Sunteți pe pagina 1din 49

Cursul 13

13
Atacuri de reea
10-11 ianuarie 2012
Obiective
Tipuri de atacuri
Atacuri de recunoatere
Atacuri acces
DoS
Virui
Troieni
Viermi


2
Recapitulare: Clasificarea atacurilor
Internetul nu este un loc sigur
Reeaua local poate fi oricnd inta unui atac:
De recunoatere
Ping sweep
Sniffing
Port scan
De DoS (Denial of Service) sau DDoS (Distributed DoS)
Smurf attack
SYN flood
De acces
Atacarea unei parole (cu dicionar sau brute-force)
Buffer overflow
Man-in-the-middle


3
Cursul 13
Atacuri de recunoatere
Scop
nmap
tcpdump
Wireshark
whois
Atacuri de recunoatere
Constau n recoltarea informaiilor despre o anumit reea
Se caut orice informaie util care poate fi folosit n
desfurarea unui atac ulterior


Exemple de informaii utile unui atacator:
IP-urile staiilor dintr-o reea
Serviciile ce ruleaz pe fiecare staie
Locaia serviciilor n care utilizatorii reelei au ncredere
Vulnerabiliti n versiunile serviciilor
5
Utilitare de recunoatere: nmap
Permite scanarea staiilor din reea
Poate descoperi:
Staiile active (Ping Scan)







Informaii despre sistemul de operare
6
attacker# nmap O 141.85.227.116
Vor fi trimise pachete ICMP Echo ctre
toate staiile din reea
attacker# nmap sP 141.85.227.0/24
Ping scan
Utilitare de recunoatere: nmap
Permite scanarea staiilor din reea
Poate descoperi:
Informaii despre porturile deschise (Port Scan)







Informaii despre servicii i versiunea acestora (Service Scan)

7
attacker# nmap sP p T:21-25,80 141.85.227.0/24
Port scan
Scanarea poate fi efectuat doar pe
anumite porturi
attacker# nmap sV 141.85.227.118
Utilitare de recunoatere: nmap
8
attacker# nmap sV elf.cs.pub.ro
[]
Interesting ports on elf.cs.pub.ro (141.85.227.116):
Not shown: 993 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.5p1 Debian 6 (protocol 2.0)
25/tcp open smtp Postfix smtpd
80/tcp open http Apache httpd 2.2.16 ((Debian))
443/tcp open ssl/http Apache httpd 2.2.16 ((Debian))
6881/tcp filtered bittorrent-tracker
6969/tcp open http BitTornado tracker T-0.3.18
20222/tcp open ssh OpenSSH 5.1p1 Debian 5 (protocol 2.0)
MAC Address: 00:18:51:6C:1F:9E (SWsoft)
Service Info: Host: elf.cs.pub.ro; OS: Linux
[]
Utilitare de recunoatere: Wireshark
Permite interceptarea i analiza traficului de reea
Necesit trecerea interfeei de reea n mod promiscuous
n acest mod este primit orice trafic (chiar i cel care nu este destinat
staiei locale)
Utilizeaz formatul libpcap
Permite deschiderea fiierelor de captur libpcap ale altor utilitare
(tcpdump, dynagen)
9
Utilitare de recunoatere: tcpdump
Folosit pentru captura din linie de comand a traficului
10
attacker# tcpdump i eth0 c 10 dst port 80
Interfaa pe care se
realizeaz captura
Numrul de pachete
ce vor fi capturate
Condiii pentru filtrarea capturii (n cazul
acesta vor fi trecute n captur doar
pachetele ctre portul destinaie 80)
Utilitare de recunoatere: whois
Utilitar pentru serviciul whois
Permite obinerea informaiilor despre un domeniu
11
Registrant:
Dns Admin
Google Inc.
Please contact contact-admin@google.com 1600 Amphitheatre Parkway
Mountain View CA 94043
US
dns-admin@google.com +1.6502530000 Fax: +1.6506188571

Domain Name: google.com

Registrar Name: Markmonitor.com
Registrar Whois: whois.markmonitor.com
Registrar Homepage: http://www.markmonitor.com

Administrative Contact:
DNS Admin
Google Inc.
1600 Amphitheatre Parkway
Mountain View CA 94043
US
dns-admin@google.com +1.6506234000 Fax: +1.6506188571
Utilitare de recunoatere: host
Utilitar pentru serviciul DNS
Permite obinerea informaiilor despre serverele de nume i de mail ale
unui domeniu
12
attacker# host -t MX pub.ro
pub.ro mail is handled by 5 mail.pub.ro.
pub.ro mail is handled by 50 relay.roedu.net.
attacker# host -t NS pub.ro
pub.ro name server pub.pub.ro.
pub.ro name server ns1.roedu.net.
pub.ro name server pub2.pub.ro.
Cursul 13
Atacuri DoS
Identificare
DDoS
Smurf attack
TCP SYN flood
CAM overflow

Identificare atacuri DoS
Denial of service

Se trimite un numr mare de cereri pentru a preveni procesarea
cererilor normale

Din cauza ncrcrii exist inclusiv riscul ca aplicaia s ntmpine
o eroare i s se opreasc

Atacurile DoS se recunosc msurnd traficul n condiii normale
Apariia unei anomalii poate indica un atac DoS

14
Atacuri DDoS
Constau n trimiterea cererilor de la mai multe sisteme ctre o
singur int
Atacurile DoS/DDoS sunt dificil de identificat
Nu se poate determina mereu care sunt cereri valide i care reprezint un
atac
Exemplu de trafic valid cu rezultat de DoS: Slashdot effect

15
Exemplu de
Slashdot effect
Smurf attack
Ping-uri ctre o adres de broadcast cu o adres surs spoofed
Toate staiile din reeaua respectiv vor rspunde ctre surs
Dac reeaua este mare staia int poate s primeasc mai mult
trafic dect poate procesa
Efectul este imposibilitatea folosirii conexiunii la Internet pentru uz normal

16
Internet
Dest: 141.85.37.255/24
Surs: 30.30.30.30
30.30.30.30
20.20.20.20
141.85.37.0/24
Echo request
Echo reply
Atacatorul iniiaz un numr mare de conexiuni TCP cu un server,
fr a termina handshake-ul iniial (conexiuni half-open)
Respectivele conexiuni epuizeaz resursele serverului
Acesta nu mai poate procesa cereri valide
Server
TCP SYN flood
17
SYN
SYN
SYN + ACK
SYN + ACK
Info
Conexiune
Info
Conexiune
Atacator
CAM Overflow
Ce este tabela CAM?
R: Tabel folosit de switch-uri pentru a reine prin ce port se ajunge la o
anumit adres MAC
Memoria unui switch nu e nelimitat:
Tabela CAM se poate umple
Dac se umple, switch-ul va lucra n regim de hub
Un atacator poate trimite un volum mare de cadre cu adrese MAC
spoofed
Ce adrese MAC trebuie falsificate pentru acest atac?
R: Switch-ul nva adresele MAC surs, deci acestea trebuie falsificate
Cum se poate opri acest atac?
R: Limitarea numrului de adrese ce pot fi nvate pe un port.
18
Cursul 13
Atacuri acces
Spargere de parole
MITM
Social engineering
Exploatarea ncrederii
Buffer overflow
VLAN hopping
Atacuri STP
Spargere parole
Parolele trimise n clar (Telnet) pot fi obinute prin sniffing
Parolele crora li s-a obinut hash-ul pot fi sparte prin:
Brute force (se ncearc toate combinaiile ce folosesc un set de simboluri)
Dictionary attack (se ncearc toate cuvintele din dicionar mpreun cu
permutri simple)
Cryptanalysis attack (Rainbow tables)
Brute force / dictionary attack pot fi aplicate direct pe serviciul de
autentificare, fr a avea hash-ul:
Uor de blocat prin adugarea de limitri la autentificare (de exemplu
blocarea contului pentru 10 minute la 3 euri de autentificare n decurs
de un minut)

20
Rainbow Tables
Atac de criptanaliz
Pentru spargere se pot folosi tabele de hash-uri precalculate
necesar prea mare de spaiu
Rainbow tables menin punctele de pornire pentru lanuri de
hash-uri

Ideea este s se foloseasc spaiu pentru a economisi timp de
rulare

Rainbow tables publice se pot obine de pe Internet
www.freerainbowtables.com (are 4178 de GB)
21
Spargere parole - Salting
Metod de prevenire a atacurilor ce folosesc rainbow tables
Se folosete un segment suplimentar, generat aleator, ce este
concatenat la parola utilizatorului nainte de hashing
Segmentul aleator crete dimensiunea tabelelor necesare pentru
spargere
Exemplu:
22
/etc/shadow:
trudy:$6$/tKy92iM$/.cIxbEX49qHpZt74D5L0W1vXO2fJuXjyXJnsT0.M []
Algoritm
6 SHA-512
Salt
Hash
(SHA-512)
Spargere parole - Salting
Folosirea unui salt nu previne atacurile prin rainbow tables, doar
crete dimensiunea necesar a acestora
23
Rainbow
table
hash-2
pa$$word hash-1
Salt
pa$$word
pa$$word
???
Spargere parole cu Cain
24
Un dictionary
attack ncearc
i variaii simple
ale cuvntului
de baz
MITM
Man in the Middle
Traficul dintre dou entiti este interceptat i rutat de un
atacator
Exemplu: traficul ntre o staie i default gateway

Exemplu de MITM: ARP Poisoning
Se bazeaz pe faptul c protocolul ARP nu face autentificare
O staie poate mini referitor la adresa sa de nivel 3

Exemplu de program pentru ARP Poisoning: Cain
25
MITM Stare iniial
Reeaua opereaz normal naintea atacului
Staia A are informaii corecte despre staia C
26
A
C
A.IP
A.MAC
C.IP
C.MAC
B
B.IP
B.MAC
ARP Cache:
C.IP C.MAC
ARP Cache:
A.IP A.MAC
MITM Atac
B dorete s intercepteze traficul dintre A i C
Trimite un mesaj ARP ctre A cu coninutul C.IP B.MAC
La primirea mesajului, A schimb coninutul cache-ului (chiar dac nu a
solicitat mesajul n prealabil)
B va ruta corect traficul de la A
27
A
C
A.IP
A.MAC
C.IP
C.MAC
B
B.IP
B.MAC
ARP Cache:
C.IP B.MAC
ARP Cache:
A.IP A.MAC
MITM Atac
B dorete s intercepteze traficul dintre C i A
Trimite un mesaj ARP ctre C cu coninutul A.IP B.MAC
La primirea mesajului, C schimb coninutul cache-ului (chiar dac nu a
solicitat mesajul n prealabil)
28
A
C
A.IP
A.MAC
C.IP
C.MAC
B
B.IP
B.MAC
ARP Cache:
C.IP B.MAC
ARP Cache:
A.IP B.MAC
MITM Stare final
A i C vor crea cadrele cu adresa lui B n antetul de nivel 2
Switch-ul va comuta cadrele respective ctre atacator

29
A
C
A.IP
A.MAC
C.IP
C.MAC
B
B.IP
B.MAC
ARP Cache:
C.IP B.MAC
ARP Cache:
A.IP B.MAC
Exploatarea ncrederii
Iniial este compromis un sistem din reea
Sistemul compromis este folosit pentru a ataca mai departe
reeaua
30
Internet
Atacator
Client VPN
Server intern
Host dept. financiar
Un angajat folosete un laptop
pentru a accesa prin VPN
reeaua companiei din Internet
Atacatorul compromite laptop-ul
si folosete aplicaia VPN pentru a
accesa serverul din companie
Pe baza informaiilor extrase
de pe server poate accesa
host-urile din departamentul
financiar
Social engineering
Se bazeaz pe extragerea informaiilor confideniale de la oameni
Parole sau detalii financiare

Atacatorul trebuie s conving potenialele inte c este de
ncredere

Este probabil ca inta respectiv s nu fie de profil tehnic i s
aib ncredere n autoritatea atacatorului
Atacatorul se poate da drept un membru al echipei tehnice
31
Social engineering
Oamenii nu sunt contieni de valoarea informaiei pe care o
posed i vor s ajute
Social engineering poate evita orice tip de securitate
Este necesar realizarea de edine de instruire pentru angajaii non-
tehnici

Exemplu: phishing
32
Buffer overflow
Scriere de informaie peste un buffer alocat
Permite executarea de cod de atac sau crash-uirea aplicaiei

Exemplu: scrierea n afara unui vector alocat pe stiv n C poate
permite suprascrierea adresei de ntoarcere din funcie
Atacatorul poate provoca astfel srirea peste o funcie de verificare,
obinnd acces n sistem fr autentificare

33
overflow Autentificare
Flux modificat printr-un atac tip buffer overflow
VLAN Hopping
Switch spoofing:
Sistemul atacatorului negociaz o legtur trunk cu switch-ul (prin DTP)
Atacatorul poate ulterior trimite trafic n orice VLAN
34
VLAN 10
VLAN 20
Trunk
Trunk negociat de
atacator
VLAN 10
VLAN 20
Atacatorul poate trimite
trafic n orice VLAN
trimind cadre 802.1Q
VLAN Hopping
Double tagging:
Simplu de realizat deoarece nu necesit implementarea DTP pe atacator
Tehnic folosit i de ISP-uri n 802.1Q tunneling
35
VLAN 10
VLAN 20
Trunk
IP
802.1Q: VLAN 20
802.1Q: VLAN 10
Switch1 Switch2 Switch3
VLAN Hopping
Double tagging:
Switch-ul nltur tag-ul de VLAN 20 i trimite cadrul mai departe pe trunk
Switch-ul 2 va vedea tag-ul 10 i va trimite mai departe cadrul pe VLAN 10
36
VLAN 10
VLAN 20
Trunk
IP
802.1Q: VLAN 10
Switch1 Switch2 Switch3
Atacuri STP
Protocolul STP nu folosete autentificare vulnerabil
Un atac STP are de obicei urmtorii pai:
1. Conectare la reeaua de switch-uri
2. Trimiterea de BPDU-uri cu BID mic
3. Devenire root bridge
37
Circul date
Circul BPDU
Root Bridge
Switch1
A
B
Switch2
Atacuri STP
Traficul dintre A i B trece prin Switch1
Switch2 este sistemul folosit de atacator (Linux cu Yersinia)
Switch2 e conectat la reea i anun BPDU-uri cu BID=1
(prioritate 0)
38
Circul date
Circul BPDU
Switch1
A
B
Switch2
STP recalculeaz
rolurile porturilor
Atacuri STP
Traficul dintre A i B trece acum prin Switch2
Atacatorul poate porni o captur de trafic pe Switch2 pentru a
analiza comunicaia dintre A i B
Soluii pentru protejarea STP: RootGuard, BPDU Guard, BPDU
Filter
39
Circul date
Circul BPDU
Switch1
A
B
Switch2
Root Bridge
Cursul 13
Atacuri cu cod executabil
Virui
Troieni
Viermi
Virui
Cod executabil ataat unui program sau executabil
Codul trebuie s fie rulat de un utilizator pentru a avea efect

Se propag prin:
Ataamente de e-mail
Fiiere descrcate infectate
Partajri de fiiere n reeaua local
Stick-uri USB

Troieni
Cod executabil ataat unei aplicaii
Spre deosebire de virui care au un efect direct, troienii au un
efect subtil
Deschidere backdoor
Sunt mult mai greu de detectat dect viruii


42
Viermi
Cod executabil ce folosete vulnerabiliti pentru a se rspndi
Spre deosebire de virui nu necesit intervenia direct a unui
utilizator
Rspndire foarte rapid
Dificil de nlturat
Au adesea scopul de a partaja resurse de procesare, stocare sau
conexiune internet (de exemplu botnet de trimitere spam)

43
Cursul 13
3 evenimente IT 2011
Microsoft achiziioneaz Skype
Costurile achiziiei se ridic la 8.5 miliarde de dolari
Cea mai mare achiziie fcut de Microsoft
Atacul PSN
PlayStation Network este spart i 77 de milioane de conturi sunt
afectate
Sunt furate informaii despre conturi (nume, adrese, adrese de e-mail i
parole)
Este recomandat nghearea crilor de credit n cazul conturilor
compromise
Lucrrile de repornire a serviciului dureaz circa o lun
Dennis Ritchie nceteaz din via
Creator al limbajului C
Creator, mpreun cu Ken Thompson, al sistemului de operare
Unix
Autor al crii The C Programming Language
salt
MITM
Viermi
Troieni
Virui
Sniffing
Port
scan
Ping
sweep
Password
cracking
DoS
Recunoatere
Cuvinte cheie
48
Cod de
atac
Buffer
overflow
Exploatare
ncredere
Acces
nmap
tcpdump
Wireshark
Atacuri
whois
Dictionary
attack
Rainbow
table
CAM
overflow
Atacuri STP
VLAN
hopping
The End
49
?
R