Этапы сетевой атаки
Стандартные сетевые атаки производятся в три этапа: сбор информации, выявление уязвимых мест атакуемой системы и реализация выбранной атаки.
Этап сбора информации заключается в изучении сетевой топологии атакуемой сети, определении типа и версии операционной системы атакуемого узла, выявлении доступных сетевых и иных сервисов, функционирующих на атакуемом узле.
Этап выявления уязвимых мест атакуемой системы осуществляется после или параллельно с этапом сбора информации. Его суть заключается в выяснении версий используемого на атакуемом узле сетевого ПО, выявлении его конфигурации и в анализе наличия уязвимостей в указанном ПО и его настройках.
И, наконец, этап реализации атаки — это либо отправка определенных последовательностей сетевых пакетов на определенные сетевые службы, приводящая к неработоспособности узла, либо выполнение каких-либо запросов к сетевым службам удаленного узла, результатом которых будет получение доступа к защищаемой информации.
В целом первые два этапа не могут быть классифицированы как преступление, поскольку компьютерными сетевыми преступлениями являются предусмотренные уголовным законодательством общественно опасные деяния, совершенные на основе удаленного доступа к объекту посягательства с использованием глобальных компьютерных сетей в качестве основного средства достижения цели. Таким образом, компьютерным преступлением является лишь третий этап — реализация атаки.
Вместе с тем выполнение третьего этапа практически невозможно без проведения двух первых этапов атаки. Следовательно, защите должны подлежать и информация о сетевой топологии, и перечень доступных сервисов, и версии программного обеспечения, и т. п.
Исследование сетевой топологии
Задача изучения сетевой топологии заключается в выявлении сетевых узлов, присутствующих в заданном диапазоне адресов. При этом распространенные сетевые сканеры, такие как nmap, netcat, InterNetView, решают данную задачу чаще всего путем ICMP-сканирования.
2.1 Как известно, протокол ICMP используется для определения доступности сетевых узлов. Стандартной программой, применяющей протокол ICMP, является утилита ping. Функционирование утилиты ping сводится к отправке на тестируемый узел запроса и получению ответа. Отправляемый запрос называется ICMP-запросом (тип пакета ECHO_REQUEST), а получаемый ответ — ICMP-ответом (тип пакета ECHO_REPLY). Так, если на компьютере под управлением, например, ОС Windows с IP-адресом 192.168.200.1 производится выполнение команды ping 192.168.200.1 с целью тестирования доступности узла, то в сети можно наблюдать четыре последовательно передаваемые пары сообщений: исходящий ICMP-запрос (тип ICMP-пакета — 0х08, Echo) и входящий ICMP-ответ (тип ICMP-пакета — 0х00, Echo-Reply). В общем случае единичный входящий ICMP-запрос не является атакой — это лишь стандартное средство проверки доступности узла. Последовательное выполнение ICMP-запросов с перебором адресов из определенного диапазона уже можно рассматривать как атаку. При выполнении стандартного ICMP-запроса в ОС Windows происходит обмен стандартной текстовой строкой длиной 32 байта. Вместе с тем объем передаваемых данных может быть существенно увеличен (до 65 535 байт) с целью передачи не стандартной последовательности, а некоторой специально подготовленной команды или текста. В этом случае проявлением атаки могут быть исходящие ICMP-ответы, в которых может быть передана защищаемая информация.
2.2 Для определения статистики активных подключений используется команда Netstat:
netstat [-Aan] [-f семейство_адресов] [-I интерфейс] [-p имя_протокола] [система] [core]
netstat [-n] [-s] [-i | -r] [-f семейство_адресов] [-I интерфейс] [-p имя_протокола] [система] [core]
netstat [-n] [-I интерфейс] интервал [система] [core]
при запуске Netstat используются дополнительные ключи и параметры.
a - запуск с данным параметром выведет на экран все активные подключения TCP, а также порты TCP и UDP, прослушиваемые системой;
-e - отображение расширенной статистики Ethernet, например, о перемещении байтов и пакетов; -n - параметр позволяет показать активные подключения TCP с адресами и номерами портов;
-o - так же, как и предыдущий ключ, выводит активные TCP подключения, но в статистику добавлены коды процессов, по ним уже можно точно определить, какое именно приложение использует подключение;
-p - отображение информации по определенному протоколу, указанному в параметре. Среди значений может быть tcp, udp, tcpv6 и udpv6
s - вывод на экран статистики по протоколу, по умолчанию отобразятся все известные типы;;
Если нужно сохранить всю статистику в определенный файл, нужно использовать «-a > C:\имя файла». Результатом работы может выступать небольшая таблица, которая содержит следующие типы данных:
Имя. указывается название найденного активного протокола.
Локальный адрес. IP-адрес и порт, использующиеся локальным сервисом для создания соединения. Среди значений может встречаться 0.0.0.0, что означает любой доступный адрес или 127.0.0.1. Это говорит о локальной петле.
Внешний адрес. IP и порт внешней службы в сети, с которой установлено соединение.
Состояние. Показывает текущий статус соединения. Может принимать разные значения. Например, Listening говорит о том, что служба «слушает» и ждет входящего подключения. Established означает активное соединение. Netstat, запущенная с ключами -a и -b, покажет все сетевые подключения, а также связанные с ними программы. Это очень удобно, если нужно вычислить, какая программа активно использует трафик и куда отсылает данные.
Команда Nbtstat служит для отображения статистики протокола NetBIOS over TCP/IP (NetBT), таблиц имен NetBIOS для локального и удаленного компьютеров, а также кэша имен NetBIOS. Команда Nbtstat позволяет обновить кэш имен NetBIOS и имена, зарегистрированные в службе имен Интернета Windows (WINS). Запущенная без параметров, команда nbtstat выводит справку.
Синтаксис
nbtstat [-a удаленное_имя ] [-A IP-адрес ] [-c] [-n] [-r] [ -R] [-RR] [-s] [-S] [ интервал ]
Параметры
-a удаленное_имя - Отображение таблицы имен NetBIOS удаленного компьютера, где удаленное_имя является именем NetBIOS удаленного компьютера. Таблица имен NetBIOS является списком имен NetBIOS, соответствующих приложениям NetBIOS, работающим на данном компьютере.
-A IP-адрес - Отображение таблицы имен NetBIOS удаленного компьютера, заданного IP-адресом (десятичные числа, разделенные точками).
-c Отображение содержимого кэша имен NetBIOS, таблицы имен NetBIOS и их разрешенных IP-адресов.
-n Отображение таблицы имен NetBIOS локального компьютера. Состояние Зарегистрирован означает, что это имя зарегистрировано на сервере WINS или в качестве широковещательного адреса.
-r Отображение статистики разрешения имен NetBIOS. На компьютере Windows XP, настроенном для использования WINS, этот параметр возвращает количество имен, разрешенных и зарегистрированных для широковещательной рассылки или WINS.
-R Очистка содержимого кэша имен NetBIOS и перезагрузка записей #PRE из файла Lmhosts.
-RR Освобождение и обновление имен NetBIOS для локального компьютера, зарегистрированного на серверах WINS.
-s Отображение сеансов клиента и сервера NetBIOS с попыткой преобразования конечного IP-адреса в имя.
-S Вывод сведений о работе сервера и клиента NetBIOS; удаленные компьютеры выводятся только по IP-адресам.
Интервал - Обновление выбранной статистики на экране через промежутки времени, заданные значением интервал. Нажатие клавиш CTRL+C останавливает обновление статистики. Если этот параметр не задан, команда nbtstat выводит сведения о текущей конфигурации один раз.
2.4 Утилита tracert используетсядля исследования маршрутов IP пакетов в сетях, работающих с использованием стека протоколов TCP/IP включая глобальную сеть Internet.
tracert [ -d ] [ -h максимальное число ] [ -j список узлов ] [ -w интервал ] [ имя_конечного_компьютера ]
Параметры:
-d отказ от разрешения IP адресов промежуточных узлов в имена
-h максимальное число максимальное число переходов (прыжков) при поиске узла назначении
-j список_узлов задает использование параметра свободной маршрутизации в IP-заголовке с набором промежуточных точек назначения, указанным в списке_узлов (сейчас практически не поддерживается на машрутизаторах)
-w интервал задает в миллисекундах время ожидания каждого ответа
имя_конечного_компьютера задает точку назначения, идентифицированную IP-адресом или именем узла.
Работа утилиты основана на манипулировании содержимым полей стандартного заголовка и опций заголовка IP пакета. Основным инструментом утилиты является содержимое поля «время жизни» (или TTL).
Обязательным элементом является IP адрес или имя узла назначения.
2.5. Команда Nslookup — инструмент сетевого администрирования для запросов в доменной системе имен (DNS) с целью получения доменного имени, IP-адреса или другой информации из записей DNS
nslookup [- подкоманда... ] [{ искомый_компьютер | [ - сервер ]}]
подкоманда... Задает одну или несколько подкоманд nslookup как параметры командной строки.
искомый_компьютер Ищет данные для параметра искомый_компьютер, используя текущий, заданный по умолчанию сервер имен DNS, если никакого другого сервера не указано. Чтобы получить сведения о компьютере не из текущего домена DNS, в конец имени должна быть добавлена точка.
- сервер Указывает, что данный сервер следует использовать в качестве сервера имен DNS. Если параметр -сервер не указан, используется сервер DNS, заданный по умолчанию.
{help|?} Выводит краткое описание подкоманд nslookup.
Предназначена для просмотра и изменения записей в кэш ARP (Address Resolution Protocol - протокол разрешения адресов), который представляет собой таблицу соответствия IP-адресов аппаратным адресам сетевых устройств. Аппаратный адрес - это уникальный, присвоенный при изготовлении, 6-байтный адрес сетевого устройства, например сетевой карты. Этот адрес также часто называют MAC-адресом (Media Access Control - управление доступом к среде) или Ethernet-адресом. В сетях Ethernet передаваемые и принимаемые данные всегда содержат MAC-адрес источника (Source MAC) и MAC-адрес приемника (Destination MAC). Запущенная без параметров, команда arp выводит справку.
Синтаксис
arp [-a [ инет_адрес ] [-N иф_адрес ]] [-g [ инет_адрес ] [-N иф_адрес ]] [-d инет_адрес [ иф_адрес ]] [- инет_адрес е_адрес [ иф_адрес ]]
Параметры
-a [ инет_адрес ] [-N иф_адрес ] Вывод таблиц текущего протокола ARP для всех интерфейсов. Чтобы вывести записи ARP для определенного IP-адреса, воспользуйтесь командой arp -a с параметром инет_адрес, где инет_адрес это IP-адрес. Чтобы вывести таблицы кэша ARP для определенного интерфейса, укажите параметр -N иф_адрес, где иф_адрес это IP-адрес, назначенный интерфейсу. Параметр -N вводится с учетом регистра.
-d инет_адрес [ иф_адрес ] Удаление записи с определенным IP-адресом, где инет_адрес это IP-адрес. Чтобы запись таблицы для определенного интерфейса, укажите параметр иф_адрес, где иф_адрес это IP-адрес, назначенный интерфейсу. Чтобы удалить все записи, введите звездочку (*) вместо параметра инет_адрес.
-s инет_адрес е_адрес [ иф_адрес ] Добавление статической записи, которая сопоставляет IP-адрес инет_адрес с физическим адресом е_адрес, в кэш ARP. Чтобы добавить статическую запись кэша ARP в таблицу для определенного интерфейса, укажите параметр иф_адрес, где иф_адрес это IP-адрес, назначенный интерфейсу.
ВЫПОЛНИТЬ
1. С помощью cmd запустить командную строку.
2.Определите настройки протокола TCP/IP вашего компьютера, например, командой ipconfig из командной строки.
3. Определить доступности вашего узла и хоста intuit.ru c помощью утилиты ping.
4. С помощью Netstat определить активные соединения, вывести список портов и их соединений, статистику сохранить статистику в файл.
5. С помощью Nbtstat вывести таблицу имен и содержимое кеша локального компьютера
6. Отследить маршрут (tracert) прохождения пакета до заданного узла, узел задать самостоятельно.
7. Отобразить почтовые сервера домена (MX)
8. Отобразить физические адреса для вашего компьютера
Реализации атак
В литературе содержится большое количество упоминаний реализаций атак на различные сетевые службы: «Ping Flood» (затопление ICMP- пакетами), «Ping of Death» (превышение максимально возможного размера IP- пакета), «SYN Flood» (затопление SYN-пакетами), «Teardrop», «UDP Bomb» и т. д.
Атака «Ping of Death» приводила к зависанию реализации стека прото колов TCP/IP в ОС Windows Атака основана на отправке IP-пакета, длина которого превышает стандартную величину. Напомним, что максимальный размер IP-пакета составляет 65535 байт, из них 20 байт отводится на заголо- вок. Таким образом, максимальный размер данных, передаваемых в одном пакете, составляет 65515 байт. В реализации ряда ОС именно такой буфер и от водился для хранения получаемых данных, а размер буфера не контролиро- вался. Если же приходил пакет большей длины, то получаемые данные зати- рали машинный код в оперативной памяти, находившийся после отведенного буфера. Для реализации атаки достаточно было использовать стандартную утилиту ping следующим образом:
ping -l 65527 -s 1 адрес_жертвы
Другая известная атака, достаточно долго приводившая в неработоспособное состояние сетевые узлы под управлением ОС Windows, получила название WinNuke. Для ее реализации в Интернет можно было найти программу с аналогичным названием и простым интерфейсом. Впроцессе выполнения программа WinNuke устанавливает стандартное TCP-соединение с портом 139 атакуемого узла. Особенностью соединения является то, что атакующим для установки соединения используется TCP-порт с номером 40, в отличие от обычно используемых номеров портов больших, чем 1024. После установки соединения атакующий отправляет нестандартный для SMB-протокола пакет в результате получения которого ОС Windows «вылетала в синий экран смерти».
4. Содержание отчета:
Цель, постановка задачи, формат и описание команд, скринщоты, выводы