати