ВИЯВЛЕННЯ МЕРЕЖЕВИХ АТАК ШЛЯХОМ АНАЛІЗУ ТРАФІКУ

21 Етапи мережевої атаки

Стандартні мережеві атаки проводяться в три етапи: збір інформації,

виявлення вразливих місць атакується системи та реалізація обраної атаки

Етап збору інформації полягає у вивченні мережевої топології атакується мережі, визначенні типу і версії операційної системи атакується-

го вузла, виявленні доступних мережевих та інших сервісів, що функціонують на атакується вузлі

Етап виявлення вразливих місць атакується системи здійснюється по-

сле або паралельно з етапом збору інформації Його суть полягає в ви-поясненні версій використовуваного на атакується вузлі мережевого ПЗ, виявленні його конфігурації і в аналізі наявності вразливостей в зазначеному ПЗ і ​​його на-будівництвах

І, нарешті, етап реалізації атаки – це або відправка певних послідовностей мережевих пакетів на певні мережеві служби, при-

провідна до непрацездатності вузла, або виконання будь-яких запитів до мережних служб віддаленого вузла, результатом яких буде отримання доступу до інформації, що захищається

Загалом перші два етапи не можуть бути класифіковані як Престо-полон Як вказується в [1], компютерними мережевими злочинами є при-ляють передбачені кримінальним законодавством суспільно небез-

ві діяння, вчинені на основі віддаленого доступу до обєкта посягань-тва з використанням глобальних компютерних мереж як ос-новного засоби досягнення мети Таким чином, компютерним переступив-ленням є лише третій етап – реалізація атаки

Разом з тим виконання третього етапу практично неможливо без проведення двох перших етапів атаки Отже, захист повинні подле-жати й інформація про мережевий топології, і перелік доступних сервісів, і

версії програмного забезпечення, і т п

22 Дослідження мережевої топології

Завдання вивчення мережевої топології полягає у виявленні мережевих вузлів, присутніх в заданому діапазоні адрес При цьому поширеною-ненние мережеві сканери, такі як nmap, netcat, InterNetView, вирішують дану задачу найчастіше шляхом ICMP-сканування

Як відомо, протокол ICMP використовується для визначення доступно-сті мережевих вузлів Стандартною програмою, яка застосовує протокол ICMP, є утиліта ping Функціонування утиліти ping зводиться до відправки на тестований вузол запиту і отримання відповіді Відправляється запит на-

зиваєтся ICMP-запитом (тип пакета ECHO_REQUEST), а отримуваний від-

вет – ICMP-відповіддю (тип пакета ECHO_REPLY)

Рис 21 Вихідний ICMP-запит

Рис 22 Вхідний ICMP-відповідь

Так, якщо на компютері під управлінням, наприклад, ОС Windows 2000 з IP-адресою 1921682001 проводиться виконання команди ping 1921682002 з метою тестування доступності вузла з IP-адресою

1921682001, то в мережі можна спостерігати чотири послідовно передавав-

мие пари повідомлень: вихідний ICMP-запит (тип ICMP-пакета – 0х08, Echo, рис 21) і вхідний ICMP-відповідь (тип ICMP-пакета – 0х00, Echo-Reply, рис 22)

Аналогічні пакети мають місце при скануванні, яке вироб-диться, наприклад, сканером InterNetView (рис 23) Єдиною відмінністю є те, що замість чотирьох послідовних пар пакетів в трафіку при-

сутствует тільки одна пара: ICMP-запит і ICMP-відповідь

Рис 23 Вікно сканера InterNetView

У загальному випадку одиничний вхідний ICMP-запит не є ата-кою – це лише стандартний засіб перевірки доступності вузла Послідовне виконання ICMP-запитів з перебором адрес з певного діапазону вже можна розглядати як атаку Разом з тим, якщо захищається травня мережа є «клієнтської мережею», тобто не містить серверів, нада-ляющих мережеві послуги, то входять в цю мережу ICMP-запити також повинні розглядатися як атака

Для ускладнення процесу виявлення атаки перебір адрес може вес-

тись не послідовно, а в псевдовипадковому порядку

Як відомо, при виконанні стандартного ICMP-запиту в ОС Win-dows 2000 відбувається обмін стандартної текстової рядком довжиною 32 байта

Зазвичай даний рядок являє собою 26 букв англійського алфавіту, до-

виконаних шістьма додатковими символами Разом з тим обсяг переду-

ваемих даних може бути істотно збільшений (до 65 535 байт) з метою передачі не стандартної послідовності, а деякою спеціально підго-лення команди або тексту У цьому випадку проявом атаки можуть бути вихідні ICMP-відповіді, в яких може бути передана захищається ін-формація

Крім того, за получаемому ICMP-відповіді, а саме за кодом ICMP-пакета, зловмисник може визначити тип операційної системи тести-руемого вузла з метою конкретизації подальшої атаки

Таким чином, у разі ICMP-пакетів атакою будемо вважати що входять

ICMP-запити та вихідні ICMP-відповіді

Рис 24 Запит установки TCP-зєднання

ВИКОНАТИ

1 Визначте налаштування протоколу TCP / IP вашого компютера, наприклад,

командою ipconfig з командного рядка

2 Встановіть та запустіть засіб аналізу мережевого трафіку Здійсніть

захоплення мережевого трафіку

3 Виконайте команду компютера

ping ****

для виявлення в мережі сусіднього

4 Здійсніть перегляд трафіку В отриманих мережевих пакетах переконайтеся

в наявності полів «джерело», «приймач», «тип протоколу»

5 Знайдіть пакет, джерелом якого є Ваш компютер, тип прото-

кола – ICMP, опис – Echo Відкрийте докладний опис даного пакета Знайдіть тип пакету і відправляються дані Скільки і яких сім-

волів відправляється на шуканий компютер

6 Знайдіть відповідь пакет (приймач – ваш компютер, тип протоколу – ICMP, опис – Echo Reply) Відкрийте докладний опис даного пакета Скільки і яких символів відправляється у відповідь

7 Скільки разів здійснюється обмін ICMP-пакетами Як представлені в

IP-пакетах IP-адреси приймача і джерела

Другим широко поширеним способом виявлення мережевий топо-логії є TCP-сканування, яке полягає в послідовній спробі встановлення мережевого зєднання за певним порту з пере-бором IP-адрес

При установці TCP-зєднання, як було зазначено раніше, перший паку-том, що відправляється на тестований вузол, є пакет з встановленим прапором SYN (рис 24) Залежно від того, чи присутній у мережі компь-

ютер з вказаною адресою, на якому включена тестована служба, віз-можна три ситуації У тому випадку, якщо компютер присутній і на ньому функціонує запитуваний порт, відповіддю буде пакет із встановленими

прапорами ACK і SYN, що вказують на те, що за даним порту може бути встановлено зєднання (рис 25) Аналізуючи дану відповідь, атакуючий не тільки може встановити факт присутності в мережі вузла, а й визначити нали-

чие на ньому певної мережевої служби

Рис 25 Відповідь про можливість установки TCP-зєднання

У тому випадку, якщо компютер присутній, але запитуваний порт на ньому не відкритий, у відповідь відправляється TCP-пакет з встановленими прапорами ACK і RST, що вказують на те, що по запитуваній порту зєднання

встановити не можна (рис 26) Отримавши подібний відповідь, атакуючий приймає рішення про присутність у мережі вузла з цікавлять IP-адресою, але недоступ-ності запитуваної порту

І, нарешті, якщо в мережі немає шуканого вузла, то у відповідь не буде отримано нічого

Рис 26 Відповідь про неможливість установки TCP-зєднання

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*