Documente Academic
Documente Profesional
Documente Cultură
Amenințări și vulnerabilități
specifice rețelelor de calculatoare
Probleme de securitate
Atunci când au fost proiectate reŃelele de calculatoare,
securitatea nu a reprezentat o prioritate
În majoritatea cazurilor, pachetele circulă în clar prin reŃea
Între sursă și destinație, pachetele circulă prin intermediul
unor noduri nesigure
Adresele staŃiilor pot fi uşor falsificate
ExistenŃa unor puncte unice de defectare
© Ion BICA 2
Atacuri pasive
© Ion BICA 3
Atacuri active
Deghizarea
– furtul identităŃii
Atacuri prin reluare
– retransmisia pachetelor interceptate
Modificarea conŃinutului pachetelor
– ştergerea, alterarea sau reordonarea pachetelor
Blocarea funcŃionării serviciilor (Denial of Service)
– imposibilitatea accesării unei resurse de către utilizatorii legitimi
© Ion BICA 4
Exemple de atacuri
Traficul din rețea poate fi interceptat
– “packet sniffing”
Adresele IP sunt publice
– atacul de tip “Smurf”
Comunicațiile bazate pe TCP necesită menținerea de informații
de stare
– “SYN flooding”
Starea unei conexiuni TCP este ușor de anticipat
– “TCP spoofing” și “connection hijacking”
Funcționarea rețelelor se bazează pe DNS
– “DNS cache poisoning”
© Ion BICA 5
Packet Sniffing
Majoritatea aplicațiilor transmit datele în clar (necriptate)
– Telnet, FTP, POP3, IMAP transmit chiar și parolele în clar
Interfața de rețea de pe o stație poate fi setată în “promiscuous
mode”, ceea ce permite captarea tuturor pachetelor care
circulă pe segmentul de rețea la care stația este conectată
network
© Ion BICA 6
Atacul de tip “Smurf”
Arată ca și cum ar fi
generat de victimă
Șirul de replici ping
1 ICMP Echo Req supraîncarcă victima
Src: adresa victimei
Dest: adresa de broadcast
gateway victima
Fiecare host din rețea
generează un ping (ICMP
Echo Reply) către victimă
© Ion BICA 7
Atacul de tip “Ping of Death”
Dacă o stație recepționează un pachet ICMP cu o lungime mai
mare decat 64K, stația se blochează sau se restartează
– eroare de programare în versiunile mai vechi de Windows (3.11, NT, 95)
și Unix (Solaris x86 2.4, MacOS 7.x.x, HP-UX 9.0-10.20, AIX 3 și 4, Linux
2.0.x)
– asemenea pachete nu sunt permise (sunt în afara standardului), astfel
că programatorii codului OS le-au ignorat
© Ion BICA 8
Atacul de tip “LAND”
Transmiterea către victimă a unui pachet TCP având adresa și
portul sursă egale cu adresa și portul destinație; flagul SYN
setat
Victima va răspunde către sine însuși la infinit
– eroare în implementarea stivei TCP/IP din Windows XP SP2 / Windows
Server 2003
© Ion BICA 9
Stabilirea unei conexiuni TCP (3-way handshake)
C S
SYNC Asculta
Alocă resurse
(starea conexiunii, etc.)
SYNS, ACKC
Asteapta
ACKS
Connexiune deschisa
© Ion BICA 10
Atacul de tip “SYN Flooding”
SYNC1 Asculta
© Ion BICA 11
Atacul de tip “SYN Flooding” (cont.)
Atacatorul transmite mai multe cereri de conexiune, utilizând
adrese sursă diferite
Victima alocă resurse pentru fiecare cerere
– starea conexiunilor este menținută pentru un interval de timp (timeout)
– există o limita maxima a conexiunilor embrionice (half-open)
Odată epuizate resursele, cererile venite de la clienții legitimi
sunt rejectate
Este un exemplu clasic de atac de tip DoS
– asimetria situatiei: pe inițiatorul conexiunii TCP nu-l costă nimic să
transmită o cerere, dar receptorul trebuie să aloce resurse pentru
fiecare cerere
© Ion BICA 12
TCP Connection Spoofing
Fiecare conexiune TCP are o stare asociată
– număr de secvență, număr de port, etc
Starea unei conexiuni TCP este ușor de anticipat
– numerele de port sunt standard, iar numerele de secvență sunt
predictibile
Posibilitatea injectării de pachete în conexiuni existente
– dacă atacatorul știe numărul de secvență inițial și cantitatea de trafic,
atunci poate estima numărul de secvență curent
• transmite o serie de pachete conținând numere de secvență probabile
Odată aflat numarul de secvență curent, atacatorul poate
închide conexiunea transmițând un pachet de tip “RESET”
(atac de tip DoS), sau poate transmite date / comenzi pe
conexiunea respectivă
© Ion BICA 13
Atacul de tip “UDP Flood”
UDP este un protocol de tip datagram (connectionless)
– nu există o secvenŃialitate a mesajelor
Transmiterea unui număr mare de datagrame UDP, pe porturi
aleatoare de pe calculatorul victimă. Drept urmare, calculatorul
victimă va efectua următoarele operaŃii:
– verifică dacă există vreo aplicaŃie care ascultă pe portul respectiv;
– dacă da, atunci încearcă să proceseze cererea; altfel, răspunde cu un
mesaj de tipul “ICMP Destination Unreachable”
Victima se blochează în cazul unui volum mare de pachete
UDP (atac de tip DoS)
© Ion BICA 14
Atacuri împotriva DNS
Domain Name System (DNS) este o bază de date distribuită
folosită pentru rezoluția de nume
– www.mta.ro ↔ 213.177.4.168
Serviciu critic pentru funcționarea Internetului și a rețelelor
locale (e.g. Active Directory)
– țintă predilectă pentru atacatori
Protocol de tip cerere / răspuns
– transmisia mesajelor se face peste UDP pe portul 53
– răspunsurile nu sunt autentificate
© Ion BICA 15
Atacuri împotriva DNS (cont.)
Distributed Reflection DoS Attack (DrDoS)
Cache Poisoning
DNS Hijacking
NXDOMAIN Attack
Phantom Domain Attack
Random Subdomain Attack (Slow Drip)
Domain Lock-Up Attack
© Ion BICA 16
Distributed Reflection DoS Attack (DrDoS)
© Ion BICA 17
Cache Poisoning
© Ion BICA 18
Mecanisme de protecŃie
Autentificarea entităŃilor
Criptarea traficului
Sisteme Firewall
Sisteme IDS/IPS
…
© Ion BICA 19
© Ion BICA 20