На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Обнаружение наиболее общих атак хакеров и защита от них

Уже говорилось, ваша система может подвергнуться нападению со зкеров. В следующих главах я расскажу о некоторых специфических атаках на грверы. В главе 1 вы уже познакомились с наиболее общими типами атак, а из 1авы 4 узнали о том, как хакеры могут перехватить передаваемые no Internet шные. Оказывается, злоумышленник может просмотреть любое передаваемое о Internet сообщение. Кроме того, существует возможность перехвата сообще-ия в любой сети, к которой хакер может получить доступ. Поэтому вам нужно познакомиться с описанными в этой главе атаками. Понимание составляет половину ее решения. Далее я расскажу о том, как хакеры получить доступ к системе при помощи броузера, а также используя языки оработки сценариев. В этой главе описывается специфический тип атак — атаки». Прочитав главу, вы узнаете следующее:
» Наиболее простой является атака предсказания последовательности паке­тов TCP/IP.
» Наиболее опасным для систем защиты является перехват пакетов во время TCP-сеанса.
» Прежде чем начать серьезную атаку, хакер проводит наблюдение за прохо­дящими по сети пакетами.
* При помощи подмены хакер подделывает IP-адрес и «притворяется» на­дежным сервером, к которому ведет соединение.
Наиболее распространенной пассивной атакой является наблюдение.
Почти все хакеры оставляют следы, при помощи которых можно распо­знать и предотвратить атаку.
» Многие атаки построены на взломе или порче транзакций протокола HTTP или TCP-соединений.
» Для проведения атак на SSL-серверы хакеры могут воспользоваться подме­ной гиперссылок.
* Подмена Web — это метод перехвата всех данных, передаваемых во время HTTP-транзакции между пользователем и сервером.
»   Хакеры изобретают все новые и новые виды атак.


ПРОСТЕЙШАЯ АТАКА
Как известно, каждому компьютеру в сети присваивается определенный IP-ад­рес. В главе 2 рассказывалось о том, что каждый сетевой компьютер присоеди­няет к отправляемым пакетам IP-адрес назначения и уникальный номер — номер последовательности. При работе с TCP-соединением получатель будет прини­мать только пакеты с правильным IP-адресом и номером последовательности. Многие устройства безопасности, включая маршрутизаторы, позволяют переда­вать данные только компьютерам с определенными IP-адресами. Атака предска­зания последовательности пакетов ГСР/7/испрльзуел методы адресации компью­теров в сети и последовательность обмениваемых пакетов.
Итак, перейдем к деталям. Атака предсказания последовательности пакетов TCP/IP проводится в два этапа. На первом этапе хакер пытается определить IP-адрес сервера. Для этого он может наблюдать за пакетами и попытаться перебрать по порядку номера хоста или присоединиться к Web-сайту при помощи броузера -IP-адрес должен появиться в строке состояния. Хакер знает, что IP-адреса ос­тальных компьютеров этой сети начинаются с тех же чисел, что и адрес сервера. Таким образом, он может попытаться подыскать номер, при помощи которого можно будет пройти через маршрутизатор и получить доступ к системе в качестве внешнего пользователя. Например, если системе выделен адрес 192.0.0.15, то исходя из этих данных можно сказать, что это — сеть класса С, и поэтому в ней может быть не более 256 машин. Обладая такими сведениями, хакер может по­пробовать перебрать все возможные адреса этой сети. Напомним читателю (см. гла­ву 2), что IP-адреса показывают, сколько компьютеров может быть присоедине­но к сети. В этом примере два старших бита (128+64=192) указывают на то, что сеть относится к классу С. 192.0.0.1 192.0.0.1
192'.0.0.254
сервер 192.0.0.15
После этого взломщик постарается определить, каков будет следующий номер посылаемого сервером пакета, и таким образом «подменить» его, поставив свою машину между клиентом и сервером. Так как хакер уже знает IP-адрес сервера, он может генерировать пакеты с правильными номерами и адресами и перехва­тывать все сообщения пользователя. показано, как хакер может «обманывать» сервер.
хакер
19С2еР0В0е?5
действительная машина 192.0.0.165
Хакер подменяет соединение TCP/IP и «обманывает» сервер.
Получив таким образом доступ к системе, хакер может просматривать любую информацию, передаваемую серверу. Ему станут известны файлы с паролями, имена входа в систему, конфиденциальные данные и любая другая передаваемая по сети информация. Однако метод предсказания последовательности пакетов обычно используется как предварительная «артподготовка». Сама атака только начинается.
ЗАЩИТА   от  АТАК предсказан к ПОСЛЕДОВАТЕЛЬНОСТИ ПАКЕТОВ
Наиболее простым и эффективным методом защиты от по­. добных атак является использование специальных средств, У использующих оставленные хакером следы. Подобная систе­ма защиты должна стоять на маршрутизаторе, брандмауэре и каждом сервере системы. В главе 12 подробнее рассказыва­ется об этом виде систем защиты. При помощи средств аудита можно узнать, когда хакер пытается пройти маршрутизатор и брандмауэр и получить доступ к серверу. В этом случае на экране должна появиться приблизительно такая последовательность сообщений:
Access Denied. Access Denied. Access Denied . Access Denied. Access Denied. Access Denied. Access Denied. Access Denied. Access Denied. Access Denied.
IP address unknown IP address unknown IP address unknown. IP address unknown. IP address unknown. IP address unknown. IP address unknown IP address unknown. IP address unknown IP address unknown.
Частое повторение строки Access Denied (доступ закрыт) свидетельствует о .что хакер пытается подобрать подходящий номер последовательности пакетов. При помощи одной из специальных утилит можно настроить регистратор событий так, чтобы он автоматически отключал пользователя после несколь­ких неудачных попыток доступа.
ПЕРЕХВАТ ПАКЕТОВ во ВРЕМЯ ТСР-сеанса
По-видимому, самую большую опасность для присоединенных к Internet серве­ров представляет перехват пакетов во время TCP-сеанса (hijacking). Этот вид атак очень похож на предсказание последовательности пакетов, однако есть и разли­чия. Дело в том, что при помощи такой атаки хакер может заставить сервер считать его IP-адрес надежным адресом сети. При этом злоумышленнику не нужно перебирать адреса. Основная идея такого рода атак заключается в том, что хакер получает управление компьютером, присоединенным к нужной сети, а затем отсоединяет его и подменяет своей машиной. При этом сервер продол­жает «верить», что присоединенная к нему машина является надежной. На ри­сунке 9.3 показано, как хакер может провести перехват пакетов.
Во время перехвата пакетов хакер уничтожает настоящее соединение и заменяет его своим.
После успешного нападения на надежный компьютер хакер заменяет в каждом пакете IP-адрес захваченного компьютера на IP-адрес своего компьютера и под­меняет номера последовательности пакетов. Специалисты по вопросам безопас­ности называют замену номеров последовательности «IP-подменой» ( IP-spoofing). С помощью этого метода хакер заменяет IP-адрес надежной системы на IP-адрес своего компьютера. В одном из следующих разделов мы подробнее поговорим об IP-подмене. После подмены захваченного компьютера хакер пытается подо­брать нужный номер последовательности пакетов, чтобы стать клиентом сервера.
Провести перехват пакетов гораздо легче, чем Более того, при помощи перехвата пакетов TCP хакер может пройти сквозь системы проверки одноразовых паролей. Из-за этого может подвергнуться опасности и хост с повышенной секретностью. Пройдя сквозь системы паролей, хакер может проникнуть в операционную систему, от­личную от той, которую он использует.
И наконец, перехват пакетов TCP предоставляет злоумышленнику гораздо боль­шие возможности доступа к системе, чем проведение IP-подмены. Дело в том, что в первом случае хакер перехватывает транзакции «на лету» (т. е. уже выпол­няющиеся), а во втором — сначала пытается подменить компьютер и только потом провести транзакцию.
АТАКА НАБЛЮДЕНИЯ
В последнее время сильно возросло количество пассивных атак с использованием наблюдения (sniffing). Как уже отмечалось в главе 1, пассивное наблюдение -это только первый, предварительный этап активной атаки. Для проведения ата­ки наблюдения хакер заполучает идентификатор и пароль легального пользовате­ля. С их помощью злоумышленник может войти в распределенную сеть. Войдя в
нее, хакер наблюдает (просматривает и копирует) передаваемые пакеты и пыта­ется получить всю возможную информацию об этой сети.
Чтобы избавить распределенные сети от атак наблюдения, администраторы сис­тем используют схемы идентификации вроде системы одноразовых паролей или систем идентификации по билетам (Kerberos). В настоящее время существует огромное количество систем с одноразовыми паролями. Например, некоторые из них при выходе предоставляют пользователю пароль для следующего входа в систему.
В следующем разделе мы поговорим об активных атаках, нацеленных на TCP, при помощи которых хакер может перенаправить поток данных на свою машину. После этого злоумышленник может пройти сквозь системы защиты, вроде систем с одноразовыми паролями или систем идентификации по билетам. ТСР-соеди
нение уязвимо для каждого, кто проводит атаки наблюдения и обладает генера­тором TCP-пакетов. Как известно (1), прежде чем дойти до адресата, TCP-пакет может пройти еще через множество систем. Другими словами, при удобном расположении программы для наблюдения за пакетами и генератора пакетов хакер может получить доступ ко многим пакетам — среди них могут быть
и ваши пакеты!
С помощью описанных в этой главе атак хакер может проникнуть в один из хос­тов Internet. Более того, благодаря элементарнейшим средствам злоумышлен­ник может провести активную атаку десинхронизации. Далее я подробно рас­скажу о некоторых схемах обнаружения активных атак. Кроме того, вы познако­митесь с некоторыми методами их предотвращения.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика