LU.NET.UA - Захист інформації в інтернеті

:: Меню ::

Головна
Введення

Частина I.
Вивчення мети

1. Попередній збір даних
2. Сканування
3. Інвентаризація

Частина II.
Уразливість систем

4. Уразливість Windows 95/98/me
5. Уразливість Windows NT
6. Уразливість Windows 2000

Частина III.
Уразливість мереж

9. Уразливість видалених з'єднань, РВХ, Voicemail і віртуальних приватних мереж
10. Мережеві пристрої
11. Брандмауери
12. Атаки DOS

   Частина IV.
Уразливість програмного забезпечення

13. Вади засобів видаленого управління
14. Розширені методи
15. Уразливість в Web
16. Атаки на користувачів Internet
 Братани
Карта сайту
Добавити у вибране

:: Друзі ::

--

:: Статистика ::

 

 

 

 

 


Захоплення сеансу

Мережеві пристрої підтримують весь корпоративний потік повідомлень. Кожне повідомлення електронної пошти, кожен файл, кожен номер кредитної картки клієнта передається по мережі і обробляється цими пристроями. Очевидно, що забезпечення їх безпеки є першочерговим завданням. Тому ніколи не можна унеможливлювати, що мережевий трафік буде перехоплений зловмисником. Нижче ви дізнаєтеся, як це можна здійснити за допомогою так званого захоплення з'єднання TCP (TCP hijacking).
Такий підхід став можливим із-за наявності помилок в протоколі TCP. Протоколи Tcp/ip допускають впровадження в потік повідомлень помилкового пакету, дозволяючи тим самим запускати команди на видаленому вузлі. Проте цей тип злому можливий тільки в мережі з множинним доступом (цьому питанню присвячений розділ "Множинний доступ і комутація пакетів" розділу 10, "Мережеві пристрої"), і для нього потрібно трохи везіння. За допомогою програми Juggernaut або Hunt зломщик може спробувати "підглянути" передавані дані, а потім перехопити з'єднання.

Juggernaut


Одна з перших спроб застосувати на практиці теорію захоплення TCP була зроблена Майком Шиффманом (Mike Schiffman), внаслідок чого з'явився продукт Juggernaut (можливо, багато хто пригадає Майка за його попередньою програмою. Поява цього безкоштовного програмного продукту виявилася революційною в тому відношенні, що з його допомогою можна було "шпіонити" за з'єднанням TCP, а потім на деякий час його захоплювати. Це дозволило зломщикам вводити команди як легітимного користувача. Наприклад, якщо мережеві пристрої використовуються в мережі з множинним доступом, то зломщики можуть відстежувати з'єднання, а потім перехопити сеанс telnet або ввести пароль для пристроїв Cisco.

Juggernaut
?) Help
0) Program information
1) Connection database
2) Spy on а connection
3) Reset а connection
4) Automated connection reset daemon
5) Simplex connection hijack
6) Interactive connection hijack
7) Packet assembly module
8) Souper sekret option number eight
9) Step Down

Однією з кращих можливостей програми Juggernaut є функція simplex connection hijack (захоплення сімплексного з'єднання). Ця можливість дозволяє зломщикові посилати команди в локальну систему. Застосування режиму interactive connection hijack (захоплення інтерактивного з'єднання) завжди було утруднене, оскільки із-за великого потоку повідомлень АСЬК зв'язок часто уривався. Проте часто можливості захоплення сімплексного з'єднання виявляється цілком достатньо. Вона дозволяє зломщикові відправити, наприклад, команду enable password Про hello, яка виконається на видаленому вузлі і відмінить шифрування пароля.

Hunt


Утиліта Hunt (її можна знайти на Web-узле http://www.cri.cz/-kra/index.html#HUNT) — це ще одна програма перехоплення, що відрізняється стабільністю роботи. Її автор, Павло Крауз (Pavel Krauz) створив чудову програму, яка наочно демонструє недоліки протоколу TCP.
Як і Juggernaut, програма Hunt дозволяє зломщикові легко стежити за з'єднанням і, таким чином, вивідувати таку цінну інформацію, як паролі. Як це відбувається, видно з наступного прикладу.

--- Main Menu---rcvpkt 1498, free/alloc pkt 63/64 ---
1/w/r) list/watch/reset connections
u) host up tests
a) arp/simple hijack (avoids аськ storm if arp used)
s) simple hijack
d) daemons rst/arp/sniff/mac
o) options
x) exit
> w
0) 172.29.11.207 [1038] -> 172.30.52.69 [23]
1) 172.29.11.207 [1039] -> 172.30.52.69 [23]
2) 172.29.11.207 [1040] -> 172.30.52.66 [23]
3) 172.29.11.207 [1043] -> 172.30.52.73 [23]
4} 172.29.11.207 [1045] -> 172.30.52.74 [23]
5) 172.29.11.207 [1047] -> 172.30.52.74 [23]
choose conn> 2
dump [s]rc/[d]st/[b]oth [b]> s
CTRL-C to break
uname -a su
hello
cat /etc/passwd

В процесі спостереження за сеансом telnet в системі UNIX зломщик може отримати цінну інформацію, наприклад (як видно з попереднього прикладу) пароль користувача root. Утиліта Hunt надає також можливість передачі команд на видалений вузол і їх виконання. Наприклад, зломщик може передавати команди, а результат їх виконання відображатиметься тільки на його комп'ютері, що значною мірою утрудняє його виявлення.

---Main Menu--- rcvpkt 76, free/alloc pkt 63/64---
1/w/r) list/watch/reset connections u) host up tests
а)arp/simple hijack (avoids аськ storm if arp used)
s) simple hijack
d) daemons rst/arp/sniff/mac
o) options x) exit > s
0) 172.29.11.207 [1517] --> 192.168.40.66
[23] choose conn>0
dump connection y/n [n]>n
dump [s]rc/[d]st/[b]oth [b]>
print src/dst same characters y/n [n]>
Enter the command string you wish executed or [cr]>
cat /etc/passwd cat /etc/passwd
root:rhayrl.AHfasd:0:1:Super-User:/:/sbin/sh daemon:x:
1:1::/: bin:x:2:2::/usr/bin: sys:x:3:3::/
:adm:x:4:4:admin:/var/adm:
Ip:x:71:8:line Printer Admin:/usr/spool/lp:
uucp:x:5:5:uucp Admin:/usr/lib/uucp:
nuucp:x:9:9:uucp Admin:/var/spool/uucppublic:/usr/lib/
uucp/uucicc listen:x:37:4:network Admin:/usr/net/nls:
nobody:x:60001:60001:nobody:/: noaccess:x:60002:60002:
No Access User:/: nobody4:x:65534:65534:sunos 4.x Nobody:/:
sm:a401ja8ffla.;:100:1::/export/home/sm:/bin/sh
[r]eset connection/[s]ynchronize/[n]one [r]>n
done

Як видно з приведеного прикладу, на видалений вузол може бути передана досить підступна команда (cat /etc/passwd), а отриманий результат відобразиться лише на комп'ютері зломщика.

Контрзаходи проти захоплення з'єднань


Застосування шифруючих комунікаційних протоколів, наприклад Ipsec або SSH, дозволить значно понизити або звести до нуля ефективність таких перехоплень даних. Колись вважалося, що технологія мереж з комутацією пакетів забезпечує адекватний захист від зломів подібного роду, але з тих пір засоби мережевого моніторингу стали настільки хитромудрими, що при певних обставинах вони дозволяють добитися бажаного результату (див. опис утиліти dsnif f в розділі 8). Тому кодування інформації є самим кращим захистом.



:: Реклама ::

>Страница статей


:: Посилання ::

-

Статьи о болезнях и вредителях суккулентных растений http://www.nopal.ru/succulent | Поговорим о бане.

:: Рекомендуємо ::

-


 

 

 

 


Copyright © Klab-F 2024