1.

Amenințări și vulnerabilități
specifice rețelelor de calculatoare
 Probleme de securitate

Atunci când au fost proiectate reŃelele de calculatoare,
securitatea nu a reprezentat o prioritate

În majoritatea cazurilor, pachetele circulă în clar prin reŃea

Între sursă și destinație, pachetele circulă prin intermediul
unor noduri nesigure

Adresele staŃiilor pot fi uşor falsificate

ExistenŃa unor puncte unice de defectare

© Ion BICA 2
 Atacuri pasive

Interceptarea traficului (sniffing)

– citirea conŃinutului pachetelor
– greu de detectat şi prevenit

Analiza traficului
– monitorizarea transmisiilor în scopul obŃinerii de informaŃii

© Ion BICA 3
 Atacuri active

Deghizarea
– furtul identităŃii

Atacuri prin reluare
– retransmisia pachetelor interceptate

Modificarea conŃinutului pachetelor
– ştergerea, alterarea sau reordonarea pachetelor

Blocarea funcŃionării serviciilor (Denial of Service)
– imposibilitatea accesării unei resurse de către utilizatorii legitimi

© Ion BICA 4
 Exemple de atacuri

Traficul din rețea poate fi interceptat
– “packet sniffing”

Adresele IP sunt publice
– atacul de tip “Smurf”

Comunicațiile bazate pe TCP necesită menținerea de informații
de stare
– “SYN flooding”

Starea unei conexiuni TCP este ușor de anticipat
– “TCP spoofing” și “connection hijacking”

Funcționarea rețelelor se bazează pe DNS
– “DNS cache poisoning”

© Ion BICA 5
 Packet Sniffing

Majoritatea aplicațiilor transmit datele în clar (necriptate)
– Telnet, FTP, POP3, IMAP transmit chiar și parolele în clar

Interfața de rețea de pe o stație poate fi setată în “promiscuous
mode”, ceea ce permite captarea tuturor pachetelor care
circulă pe segmentul de rețea la care stația este conectată

network

© Ion BICA 6
 Atacul de tip “Smurf”

Arată ca și cum ar fi
generat de victimă
Șirul de replici ping
1 ICMP Echo Req supraîncarcă victima
Src: adresa victimei
Dest: adresa de broadcast

gateway victima
Fiecare host din rețea
generează un ping (ICMP
Echo Reply) către victimă

© Ion BICA 7
 Atacul de tip “Ping of Death”

Dacă o stație recepționează un pachet ICMP cu o lungime mai
mare decat 64K, stația se blochează sau se restartează
– eroare de programare în versiunile mai vechi de Windows (3.11, NT, 95)
și Unix (Solaris x86 2.4, MacOS 7.x.x, HP-UX 9.0-10.20, AIX 3 și 4, Linux
2.0.x)
– asemenea pachete nu sunt permise (sunt în afara standardului), astfel
că programatorii codului OS le-au ignorat

© Ion BICA 8
 Atacul de tip “LAND”

Transmiterea către victimă a unui pachet TCP având adresa și
portul sursă egale cu adresa și portul destinație; flagul SYN
setat

Victima va răspunde către sine însuși la infinit
– eroare în implementarea stivei TCP/IP din Windows XP SP2 / Windows
Server 2003

© Ion BICA 9
 Stabilirea unei conexiuni TCP (3-way handshake)
C S

SYNC Asculta

Alocă resurse
(starea conexiunii, etc.)
SYNS, ACKC

Asteapta

ACKS

Connexiune deschisa

© Ion BICA 10
 Atacul de tip “SYN Flooding”

SYNC1 Asculta 

SYNC2 Alocă resurse

SYNC3  mai multe resurse
SYNC4  mai multe resurse

SYNC5  mai multe resurse

 mai multe resurse

 mai multe resurse

© Ion BICA 11
 Atacul de tip “SYN Flooding” (cont.)

Atacatorul transmite mai multe cereri de conexiune, utilizând
adrese sursă diferite

Victima alocă resurse pentru fiecare cerere
– starea conexiunilor este menținută pentru un interval de timp (timeout)
– există o limita maxima a conexiunilor embrionice (half-open)

Odată epuizate resursele, cererile venite de la clienții legitimi
sunt rejectate

Este un exemplu clasic de atac de tip DoS
– asimetria situatiei: pe inițiatorul conexiunii TCP nu-l costă nimic să
transmită o cerere, dar receptorul trebuie să aloce resurse pentru
fiecare cerere

© Ion BICA 12
 TCP Connection Spoofing

Fiecare conexiune TCP are o stare asociată
– număr de secvență, număr de port, etc

Starea unei conexiuni TCP este ușor de anticipat
– numerele de port sunt standard, iar numerele de secvență sunt
predictibile

Posibilitatea injectării de pachete în conexiuni existente
– dacă atacatorul știe numărul de secvență inițial și cantitatea de trafic,
atunci poate estima numărul de secvență curent
• transmite o serie de pachete conținând numere de secvență probabile

Odată aflat numarul de secvență curent, atacatorul poate
închide conexiunea transmițând un pachet de tip “RESET”
(atac de tip DoS), sau poate transmite date / comenzi pe
conexiunea respectivă

© Ion BICA 13
 Atacul de tip “UDP Flood”

UDP este un protocol de tip datagram (connectionless)
– nu există o secvenŃialitate a mesajelor

Transmiterea unui număr mare de datagrame UDP, pe porturi
aleatoare de pe calculatorul victimă. Drept urmare, calculatorul
victimă va efectua următoarele operaŃii:
– verifică dacă există vreo aplicaŃie care ascultă pe portul respectiv;
– dacă da, atunci încearcă să proceseze cererea; altfel, răspunde cu un
mesaj de tipul “ICMP Destination Unreachable”

Victima se blochează în cazul unui volum mare de pachete
UDP (atac de tip DoS)

© Ion BICA 14
 Atacuri împotriva DNS

Domain Name System (DNS) este o bază de date distribuită
folosită pentru rezoluția de nume
– www.mta.ro ↔ 213.177.4.168

Serviciu critic pentru funcționarea Internetului și a rețelelor
locale (e.g. Active Directory)
– țintă predilectă pentru atacatori

Protocol de tip cerere / răspuns
– transmisia mesajelor se face peste UDP pe portul 53
– răspunsurile nu sunt autentificate

© Ion BICA 15
 Atacuri împotriva DNS (cont.)

Distributed Reflection DoS Attack (DrDoS)

Cache Poisoning

DNS Hijacking

NXDOMAIN Attack

Phantom Domain Attack

Random Subdomain Attack (Slow Drip)

Domain Lock-Up Attack

© Ion BICA 16
 Distributed Reflection DoS Attack (DrDoS)

Open Resolver Project – lista cu Open DNS Resolvers

© Ion BICA 17
 Cache Poisoning

Atacul asupra serverelor DNS ale RoTLD din Nov. 2013

– domenii afectate: google.ro, yahoo.ro, microsoft.ro, paypal.ro,
kaspersky.ro, windows.ro, hotmail.ro

© Ion BICA 18
 Mecanisme de protecŃie

Autentificarea entităŃilor

Criptarea traficului

Sisteme Firewall

Sisteme IDS/IPS

…

© Ion BICA 19
© Ion BICA 20