Cursul 11 - Atacuri de Rețea

7/24/2019 Cursul 11 - Atacuri de Reea

1/45

Cursul 11

11Atacuri de retea

6-7 ianuarie 2015


2/45

Obiective

Tipuri de atacuri

Atacuri de recunoatere

Atacuri acces

DoS Virui

Troieni

Viermi

2


3/45

Recapitulare: Clasificarea atacurilor

Internetul nu este un loc sigur

Reeaua local poate fi oricnd inta unui atac: De recunoatere

Ping sweep

Sniffing

Port scan

De DoS (Denial of Service) sau DDoS (Distributed DoS)

Smurf attack

SYN flood

De acces

Atacarea unei parole (cu dicionar sau brute-force) Buffer overflow

Man-in-the-middle

3


4/45

Cursul 13

Atacuri de recunoatere Scop

nmap

tcpdump

Wireshark whois


5/45

Atacuri de recunoatere

Constau n recoltarea informaiilor despre o anumit reea

Se caut orice informaie util care poate fi folosit ndesfurarea unui atac ulterior

Exemple de informaii utile unui atacator: IP-urile staiilor dintr-o reea

Serviciile ce ruleaz pe fiecare staie

Locaia serviciilor n care utilizatorii reelei au ncredere

Vulnerabiliti n versiunile serviciilor

5


6/45

Utilitare de recunoatere: nmap

Permite scanarea staiilor din reea

Poate descoperi: Staiile active (Ping Scan)

Informaii despre sistemul de operare

6

attacker# nmap O 141.85.227.116

Vor fi trimise pachete ICMP Echo ctretoate staiile din reea

attacker# nmap sP 141.85.227.0/24

Ping scan


7/45


Permite scanarea staiilor din reea

Poate descoperi: Informaii despre porturile deschise (Port Scan)

Informaii despre servicii i versiunea acestora (Service Scan)

7

attacker# nmap sP p T:21-25,80 141.85.227.0/24

Port scan

Scanarea poate fi efectuat doar peanumite porturi

attacker# nmap sV 141.85.227.118


8/45


8

attacker# nmap sV elf.cs.pub.ro

[]

Interesting ports on elf.cs.pub.ro(141.85.227.116):

Not shown: 993 closed ports

PORT STATE SERVICE VERSION

22/tcp open ssh OpenSSH 5.5p1 Debian 6 (protocol 2.0)

25/tcp open smtp Postfix smtpd

80/tcp open http Apache httpd 2.2.16 ((Debian))

443/tcp open ssl/http Apache httpd 2.2.16 ((Debian))

6881/tcp filtered bittorrent-tracker

6969/tcp open http BitTornado tracker T-0.3.18

20222/tcp open ssh OpenSSH 5.1p1 Debian 5 (protocol 2.0)

MAC Address: 00:18:51:6C:1F:9E (SWsoft)

Service Info: Host: elf.cs.pub.ro; OS: Linux

[]


9/45

Utilitare de recunoatere: Wireshark

Permite interceptarea i analiza traficului de reea

Necesit trecerea interfeei de reea n mod promiscuous n acest mod este primit orice trafic (chiar i cel care nu este destinat

staiei locale)

Utilizeaz formatul libpcap

Permite deschiderea fiierelor de captur libpcap ale altor utilitare(tcpdump, dynagen)

9


10/45

Utilitare de recunoatere: tcpdump

Folosit pentru captura din linie de comand a traficului

10

attacker# tcpdump i eth0 c 10 dst port 80

Interfaa pe care serealizeaz captura

Numrul de pachetece vor fi capturate

Condiii pentru filtrarea capturii (n cazulacesta vor fi trecute n captur doarpachetele ctre portul destinaie 80)


11/45

Utilitare de recunoatere: whois

Utilitar pentru serviciul whois

Permite obinerea informaiilor despre un domeniu

11

Registrant:

Dns Admin

Google Inc.

Please contact [email protected] 1600 Amphitheatre Parkway

Mountain View CA 94043

US

[email protected] +1.6502530000 Fax: +1.6506188571

Domain Name: google.com

Registrar Name: Markmonitor.com

Registrar Whois: whois.markmonitor.com

Registrar Homepage: http://www.markmonitor.com

Administrative Contact:

DNS Admin

Google Inc.

1600 Amphitheatre Parkway

Mountain View CA 94043

US

[email protected] +1.6506234000 Fax: +1.6506188571


12/45

Utilitare de recunoatere: host

Utilitar pentru serviciul DNS

Permite obinerea informaiilor despre serverele de nume i de mail aleunui domeniu

12

attacker# host -t MX pub.ro

pub.ro mail is handled by 5 mail.pub.ro.

pub.ro mail is handled by 50 relay.roedu.net.

attacker# host -t NS pub.ro

pub.ro name server pub.pub.ro.

pub.ro name server ns1.roedu.net.

pub.ro name server pub2.pub.ro.


13/45

Cursul 11

Atacuri DoS Identificare

DDoS

Smurf attack

TCP SYN flood CAM overflow


14/45

Identificare atacuri DoS

Denial of service

Se trimite un numr mare de cereri pentru a preveni procesareacererilor normale

Din cauza ncrcrii exist inclusiv riscul ca aplicaia s ntmpineo eroare i s se opreasc

Atacurile DoS se recunosc msurnd traficul n condiii normale Apariia unei anomalii poate indica un atac DoS

14


15/45

Atacuri DDoS

Constau n trimiterea cererilor de la mai multe sisteme ctre o

singur int Atacurile DoS/DDoS sunt dificil de identificat

Nu se poate determina mereu care sunt cereri valide i care reprezint unatac

Exemplu de trafic valid cu rezultat de DoS: Slashdot effect

15

Exemplu deSlashdot effect


16/45

Smurf attack

Ping-uri ctre o adres de broadcast cu o adres surs spoofed

Toate staiile din reeaua respectiv vor rspunde ctre surs Dac reeaua este mare staia int poate s primeasc mai mult

trafic dect poate procesa

Efectul este imposibilitatea folosirii conexiunii la Internet pentru uz normal

16

Internet

Dest: 141.85.37.255/24

Surs: 30.30.30.30

30.30.30.30

20.20.20.20141.85.37.0/24

Echo request

Echo reply


17/45

Atacatorul iniiaz un numr mare de conexiuni TCP cu un server,

fr a termina handshake-ul iniial (conexiuni half-open) Respectivele conexiuni epuizeaz resursele serverului

Acesta nu mai poate procesa cereri valide

Server

TCP SYN flood

17

SYNSYN

SYN + ACK

SYN + ACK

Info

Conexiune

Info

ConexiuneAtacator


18/45

CAM Overflow

Ce este tabela CAM?

R:Tabel folosit de switch-uri pentru a reine prin ce port se ajunge la oanumit adres MAC

Memoria unui switch nu e nelimitat: Tabela CAM se poate umple

Dac se umple, switch-ul va lucra n regim de hub

Un atacator poate trimite un volum mare de cadre cu adrese MAC

spoofed

Ce adrese MAC trebuie falsificate pentru acest atac?

R: Switch-ulnva adresele MAC surs, deci acestea trebuie falsificate

Cum se poate opri acest atac?

R:Limitarea numrului de adrese ce pot fi nvate pe un port.

18


19/45

Cursul 11

Atacuri acces Spargere de parole

MITM

Social engineering

Exploatarea ncrederii Buffer overflow

VLAN hopping

Atacuri STP


20/45

Spargere parole

Parolele trimise n clar (Telnet) pot fi obinute prin sniffing

Parolele crora li s-a obinut hash-ul pot fi sparte prin: Brute force (se ncearc toate combinaiile ce folosesc un set de simboluri)

Dictionary attack (se ncearc toate cuvintele din dicionar mpreun cupermutri simple)

Cryptanalysis attack (Rainbow tables)

Brute force / dictionary attack pot fi aplicate direct pe serviciul de

autentificare, fr a avea hash-ul: Uor de blocat prin adugarea de limitri la autentificare (de exemplu

blocarea contului pentru 10 minute la 3 euri de autentificare n decurs

de un minut)

20


21/45

Rainbow Tables

Atac de criptanaliz

Pentru spargere se pot folosi tabele de hash-uri precalculatenecesar prea mare de spaiu

Rainbow tables menin punctele de pornire pentru lanuri dehash-uri

Ideea este s se foloseasc spaiu pentru a economisi timp derulare

Rainbow tables publice se pot obine de pe Internet www.freerainbowtables.com(are 4178 de GB)

21
http://www.freerainbowtables.com/http://www.freerainbowtables.com/


22/45

Spargere parole - Salting

Metod de prevenire a atacurilor ce folosesc rainbow tables

Se folosete un segment suplimentar, generat aleator, ce esteconcatenat la parola utilizatorului nainte de hashing

Segmentul aleator crete dimensiunea tabelelor necesare pentruspargere

Exemplu:

22

/etc/shadow:

trudy:$6$/tKy92iM$/.cIxbEX49qHpZt74D5L0W1vXO2fJuXjyXJnsT0.M[]

Algoritm

6

SHA-512

SaltHash

(SHA-512)


23/45

Spargere parole - Salting

Folosirea unui salt nu previne atacurile prin rainbow tables, doar

crete dimensiunea necesar a acestora

23

Rainbow

table

hash-2

pa$$word hash-1

Salt

pa$$word

pa$$word

???


24/45

Spargere parole cu Cain

24

Un dictionary

attackncearci variaii simpleale cuvntului

de baz


25/45

MITM

Man in the Middle

Traficul dintre dou entiti este interceptat i rutat de unatacator

Exemplu: traficul ntre o staie i default gateway

Exemplu de MITM: ARP Poisoning Se bazeaz pe faptul c protocolul ARP nu face autentificare

O staie poate mini referitor la adresa sa de nivel 3

Exemplu de program pentru ARP Poisoning: Cain

25


26/45

MITMStare iniial

Reeaua opereaz normal naintea atacului

Staia Aare informaii corecte despre staia C

26

A

C

A.IP

A.MAC

C.IP

C.MAC

BB.IP

B.MAC

ARP Cache:

C.IPC.MAC

ARP Cache:

A.IPA.MAC


27/45

MITMAtac

Bdorete s intercepteze traficul dintre Ai C

Trimite un mesaj ARP ctre Acu coninutul C.IPB.MAC La primirea mesajului, Aschimb coninutul cache-ului (chiar dac nu a

solicitat mesajul n prealabil)

Bva ruta corect traficul de la A

27

A

C

A.IP

A.MAC

C.IP

C.MAC

BB.IP

B.MAC

ARP Cache:

C.IPB.MAC

ARP Cache:

A.IPA.MAC


28/45

MITMAtac

Bdorete s intercepteze traficul dintre Ci A

Trimite un mesaj ARP ctre Ccu coninutul A.IPB.MAC La primirea mesajului, Cschimb coninutul cache-ului (chiar dac nu a

solicitat mesajul n prealabil)

28

A

C

A.IP

A.MAC

C.IP

C.MAC

BB.IP

B.MAC

ARP Cache:

C.IPB.MAC

ARP Cache:

A.IPB.MAC


29/45

MITMStare final

Ai Cvor crea cadrele cu adresa lui Bn antetul de nivel 2

Switch-ul va comuta cadrele respective ctre atacator

29

A

C

A.IP

A.MAC

C.IP

C.MAC

BB.IP

B.MAC

ARP Cache:

C.IPB.MAC

ARP Cache:

A.IPB.MAC


30/45

Exploatarea ncrederii

Iniial este compromis un sistem din reea

Sistemul compromis este folosit pentru a ataca mai departereeaua

30

Internet

Atacator

Client VPN

Server intern

Host dept. financiarUn angajat folosete un laptop

pentru a accesa prin VPN

reeaua companiei din Internet

Atacatorul compromite laptop-ul

si folosete aplicaia VPN pentru aaccesa serverul din companie

Pe baza informaiilor extrasede pe server poate accesa

host-urile din departamentulfinanciar


31/45

Social engineering

Se bazeaz pe extragerea informaiilor confideniale de la oameni

Parole sau detalii financiare

Atacatorul trebuie s conving potenialele inte c este dencredere

Este probabil ca inta respectiv s nu fie de profil tehnic i saib ncredere n autoritatea atacatorului Atacatorul se poate da drept un membru al echipei tehnice

31


32/45

Social engineering

Oamenii nu sunt contieni de valoarea informaiei pe care o

posed i vor s ajute Social engineering poate evita orice tip de securitate

Este necesar realizarea de edine de instruire pentru angajaii non-tehnici

Exemplu: phishing

32


33/45

Buffer overflow

Scriere de informaie peste un buffer alocat

Permite executarea de cod de atac sau crash-uirea aplicaiei

Exemplu: scrierea n afara unui vector alocat pe stiv n C poatepermite suprascrierea adresei de ntoarcere din funcie Atacatorul poate provoca astfel srirea peste o funcie de verificare,

obinnd acces n sistem fr autentificare

33

overflow Autentificare

Flux modificat printr-un atac tip buffer overflow


34/45

VLAN Hopping

Switch spoofing:

Sistemul atacatorului negociaz o legtur trunk cu switch-ul (prin DTP) Atacatorul poate ulterior trimite trafic n orice VLAN

34

VLAN 10

VLAN 20

Trunk

Trunk negociat de

atacator

VLAN 10

VLAN 20

Atacatorul poate trimite

trafic n orice VLAN

trimind cadre 802.1Q


35/45

VLAN Hopping

Double tagging:

Simplu de realizat deoarece nu necesit implementarea DTPpe atacator Tehnic folosit i de ISP-uri n 802.1Q tunneling

VLAN-ul nativ de pe trunk trebuie s fie acelai cu VLAN-ul atacatorului

35

VLAN 10

VLAN 20

Trunk

IP

802.1Q: VLAN 20

802.1Q: VLAN 10

Switch1 Switch2 Switch3

Native VLAN = 20


36/45

VLAN Hopping

Double tagging:

Switch-ulnltur tag-ul de VLAN 20 i trimite cadrul mai departe pe trunk Switch-ul 2 va vedea tag-ul 10 i va trimite mai departe cadrul pe VLAN 10

36

VLAN 10

VLAN 20

Trunk

IP

802.1Q: VLAN 10

Switch1 Switch2 Switch3

Native VLAN = 20


37/45

Atacuri STP

Protocolul STP nu folosete autentificare vulnerabil

Un atac STP are de obicei urmtorii pai:1. Conectare la reeaua de switch-uri

2. Trimiterea de BPDU-uri cu BID mic

3. Devenire root bridge

37

Circul date

Circul BPDURoot Bridge

Switch1

A

B

Switch2


38/45

Atacuri STP

Traficul dintre Ai Btrece prin Switch1

Switch2este sistemul folosit de atacator (Linux cu Yersinia) Switch2e conectat la reea i anun BPDU-uri cu BID=1

(prioritate 0)

38

Circul date

Circul BPDU

Switch1

A

B

Switch2

STP recalculeaz

rolurile porturilor


39/45

Atacuri STP

Traficul dintre Ai Btrece acum prin Switch2

Atacatorul poate porni o captur de trafic pe Switch2pentru aanaliza comunicaia dintre Ai B

Soluii pentru protejarea STP: RootGuard, BPDU Guard, BPDUFilter

39

Circul date

Circul BPDU

Switch1

A

B

Switch2 Root Bridge


40/45

Atacuri STP

STP reconverge imediat dac se detecteaz BID-uri noi

Switch-ul atacatorului i poate schimba continuu BID-ul pentru afora recalcularea STP

Porturile nu ajung niciodat s transmit date (denial of service)

Suficient o singur legtur la reea pentru a implementa atacul

40

Circul date

Circul BPDU

Switch1

A

B

Switch2 Alterneaz ntre BIDmaxim i minim


41/45

Cursul 11

Atacuri cu cod executabil Virui

Troieni

Viermi


42/45

Virui

Cod executabil ataat unui program sau executabil

Codul trebuie s fie rulat de un utilizator pentru a avea efect

Se propag prin: Ataamente de e-mail

Fiiere descrcate infectate Partajri de fiiere n reeaua local

Stick-uri USB

i i


43/45

Troieni

Cod executabil ataat unei aplicaii

Spre deosebire de virui care au un efect direct, troienii au unefect subtil

Deschidere backdoor

Sunt mult mai greu de detectat dect viruii

43

Vi i


44/45

Viermi

Cod executabil ce folosete vulnerabiliti pentru a se rspndi

Spre deosebire de virui nu necesit intervenia direct a unuiutilizator

Rspndire foarte rapid

Dificil de nlturat

Au adesea scopul de a partaja resurse de procesare, stocare sauconexiune internet (de exemplu botnet de trimitere spam)

44

C i h i


45/45

salt

MITM

Viermi

TroieniVirui

Sniffing

Port

scan

Ping

sweep

Password

cracking

DoS

Recunoatere

Cuvinte cheie

Cod de

atac

Buffer

overflowExploatare

ncredere

Acces

nmap

tcpdump

Wireshark

Atacuri

whois

Dictionary

attack

Rainbow

table

CAM

overflow

Atacuri STP VLAN

hopping

Cursul 11 - Atacuri de Rețea

Documents

Transcript of Cursul 11 - Atacuri de Rețea