Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow Анализ актуальных киберугроз

Перехват сетевых данных

Начало атаки на вычислительную систему практически всегда начинают с анализа трафика, поступающего и исходящего от него.

Анализаторы трафика представляют собой прикладное программное обеспечение, использующее сетевую карту, которая работает в режиме «promiscuous mode».

В данном режиме сетевой адаптер отправляет для обработки все пакеты, которые были получены через физические каналы.

Анализатор при этом осуществляет перехват сетевых пакетов, передающихся по определенному домену.

На сегодняшний день анализаторы трафика выполняют свою деятельность в сетях на законном основании.

Их используют для обнаружения неисправностей. Но из-за того, что часть сетевых приложений осуществляют передачу данных в текстовом формате (к примеру, взаимодействующие по протоколам telnet, POP3, FTP, SMTP), используя анализатор появляется возможность узнать полезную, а в некоторых случаях и конфиденциальную информацию (к примеру: пароли и имена пользователей).

Однако перехват паролей и имен является опасным по той причине, что большое количество пользователей используют для различных систем и приложений одинаковый пароль.

А у некоторых вообще один пароль является доступом ко всем приложениям и ресурсам. При функционировании приложения в режиме «клиент/сервер» и передаче данных аутентификации по сети в читаемом текстовом формате, эта информация, скорее всего, является доступом к иным внешним и корпоративным ресурсам.

На 3 этапа можно разделить стандартные сетевые атаки: сбор информации, выявление уязвимых мест у атакуемой системы, реализация выбранной атаки. Первый этап атаки заключается в изучении сетевой топологии атакуемой сети, а также в выявлении доступных сетевых и других сервисов, которые функционируют на атакуемом узле.

На рисунке 5 графически представлены способы выявления сетевой топологии.

Способы выявления сетевой топологии

Рисунок 5 - Способы выявления сетевой топологии

Этап по выявлению уязвимых мест у атакуемой системы происходит параллельно или после этапа по сбору информации. В изучения сетевой топологии входит выявление сетевых узлов, которые есть в заданном диапазоне адресов.

При этом популярные сетевые сканеры, например, «netcat», «zenmap», «InterNetView», решают эту задачу в основном через ICMP-сканирование.

Отметим, что протокол ICMP применяется в определении доступности сетевых узлов, а утилита ping - стандартная программа, которая использует протокол ICMP.

Именно эта утилита и отправляет запрос ICMP (тип пакета ECHO_REQUEST) на тестируемый узел запроса, а после получает ICMP ответ (тип пакета ECHO_REPLY).

Второй по популярности способ выявления сетевой топологии - TCP-сканирование. Его сущность заключается в следующем: установить сетевое соединение по определенному порту, перебирая IP-адреса.

Если произошла установка TCP-соединения, то первым пакет, отправляемый на тестируемый узел - это пакет с установленным флагом SYN [8].

По сути, существуют 3 ситуации, которые различаются тем, присутствует ли в сети система с адресом, где включена тестируемая служба. Если есть узел, на котором функционирует запрашиваемый порт, то ответом будет пакет с установленными флагами ACK и SYN, которые будут свидетельствовать о доступности соединения с этим портом.

Производя анализ этого ответа, атакующий может установить факт присутствия узла в сети, определить на нем наличие определенной сетевой службы. Если система присутствует, но при закрытом запрашиваемым портом, то ответом будет TCP-пакет с установленными флагами ACK и RST, которые будут свидетельствовать о невозможности установить соединение с запрашиваемым портом. Получив этот ответ, атакующий устанавливает присутствие в сети узла с интересующим IP-адресом, но с недоступным запрашиваемым портом.

Вместе с тем, в ответ ничего не придет в том случае, если в сети отсутствует искомый узел.

Подобная технология применяется, когда уже заранее есть информация о том, что узел в сети существует, однако требуется дополнительная информация о доступных сетевых службах, т. е. требуется выполнить сканирование портов у сетевого узла [9].

В данном случае происходят последовательные попытки подключиться в определенном диапазоне к сетевым портам. В редких случаях применяются подряд все номера портов, в основном используются только наиболее интересные для злоумышленников с целью последующего проникновения.

Иногда, формирование номеров злоумышленниками происходит на основе информации, полученной по коду ICMP-ответа ранее, о том, какого типа операционная система. Признаками сетевой атаки являются последовательные попытки установить соединение с несколькими портами.

Стоит отметить, что был рассмотрен только классический способ TCP-сканирования, который называется сканирование методом Connect, когда происходит установка полного TCP-соединения.

На рисунке 6 можно увидеть пользовательский графический интерфейс программы «Zenmap», в котором отображается результат выполнения сканирования TCP- и UDP- портов известного IP - адреса в диапазоне от 130 до 140 методом Connect. На рисунке 6 представлен графический интерфейс программы «Zenmap».

Пользовательский графический интерфейс программы «Zenmap» с отображением результатов сканирования

Рисунок 6 - Пользовательский графический интерфейс программы «Zenmap» с отображением результатов сканирования

Одновременно с этим, также существуют и иные методы, которые позволяют осуществлять скрытно процесс сканирования, это: FIN-сканирование, SYN-сканирование, XMAS-сканирование, ACK-сканирование, NULL-сканирование.

Также существуют и утилиты, с помощью которых можно оптимизировать вышеуказанные методы.

Необходимо дать краткое описание данных методов. Метод сканирования TCP-портов системным вызовом Connect - основной для сканирования портов, используя протокол TCP.

Благодаря этой функции атакующий узел может осуществить соединение с каким-либо портом веб-сервера. Если порт, который указан как параметр функции, прослушивается сервером, то есть и открытый порт для соединения. В результате произойдет по указанному порту соединение с сервером [16].

Более того, если соединение установить не удалось, то порт с указанным номером - закрытый.

Метод Connect - легко обнаруживаемый из-за множества попыток произвести подключение с одного адреса, а также из-за ошибок, возникших при установке соединения.

Метод сканирования TCP-портов флагом SYN популярен как «сканирование с установлением наполовину открытого соединения», т.к. отсутствует установка полного TCP-соединения. Вместо этого SYN-пакет отправляется на определенный порт сервера атакующим, планируя установить соединение, и ожидает ответ. Если в ответе присутствуют флаги SYN|ACK, то это значит, что порт открыт, и он прослушивается сервером. Если в ответ получен TCP-пакета с флагом RST, то это значит, что порт является закрытым и прослушивание отсутствует.

При приеме SYN|ACK-пакета узел незамедлительно осуществляет отправку RST-пакета для проведения сброса соединения, устанавливаемого сервером.

Еще одно название метода сканирования TCP-портов флагом FIN звучит следующим образом: «обратное стелс-сканирование с использованием флага FIN».

Идея данного метода заключается в следующем: согласно RFC 793 сервер должен ответить RST-пакетом на закрытый порт на прибывший FIN-пакет [6].

Игнорирование FIN-пакетов на открытые порты происходит объектом сканирования. Метод сканирования TCP-портов флагом ACK схож с FIN-сканированием.

Его также называют «обратное стелс-сканирование с использованием флага ACK».

Сущность этого метода: согласно RFC 793 на прибывший на закрытый порт ACK-пакет, ответ сервера должен быть в виде RST-пакета.

Происходит игнорирование ACK-пакетов на открытые порты объектом сканирования. Методы сканирования NULL и XMAS заключаются в процессе отправки TCP-пакета на сервер с установленными всеми флагами (XMAS) или же со всеми сброшенными флагами (NULL).

В соответствии с RFC 793 на прибывший пакет с данными значениями флагов на закрытый порт сервер дать ответ в виде RST-пакета. Происходит игнорирование таких пакетов на открытые порты объектом сканирования. Благодаря методам сканирования, указанным выше, злоумышленник узнает о наличии на атакуемом узле открытых TCP-портов.

Для того, чтобы обнаружить открытые UDP-порты используется совершенно другой подход. Проанализировать открытые UDP-порты злоумышленнику сложнее, чем TCP-порты, так как протокол UDP, в отличие от протокола TCP - это протокол с негарантированной доставкой данных.

В связи с чем UDP-порт не осуществляет передачу подтверждения приема запроса на установление соединения, и не несет никаких гарантий, что данные, отправленные UDP-порту, успешно дойдут до него [3].

Но большая часть серверов в ответ на пакет, который прибыл на закрытый UDP-порт, отправляют ICMP-сообщение «Порт недоступен» (Port Unreachable -- PU). Получается, что если пришло ICMP-сообщение PU в ответ на UDP-пакет, то сканируемый порт - закрытый, а если отсутствует PU, то порт является открытым.

Подводя итог рассмотренным методам анализа трафика, стоит отметить, что злоумышленник может, определив топологию сети и открытые порты на телекоммуникационном оборудовании или аппаратной части веб-сервера, осуществить перехват данных, содержащих в себе аутентифицирующую информацию, а также получить доступ к телекоммуникационным устройствам, которые непосредственно задействованы в обслуживании веб-сервера.

Все эти угрозы могут привести к успешной реализации любой атаки, но анализ трафика сам по себе атакой не является и деструктивного воздействия на веб-сервер и телекоммуникационное оборудование не оказывает. Но методы анализа трафика являются подготовительным этапом для реализации атаки. киберугроза сайт сервер интернет

Далее, мы рассмотрим атаки методом подмены IP-адреса более известные как IP-спуфинг.

 
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
< Предыдущая   СОДЕРЖАНИЕ   Следующая >
 
Предметы
Агропромышленность
Банковское дело
БЖД
Бухучет и аудит
География
Документоведение
Естествознание
Журналистика
Информатика
История
Культурология
Литература
Логика
Логистика
Маркетинг
Математика, химия, физика
Медицина
Менеджмент
Недвижимость
Педагогика
Политология
Право
Психология
Религиоведение
Социология
Статистика
Страховое дело
Техника
Товароведение
Туризм
Философия
Финансы
Экология
Экономика
Этика и эстетика
Прочее