Cursul 13

13
Atacuri de reea
10-11 ianuarie 2012
Obiective

Tipuri de atacuri
Atacuri de recunoatere
Atacuri acces
DoS
Virui
Troieni
Viermi

2
Recapitulare: Clasificarea atacurilor
Internetul nu este un loc sigur
Reeaua local poate fi oricnd inta unui atac:
De recunoatere
Ping sweep
Sniffing
Port scan
De DoS (Denial of Service) sau DDoS (Distributed DoS)
Smurf attack
SYN flood
De acces
Atacarea unei parole (cu dicionar sau brute-force)
Buffer overflow
Man-in-the-middle

3
 Cursul 13

Atacuri de recunoatere
Scop
nmap
tcpdump
Wireshark
whois
Atacuri de recunoatere
Constau n recoltarea informaiilor despre o anumit reea
Se caut orice informaie util care poate fi folosit n
desfurarea unui atac ulterior

Exemple de informaii utile unui atacator:

IP-urile staiilor dintr-o reea
Serviciile ce ruleaz pe fiecare staie
Locaia serviciilor n care utilizatorii reelei au ncredere
Vulnerabiliti n versiunile serviciilor

5
Utilitare de recunoatere: nmap
Permite scanarea staiilor din reea
Poate descoperi:
Staiile active (Ping Scan)
attacker# nmap sP 141.85.227.0/24

Vor fi trimise pachete ICMP Echo ctre

toate staiile din reea

Ping scan

Informaii despre sistemul de operare

attacker# nmap O 141.85.227.116

6
Utilitare de recunoatere: nmap
Permite scanarea staiilor din reea
Poate descoperi:
Informaii despre porturile deschise (Port Scan)
attacker# nmap sP p T:21-25,80 141.85.227.0/24

Scanarea poate fi efectuat doar pe

anumite porturi

Port scan

Informaii despre servicii i versiunea acestora (Service Scan)

attacker# nmap sV 141.85.227.118

7
Utilitare de recunoatere: nmap

attacker# nmap sV elf.cs.pub.ro

[]
Interesting ports on elf.cs.pub.ro (141.85.227.116):
Not shown: 993 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.5p1 Debian 6 (protocol 2.0)
25/tcp open smtp Postfix smtpd
80/tcp open http Apache httpd 2.2.16 ((Debian))
443/tcp open ssl/http Apache httpd 2.2.16 ((Debian))
6881/tcp filtered bittorrent-tracker
6969/tcp open http BitTornado tracker T-0.3.18
20222/tcp open ssh OpenSSH 5.1p1 Debian 5 (protocol 2.0)
MAC Address: 00:18:51:6C:1F:9E (SWsoft)
Service Info: Host: elf.cs.pub.ro; OS: Linux
[]

8
Utilitare de recunoatere: Wireshark
Permite interceptarea i analiza traficului de reea
Necesit trecerea interfeei de reea n mod promiscuous
n acest mod este primit orice trafic (chiar i cel care nu este destinat
staiei locale)
Utilizeaz formatul libpcap
Permite deschiderea fiierelor de captur libpcap ale altor utilitare
(tcpdump, dynagen)

9
Utilitare de recunoatere: tcpdump
Folosit pentru captura din linie de comand a traficului

attacker# tcpdump i eth0 c 10 dst port 80

Condiii pentru filtrarea capturii (n cazul

acesta vor fi trecute n captur doar
pachetele ctre portul destinaie 80)

Numrul de pachete
ce vor fi capturate

Interfaa pe care se
realizeaz captura

10
Utilitare de recunoatere: whois
Utilitar pentru serviciul whois
Permite obinerea informaiilor despre un domeniu
Registrant:
Dns Admin
Google Inc.
Please contact contact-admin@google.com 1600 Amphitheatre Parkway
Mountain View CA 94043
US
dns-admin@google.com +1.6502530000 Fax: +1.6506188571

Domain Name: google.com

Registrar Name: Markmonitor.com

Registrar Whois: whois.markmonitor.com
Registrar Homepage: http://www.markmonitor.com

Administrative Contact:
DNS Admin
Google Inc.
1600 Amphitheatre Parkway
Mountain View CA 94043
US
dns-admin@google.com +1.6506234000 Fax: +1.6506188571
11
Utilitare de recunoatere: host
Utilitar pentru serviciul DNS
Permite obinerea informaiilor despre serverele de nume i de mail ale
unui domeniu

attacker# host -t MX pub.ro

pub.ro mail is handled by 5 mail.pub.ro.
pub.ro mail is handled by 50 relay.roedu.net.

attacker# host -t NS pub.ro

pub.ro name server pub.pub.ro.
pub.ro name server ns1.roedu.net.
pub.ro name server pub2.pub.ro.

12
 Cursul 13

Atacuri DoS
Identificare
DDoS
Smurf attack
TCP SYN flood
CAM overflow
Identificare atacuri DoS
Denial of service

Se trimite un numr mare de cereri pentru a preveni procesarea

cererilor normale

Din cauza ncrcrii exist inclusiv riscul ca aplicaia s ntmpine

o eroare i s se opreasc

Atacurile DoS se recunosc msurnd traficul n condiii normale

Apariia unei anomalii poate indica un atac DoS

14
Atacuri DDoS
Constau n trimiterea cererilor de la mai multe sisteme ctre o
singur int
Atacurile DoS/DDoS sunt dificil de identificat
Nu se poate determina mereu care sunt cereri valide i care reprezint un
atac
Exemplu de trafic valid cu rezultat de DoS: Slashdot effect

Exemplu de
Slashdot effect

15
Smurf attack
Ping-uri ctre o adres de broadcast cu o adres surs spoofed
Toate staiile din reeaua respectiv vor rspunde ctre surs
Dac reeaua este mare staia int poate s primeasc mai mult
trafic dect poate procesa
Efectul este imposibilitatea folosirii conexiunii la Internet pentru uz normal
Echo reply

30.30.30.30
Internet 141.85.37.0/24
20.20.20.20

Dest: 141.85.37.255/24
Surs: 30.30.30.30
Echo request 16
TCP SYN flood
Atacatorul iniiaz un numr mare de conexiuni TCP cu un server,
fr a termina handshake-ul iniial (conexiuni half-open)
Respectivele conexiuni epuizeaz resursele serverului
Acesta nu mai poate procesa cereri valide
Server

SYN + ACK
SYN + ACK Info
Atacator Conexiune

Info
SYN Conexiune
SYN

17
CAM Overflow
Ce este tabela CAM?
R: Tabel folosit de switch-uri pentru a reine prin ce port se ajunge la o
anumit adres MAC
Memoria unui switch nu e nelimitat:
Tabela CAM se poate umple
Dac se umple, switch-ul va lucra n regim de hub
Un atacator poate trimite un volum mare de cadre cu adrese MAC
spoofed
Ce adrese MAC trebuie falsificate pentru acest atac?
R: Switch-ul nva adresele MAC surs, deci acestea trebuie falsificate
Cum se poate opri acest atac?
R: Limitarea numrului de adrese ce pot fi nvate pe un port.

18
 Cursul 13

Atacuri acces
Spargere de parole
MITM
Social engineering
Exploatarea ncrederii
Buffer overflow
VLAN hopping
Atacuri STP
Spargere parole
Parolele trimise n clar (Telnet) pot fi obinute prin sniffing
Parolele crora li s-a obinut hash-ul pot fi sparte prin:
Brute force (se ncearc toate combinaiile ce folosesc un set de simboluri)
Dictionary attack (se ncearc toate cuvintele din dicionar mpreun cu
permutri simple)
Cryptanalysis attack (Rainbow tables)
Brute force / dictionary attack pot fi aplicate direct pe serviciul de
autentificare, fr a avea hash-ul:
Uor de blocat prin adugarea de limitri la autentificare (de exemplu
blocarea contului pentru 10 minute la 3 euri de autentificare n decurs
de un minut)

20
Rainbow Tables
Atac de criptanaliz
Pentru spargere se pot folosi tabele de hash-uri precalculate
necesar prea mare de spaiu
Rainbow tables menin punctele de pornire pentru lanuri de
hash-uri

Ideea este s se foloseasc spaiu pentru a economisi timp de

rulare

Rainbow tables publice se pot obine de pe Internet

www.freerainbowtables.com (are 4178 de GB)

21
Spargere parole - Salting
Metod de prevenire a atacurilor ce folosesc rainbow tables
Se folosete un segment suplimentar, generat aleator, ce este
concatenat la parola utilizatorului nainte de hashing
Segmentul aleator crete dimensiunea tabelelor necesare pentru
spargere
Exemplu:
/etc/shadow:
trudy:$6$/tKy92iM$/.cIxbEX49qHpZt74D5L0W1vXO2fJuXjyXJnsT0.M []

Hash
Salt
(SHA-512)

Algoritm
6 SHA-512
22
Spargere parole - Salting
Folosirea unui salt nu previne atacurile prin rainbow tables, doar
crete dimensiunea necesar a acestora

pa$$word hash-1 pa$$word

Rainbow
table
Salt
hash-2 ???
pa$$word

23
Spargere parole cu Cain

Un dictionary
attack ncearc
i variaii simple
ale cuvntului
de baz

24
MITM
Man in the Middle
Traficul dintre dou entiti este interceptat i rutat de un
atacator
Exemplu: traficul ntre o staie i default gateway

Exemplu de MITM: ARP Poisoning

Se bazeaz pe faptul c protocolul ARP nu face autentificare
O staie poate mini referitor la adresa sa de nivel 3

Exemplu de program pentru ARP Poisoning: Cain

25
MITM Stare iniial
Reeaua opereaz normal naintea atacului
Staia A are informaii corecte despre staia C

ARP Cache:
C.IP C.MAC A
A.IP
A.MAC ARP Cache:
A.IP A.MAC
C
C.IP
C.MAC

B
B.IP
B.MAC

26
MITM Atac
B dorete s intercepteze traficul dintre A i C
Trimite un mesaj ARP ctre A cu coninutul C.IP B.MAC
La primirea mesajului, A schimb coninutul cache-ului (chiar dac nu a
solicitat mesajul n prealabil)
B va ruta corect traficul de la A
ARP Cache:
C.IP B.MAC A
A.IP
A.MAC ARP Cache:
A.IP A.MAC
C
C.IP
C.MAC

B
B.IP
B.MAC

27
MITM Atac
B dorete s intercepteze traficul dintre C i A
Trimite un mesaj ARP ctre C cu coninutul A.IP B.MAC
La primirea mesajului, C schimb coninutul cache-ului (chiar dac nu a
solicitat mesajul n prealabil)

ARP Cache:
C.IP B.MAC A
A.IP
A.MAC ARP Cache:
A.IP B.MAC
C
C.IP
C.MAC

B
B.IP
B.MAC

28
MITM Stare final
A i C vor crea cadrele cu adresa lui B n antetul de nivel 2
Switch-ul va comuta cadrele respective ctre atacator

ARP Cache:
C.IP B.MAC A
A.IP
A.MAC ARP Cache:
A.IP B.MAC
C
C.IP
C.MAC

B
B.IP
B.MAC

29
Exploatarea ncrederii
Iniial este compromis un sistem din reea
Sistemul compromis este folosit pentru a ataca mai departe
reeaua
Atacatorul compromite laptop-ul
si folosete aplicaia VPN pentru a
accesa serverul din companie
Server intern
Atacator

Pe baza informaiilor extrase

Client VPN de pe server poate accesa
host-urile din departamentul
Internet financiar

Un angajat folosete un laptop

Host dept. financiar
pentru a accesa prin VPN
reeaua companiei din Internet 30
Social engineering
Se bazeaz pe extragerea informaiilor confideniale de la oameni
Parole sau detalii financiare

Atacatorul trebuie s conving potenialele inte c este de

ncredere

Este probabil ca inta respectiv s nu fie de profil tehnic i s

aib ncredere n autoritatea atacatorului
Atacatorul se poate da drept un membru al echipei tehnice

31
Social engineering
Oamenii nu sunt contieni de valoarea informaiei pe care o
posed i vor s ajute
Social engineering poate evita orice tip de securitate
Este necesar realizarea de edine de instruire pentru angajaii non-
tehnici

Exemplu: phishing

32
Buffer overflow
Scriere de informaie peste un buffer alocat
Permite executarea de cod de atac sau crash-uirea aplicaiei

Exemplu: scrierea n afara unui vector alocat pe stiv n C poate

permite suprascrierea adresei de ntoarcere din funcie
Atacatorul poate provoca astfel srirea peste o funcie de verificare,
obinnd acces n sistem fr autentificare

overflow Autentificare

Flux modificat printr-un atac tip buffer overflow

33
VLAN Hopping
Switch spoofing:
Sistemul atacatorului negociaz o legtur trunk cu switch-ul (prin DTP)
Atacatorul poate ulterior trimite trafic n orice VLAN

Trunk negociat de
atacator

VLAN 10 VLAN 10
VLAN 20
VLAN 20 Trunk

Atacatorul poate trimite

trafic n orice VLAN
trimind cadre 802.1Q
34
VLAN Hopping
Double tagging:
Simplu de realizat deoarece nu necesit implementarea DTP pe atacator
Tehnic folosit i de ISP-uri n 802.1Q tunneling

Switch1 Switch2 Switch3

VLAN 10
VLAN 20
Trunk

IP
802.1Q: VLAN 10
802.1Q: VLAN 20

35
VLAN Hopping
Double tagging:
Switch-ul nltur tag-ul de VLAN 20 i trimite cadrul mai departe pe trunk
Switch-ul 2 va vedea tag-ul 10 i va trimite mai departe cadrul pe VLAN 10

Switch1 Switch2 Switch3

VLAN 10
VLAN 20
Trunk

IP
802.1Q: VLAN 10

36
Atacuri STP
Protocolul STP nu folosete autentificare vulnerabil
Un atac STP are de obicei urmtorii pai:
1. Conectare la reeaua de switch-uri
2. Trimiterea de BPDU-uri cu BID mic
3. Devenire root bridge

B
Switch1

Circul date
Root Bridge
Circul BPDU

A
Switch2

37
Atacuri STP
Traficul dintre A i B trece prin Switch1
Switch2 este sistemul folosit de atacator (Linux cu Yersinia)
Switch2 e conectat la reea i anun BPDU-uri cu BID=1
(prioritate 0)
STP recalculeaz
rolurile porturilor
B
Switch1

Circul date
Circul BPDU

A
Switch2

38
Atacuri STP
Traficul dintre A i B trece acum prin Switch2
Atacatorul poate porni o captur de trafic pe Switch2 pentru a
analiza comunicaia dintre A i B
Soluii pentru protejarea STP: RootGuard, BPDU Guard, BPDU
Filter

B
Switch1

Circul date
Circul BPDU

A
Switch2 Root Bridge
39
 Cursul 13

Atacuri cu cod executabil

Virui
Troieni
Viermi
Virui
Cod executabil ataat unui program sau executabil
Codul trebuie s fie rulat de un utilizator pentru a avea efect

Se propag prin:
Ataamente de e-mail
Fiiere descrcate infectate
Partajri de fiiere n reeaua local
Stick-uri USB
Troieni
Cod executabil ataat unei aplicaii
Spre deosebire de virui care au un efect direct, troienii au un
efect subtil
Deschidere backdoor
Sunt mult mai greu de detectat dect viruii

42
Viermi
Cod executabil ce folosete vulnerabiliti pentru a se rspndi
Spre deosebire de virui nu necesit intervenia direct a unui
utilizator
Rspndire foarte rapid
Dificil de nlturat
Au adesea scopul de a partaja resurse de procesare, stocare sau
conexiune internet (de exemplu botnet de trimitere spam)

43
 Cursul 13

3 evenimente IT 2011
Microsoft achiziioneaz Skype
Costurile achiziiei se ridic la 8.5 miliarde de dolari
Cea mai mare achiziie fcut de Microsoft
Atacul PSN
PlayStation Network este spart i 77 de milioane de conturi sunt
afectate
Sunt furate informaii despre conturi (nume, adrese, adrese de e-mail i
parole)
Este recomandat nghearea crilor de credit n cazul conturilor
compromise
Lucrrile de repornire a serviciului dureaz circa o lun
Dennis Ritchie nceteaz din via
Creator al limbajului C
Creator, mpreun cu Ken Thompson, al sistemului de operare
Unix
Autor al crii The C Programming Language
Cuvinte cheie
Viermi
nmap
Wireshark
Cod de
atac
Troieni
Virui
tcpdump
Rainbow whois
table
salt
Dictionary Password MITM
attack cracking
Ping
Buffer sweep Port
CAM Acces scan
overflow
overflow Atacuri Recunoatere
Exploatare
ncredere
Atacuri STP Sniffing
VLAN DoS
hopping
48
The End

?
R

49