Documente Academic
Documente Profesional
Documente Cultură
RL Curs 13 PDF
RL Curs 13 PDF
13
Atacuri de reea
10-11 ianuarie 2012
Obiective
Tipuri de atacuri
Atacuri de recunoatere
Atacuri acces
DoS
Virui
Troieni
Viermi
2
Recapitulare: Clasificarea atacurilor
Internetul nu este un loc sigur
Reeaua local poate fi oricnd inta unui atac:
De recunoatere
Ping sweep
Sniffing
Port scan
De DoS (Denial of Service) sau DDoS (Distributed DoS)
Smurf attack
SYN flood
De acces
Atacarea unei parole (cu dicionar sau brute-force)
Buffer overflow
Man-in-the-middle
3
Cursul 13
Atacuri de recunoatere
Scop
nmap
tcpdump
Wireshark
whois
Atacuri de recunoatere
Constau n recoltarea informaiilor despre o anumit reea
Se caut orice informaie util care poate fi folosit n
desfurarea unui atac ulterior
5
Utilitare de recunoatere: nmap
Permite scanarea staiilor din reea
Poate descoperi:
Staiile active (Ping Scan)
attacker# nmap sP 141.85.227.0/24
Ping scan
6
Utilitare de recunoatere: nmap
Permite scanarea staiilor din reea
Poate descoperi:
Informaii despre porturile deschise (Port Scan)
attacker# nmap sP p T:21-25,80 141.85.227.0/24
Port scan
7
Utilitare de recunoatere: nmap
[]
Interesting ports on elf.cs.pub.ro (141.85.227.116):
Not shown: 993 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.5p1 Debian 6 (protocol 2.0)
25/tcp open smtp Postfix smtpd
80/tcp open http Apache httpd 2.2.16 ((Debian))
443/tcp open ssl/http Apache httpd 2.2.16 ((Debian))
6881/tcp filtered bittorrent-tracker
6969/tcp open http BitTornado tracker T-0.3.18
20222/tcp open ssh OpenSSH 5.1p1 Debian 5 (protocol 2.0)
MAC Address: 00:18:51:6C:1F:9E (SWsoft)
Service Info: Host: elf.cs.pub.ro; OS: Linux
[]
8
Utilitare de recunoatere: Wireshark
Permite interceptarea i analiza traficului de reea
Necesit trecerea interfeei de reea n mod promiscuous
n acest mod este primit orice trafic (chiar i cel care nu este destinat
staiei locale)
Utilizeaz formatul libpcap
Permite deschiderea fiierelor de captur libpcap ale altor utilitare
(tcpdump, dynagen)
9
Utilitare de recunoatere: tcpdump
Folosit pentru captura din linie de comand a traficului
Numrul de pachete
ce vor fi capturate
Interfaa pe care se
realizeaz captura
10
Utilitare de recunoatere: whois
Utilitar pentru serviciul whois
Permite obinerea informaiilor despre un domeniu
Registrant:
Dns Admin
Google Inc.
Please contact contact-admin@google.com 1600 Amphitheatre Parkway
Mountain View CA 94043
US
dns-admin@google.com +1.6502530000 Fax: +1.6506188571
Administrative Contact:
DNS Admin
Google Inc.
1600 Amphitheatre Parkway
Mountain View CA 94043
US
dns-admin@google.com +1.6506234000 Fax: +1.6506188571
11
Utilitare de recunoatere: host
Utilitar pentru serviciul DNS
Permite obinerea informaiilor despre serverele de nume i de mail ale
unui domeniu
12
Cursul 13
Atacuri DoS
Identificare
DDoS
Smurf attack
TCP SYN flood
CAM overflow
Identificare atacuri DoS
Denial of service
14
Atacuri DDoS
Constau n trimiterea cererilor de la mai multe sisteme ctre o
singur int
Atacurile DoS/DDoS sunt dificil de identificat
Nu se poate determina mereu care sunt cereri valide i care reprezint un
atac
Exemplu de trafic valid cu rezultat de DoS: Slashdot effect
Exemplu de
Slashdot effect
15
Smurf attack
Ping-uri ctre o adres de broadcast cu o adres surs spoofed
Toate staiile din reeaua respectiv vor rspunde ctre surs
Dac reeaua este mare staia int poate s primeasc mai mult
trafic dect poate procesa
Efectul este imposibilitatea folosirii conexiunii la Internet pentru uz normal
Echo reply
30.30.30.30
Internet 141.85.37.0/24
20.20.20.20
Dest: 141.85.37.255/24
Surs: 30.30.30.30
Echo request 16
TCP SYN flood
Atacatorul iniiaz un numr mare de conexiuni TCP cu un server,
fr a termina handshake-ul iniial (conexiuni half-open)
Respectivele conexiuni epuizeaz resursele serverului
Acesta nu mai poate procesa cereri valide
Server
SYN + ACK
SYN + ACK Info
Atacator Conexiune
Info
SYN Conexiune
SYN
17
CAM Overflow
Ce este tabela CAM?
R: Tabel folosit de switch-uri pentru a reine prin ce port se ajunge la o
anumit adres MAC
Memoria unui switch nu e nelimitat:
Tabela CAM se poate umple
Dac se umple, switch-ul va lucra n regim de hub
Un atacator poate trimite un volum mare de cadre cu adrese MAC
spoofed
Ce adrese MAC trebuie falsificate pentru acest atac?
R: Switch-ul nva adresele MAC surs, deci acestea trebuie falsificate
Cum se poate opri acest atac?
R: Limitarea numrului de adrese ce pot fi nvate pe un port.
18
Cursul 13
Atacuri acces
Spargere de parole
MITM
Social engineering
Exploatarea ncrederii
Buffer overflow
VLAN hopping
Atacuri STP
Spargere parole
Parolele trimise n clar (Telnet) pot fi obinute prin sniffing
Parolele crora li s-a obinut hash-ul pot fi sparte prin:
Brute force (se ncearc toate combinaiile ce folosesc un set de simboluri)
Dictionary attack (se ncearc toate cuvintele din dicionar mpreun cu
permutri simple)
Cryptanalysis attack (Rainbow tables)
Brute force / dictionary attack pot fi aplicate direct pe serviciul de
autentificare, fr a avea hash-ul:
Uor de blocat prin adugarea de limitri la autentificare (de exemplu
blocarea contului pentru 10 minute la 3 euri de autentificare n decurs
de un minut)
20
Rainbow Tables
Atac de criptanaliz
Pentru spargere se pot folosi tabele de hash-uri precalculate
necesar prea mare de spaiu
Rainbow tables menin punctele de pornire pentru lanuri de
hash-uri
21
Spargere parole - Salting
Metod de prevenire a atacurilor ce folosesc rainbow tables
Se folosete un segment suplimentar, generat aleator, ce este
concatenat la parola utilizatorului nainte de hashing
Segmentul aleator crete dimensiunea tabelelor necesare pentru
spargere
Exemplu:
/etc/shadow:
trudy:$6$/tKy92iM$/.cIxbEX49qHpZt74D5L0W1vXO2fJuXjyXJnsT0.M []
Hash
Salt
(SHA-512)
Algoritm
6 SHA-512
22
Spargere parole - Salting
Folosirea unui salt nu previne atacurile prin rainbow tables, doar
crete dimensiunea necesar a acestora
Rainbow
table
Salt
hash-2 ???
pa$$word
23
Spargere parole cu Cain
Un dictionary
attack ncearc
i variaii simple
ale cuvntului
de baz
24
MITM
Man in the Middle
Traficul dintre dou entiti este interceptat i rutat de un
atacator
Exemplu: traficul ntre o staie i default gateway
25
MITM Stare iniial
Reeaua opereaz normal naintea atacului
Staia A are informaii corecte despre staia C
ARP Cache:
C.IP C.MAC A
A.IP
A.MAC ARP Cache:
A.IP A.MAC
C
C.IP
C.MAC
B
B.IP
B.MAC
26
MITM Atac
B dorete s intercepteze traficul dintre A i C
Trimite un mesaj ARP ctre A cu coninutul C.IP B.MAC
La primirea mesajului, A schimb coninutul cache-ului (chiar dac nu a
solicitat mesajul n prealabil)
B va ruta corect traficul de la A
ARP Cache:
C.IP B.MAC A
A.IP
A.MAC ARP Cache:
A.IP A.MAC
C
C.IP
C.MAC
B
B.IP
B.MAC
27
MITM Atac
B dorete s intercepteze traficul dintre C i A
Trimite un mesaj ARP ctre C cu coninutul A.IP B.MAC
La primirea mesajului, C schimb coninutul cache-ului (chiar dac nu a
solicitat mesajul n prealabil)
ARP Cache:
C.IP B.MAC A
A.IP
A.MAC ARP Cache:
A.IP B.MAC
C
C.IP
C.MAC
B
B.IP
B.MAC
28
MITM Stare final
A i C vor crea cadrele cu adresa lui B n antetul de nivel 2
Switch-ul va comuta cadrele respective ctre atacator
ARP Cache:
C.IP B.MAC A
A.IP
A.MAC ARP Cache:
A.IP B.MAC
C
C.IP
C.MAC
B
B.IP
B.MAC
29
Exploatarea ncrederii
Iniial este compromis un sistem din reea
Sistemul compromis este folosit pentru a ataca mai departe
reeaua
Atacatorul compromite laptop-ul
si folosete aplicaia VPN pentru a
accesa serverul din companie
Server intern
Atacator
31
Social engineering
Oamenii nu sunt contieni de valoarea informaiei pe care o
posed i vor s ajute
Social engineering poate evita orice tip de securitate
Este necesar realizarea de edine de instruire pentru angajaii non-
tehnici
Exemplu: phishing
32
Buffer overflow
Scriere de informaie peste un buffer alocat
Permite executarea de cod de atac sau crash-uirea aplicaiei
overflow Autentificare
33
VLAN Hopping
Switch spoofing:
Sistemul atacatorului negociaz o legtur trunk cu switch-ul (prin DTP)
Atacatorul poate ulterior trimite trafic n orice VLAN
Trunk negociat de
atacator
VLAN 10 VLAN 10
VLAN 20
VLAN 20 Trunk
VLAN 10
VLAN 20
Trunk
IP
802.1Q: VLAN 10
802.1Q: VLAN 20
35
VLAN Hopping
Double tagging:
Switch-ul nltur tag-ul de VLAN 20 i trimite cadrul mai departe pe trunk
Switch-ul 2 va vedea tag-ul 10 i va trimite mai departe cadrul pe VLAN 10
VLAN 10
VLAN 20
Trunk
IP
802.1Q: VLAN 10
36
Atacuri STP
Protocolul STP nu folosete autentificare vulnerabil
Un atac STP are de obicei urmtorii pai:
1. Conectare la reeaua de switch-uri
2. Trimiterea de BPDU-uri cu BID mic
3. Devenire root bridge
B
Switch1
Circul date
Root Bridge
Circul BPDU
A
Switch2
37
Atacuri STP
Traficul dintre A i B trece prin Switch1
Switch2 este sistemul folosit de atacator (Linux cu Yersinia)
Switch2 e conectat la reea i anun BPDU-uri cu BID=1
(prioritate 0)
STP recalculeaz
rolurile porturilor
B
Switch1
Circul date
Circul BPDU
A
Switch2
38
Atacuri STP
Traficul dintre A i B trece acum prin Switch2
Atacatorul poate porni o captur de trafic pe Switch2 pentru a
analiza comunicaia dintre A i B
Soluii pentru protejarea STP: RootGuard, BPDU Guard, BPDU
Filter
B
Switch1
Circul date
Circul BPDU
A
Switch2 Root Bridge
39
Cursul 13
Se propag prin:
Ataamente de e-mail
Fiiere descrcate infectate
Partajri de fiiere n reeaua local
Stick-uri USB
Troieni
Cod executabil ataat unei aplicaii
Spre deosebire de virui care au un efect direct, troienii au un
efect subtil
Deschidere backdoor
Sunt mult mai greu de detectat dect viruii
42
Viermi
Cod executabil ce folosete vulnerabiliti pentru a se rspndi
Spre deosebire de virui nu necesit intervenia direct a unui
utilizator
Rspndire foarte rapid
Dificil de nlturat
Au adesea scopul de a partaja resurse de procesare, stocare sau
conexiune internet (de exemplu botnet de trimitere spam)
43
Cursul 13
3 evenimente IT 2011
Microsoft achiziioneaz Skype
Costurile achiziiei se ridic la 8.5 miliarde de dolari
Cea mai mare achiziie fcut de Microsoft
Atacul PSN
PlayStation Network este spart i 77 de milioane de conturi sunt
afectate
Sunt furate informaii despre conturi (nume, adrese, adrese de e-mail i
parole)
Este recomandat nghearea crilor de credit n cazul conturilor
compromise
Lucrrile de repornire a serviciului dureaz circa o lun
Dennis Ritchie nceteaz din via
Creator al limbajului C
Creator, mpreun cu Ken Thompson, al sistemului de operare
Unix
Autor al crii The C Programming Language
Cuvinte cheie
Viermi
nmap
Wireshark
Cod de
atac
Troieni
Virui
tcpdump
Rainbow whois
table
salt
Dictionary Password MITM
attack cracking
Ping
Buffer sweep Port
CAM Acces scan
overflow
overflow Atacuri Recunoatere
Exploatare
ncredere
Atacuri STP Sniffing
VLAN DoS
hopping
48
The End
?
R
49