cs85 slide chapter3 - een.iust.ac.ireen.iust.ac.ir/profs/shahhoseini/courses/computer network...

1

H.S.Shahhoseini,PhD 1

امنيت شبكه هاي كامپيوتري

دكتر هادي شهريار شاه حسيني

عضو هئيت علمي دانشكده مهندسي برق

IEEE TCSCعضو كميته اجرائي در خاور ميانه IEEE TCSC منطقه ايهماهنگ كننده

دانشگاه علم وصنعت ايراندانشكده مهندسي برق

۱۳۸۵‐۸۶نيمسال دوم


نمونه تهديدها و حمالت متداول و ـ ۳ روشهاي مقابله با آن

:مراجع اضافه براي مطالعه اين فصل Ed Skoudis, Counter Hack: A Step-by-Step Guide to Computer Attacks and Effective Defenses , Prentice Hall.

2


اهداف اين فصل

TCP ،ICMP ،ARPمعرفي دقيق برخي پروتكلها معرفي مختصر ديواره آتش

فراهم كردن مقدمات حملهدريافت اطالعات با مكالمه تلفني

اتصال از طريق مدم و شبكه بيسيم

تشخيص ماشينهاي فعال و نقشه شبكه با استفاده از پروتكلها

OSتهيه فهرست پرتهاي باز و نوع

تشخيص وضعيت ديوراه هاي آتش و قوانين آن

بررسي نقاط آسيب پذير و ورود به شبكه

نمونه حمالت ...) سرريز بافر و پشته،(در اليه كاربردي

در اليه فيزيكي

در اليه شبكه

در اليه انتقال


ساختار پروتكلها

.

.

.

.

.

.

3


ساختار پروتكلها

.

.

.

.

.

.


IPسرآيند بسته

4


ICMPپروتكل

. هدف اين پروتكل ارسال پيام خطا براي مبدا ارسال كننده داده است

پروتكل فقط خطا را گزارش ميكند و در رفع آن هيچ اقدامي انجام . نميدهد

يك Payloadيعني بعنوان . سوار ميشود IP روي ICMPبسته منتقل IP منظور شده و در نهايت بصورت يك بسته IPبسته

. ميشود

ICMPنمونه پيامهاي Destination Unreachable

Parameter ProblemSource Quench

RedirectEcho Request وEcho Reply

Time Stamp Request و Time Stamp Reply


ARPپروتكل

MACاين پروتكل براي مشخص كردن يك آدرس . اشتفاده ميگردد IPمتناظر با آدرس

فريم اليه فيزيكي در Payload بعنوان ARPبسته .نظر گرفته ميشود

. نصب آن اجباري استICMPبر خالف

برا يافزايش سرعت انجام كارها معموال اطالعات . ميگرددCacheدريافت شده قبلي

5


TCPسرآيند بسته

مرسوم ترين پروتكل در اليه انتقال است كه Connection Orientedبصورت اتصال گرا يا

. عمل ميكند

. در شكل زير نمايش داده شده استTCPسرآيند


TCPبرپاسازي ارتباط در

نحوه برپا سازي ارتباط در اليه انتقال توسط پروتكل در

TCPسه مرحله است .

Codebitدر هر مرحله TCPهاي سرايند

مشخص ميكنند در چه .مرحله قرار دارد

6


UDPبسته

است Connection Lessيك پروتكل بدون اتصال كه براي پرهيز از سربارهاي برقراري ارتباطات

در اليه انتقال Connection Orientedاتصال گرا .استفاده ميگردد


اهداف اين فصل

قبل از ورود به حمالت چگونگي استخراج اطالعات شبكه ميپردازيم

فراهم كردن مقدمات حمله دريافت اطالعات با مكالمه تلفني


تشخيص ماشينهاي فعال و نقشه شبكه با استفاده از پروتكلها

OSتهيه فهرست پرتهاي باز و نوع

تشخيص وضعيت ديوراه هاي آتش و قوانين آن

بررسي نقاط آسيب پذير و ورود به شبكه

7


نكات عمومي

بسياري از اطالعات بسادگي با تماسهاي تلفني و ارائه اگرچه اين . اطالعات اضافي در اختيار مهاجم قرار ميگرد

نكات ساده و بديهي است ولي بسياري از اطالعات از : همين طرق كسب ميگردد

طرح مسائل اضافي در پاسخگوئي به مراجعين تلفني

امكان دسترسي افراد غير مسئول به ماشينهاي حساس

امكان دسترسي به ديسك پشتيبان و يا ديسك بازيابي سيستم

Screen Saverعدم وجود رمز عبور براي يا نسخه چاپي بدون معدوم كردن ...) و CD ، DVD(ريختن اطالعات الكترونيكي اطالعات مهم در سطل اشغال



براي بسياري از مسيولين شبكه مدمهائي را براي اتصال از راه دور به شبكه . ساعته فعال است و مسير خوبي براي نفوذ است۲۴خود گذاشته اند كه

ه برخي از مدمها يا شبكه هاي بي سيسم نيز در تنظيمات مشكالتي دارند ك.قابل نفئذ هستند

WARاين كار . جستجو شماره تلفن ها براي يافتن مدمهاي قابل اتصالDAILERناميده ميشود .

كه اين كار را بصورت اتوماتيك انجام THC-SCANنرم افزارهائي نظير :ميدهند در اينترنت قابل دسترس هستند و امكانات زيادي دارند

جستجو تصادفي بات الگكوهاي مختلف

امكان قطع سريع ارتباط

قابل اجرا بصورت توزيع شده براي افزايش سرعت جستجو

پس از تشخيص شماره مهاجم بايد بدذاخل نفوذ كند كه اين كار در برخب بور سيستمها نياز به رمز عبور هم ندارد ولي براي آنها كه نياز به رمز ع

استفاده ميشودTHC Login Hackerدارند از ابزارهاي نرم افزاري نظير . استفاده ميگردد Dictionary Attackاز روشهائي نظير

8


تعين ماشينهاي فعال

مهاجم اقدام به بررسي D تا Aبرحسب كالسهاي كه هر شبكه داخلي Cكالس . ماشينها ميكند IPشماره كالسهاي . ( گره دارد از بقيه متداول تر است ۲۵۴حداكثر

.) شبكه را در درس شبكه هاي كامپيوتري قبال ديده ايد

: اينكار معموال به دو روش انجام ميگيرد

PING يعني استفاده ازEcho در پروتكل ICMP) اگرICMP فعال باشد چون

را روي ماشينهاي مهم فعال ICMPبدليل مشكالتي كه خواهيد ديد معموال )نميكنند

به UDP يا TCPبررسي پاسخ و عكس العمل ماشين به ارسال بسته هاي . كه اكثرا باز هستند 25 (SMTP) يا(HTTP) 80پرتهائي مثل


تعين نقشه و توپولوژي تقريبي شبكه

كم TTL از هر مسيرياب يكي از فيلد IPبا عبور بسته . ميشود

اين امر در تعين موقعيت ماشين نسبت به ماشيني نفوذ : شده استفاده ميگردد

چون در اولين مسيرياب عمر آن . ارسال ميگرددTTL=1 با IPبسته ICMP TIME EXCEEDEسرمآيد از نزديكترين مسيرياب پيغام .برميگردد كه حاوي آدرس آو نيز ميباشد

و براي يافتن آدرس ماشينهاي دورتر انجام .. و3 و TTL=2اينكار با .ميگيرد

. نقشه تقريبي از اطالعات جمعآوري شده استخراج ميگردد

) كار ميكند Linuxكه تحت (Cheopsنرم افزاريهائي نظير اين عمليات را بصورت خودكار انجام داده و يك نقشه

. تقريبي در يك محيط گرافيكي به كاربر ارائه ميكنند

9


تعين پرتهاي باز

اين كار را انجام Port Scanner يا نرم افزارهاي پويشگر درگاه . ميدهند

:TCPاستفاده از ويژگيهاي Polite Scan

TCP SYN Scan:نقض پروتكل

TCP FIN ScanNull Scan

XMAS ScanTCP ACK Scan

FTP Bounce Scan

: UDPبهره گيري از . است ولي گاهي اوقات بكار گرفته ميشود TCPكم اثر تر از


OSتعين مثال براي تعين . عكس العمل سيستم عامل در قبال اتفاقات مختلف متفاوت است

در قبال نقض پروتكل براي پرتهاي باز و يا Windowsپرتهاي باز عكس العمل اينطور UNIXولي در سيستمهاي عامل مبتني بر . بسته بودن پرتها يكسان است

. جواب نميدهدWindowsبنابراين روش نقض پروتكل روي سيستم عامل . نيست

بررسي رفتار سيستم در مقابل ارسال بسته ها OSيك روش موثر و عمومي تعيين .براي پرتهائي است كه مطمئن هستند باز يا بسته ميباشند

NMAP ۵۰۰. ميتواند اين كار را انجام دهدNMAPنرم افزارهائي نظير Platform مختلف از رفتار سيستمهاي عامل را دارد كه برآن اساس نوع OS را

.تشخيص ميدهد

بديهي است پس از تعين سيستم عامل برآن اساس مهاجم ميتواند به بررسي.وضعيت پرتها بپردازد

10


تشخيص ويژگيهاي و قوانين ديواره آتش

با بررسي سرآيند بسته هاي رسيده و Firewallديواره آتش يا براساس مجموعه اي از قوائد ثابت و از قبل تعريف شده يكي از سه

: عكس العمل زير را نشان ميدهد عبور بسته

حذف بسته

عبور بسته و اعالم خطر

يعني سرآيندهاي مربوط ( ديواره هاي آتش در سه اليه عمل ميكنند ) به اين سه اليه را بررسي ميكنند

) بررسي ميشودIPسرآيند (۲اليه

) بررسي ميشودTCPسرآيند (۳اليه

)سرآيند اليه كاربردي بررسي ميشود (۴اليه


تشخيص ويژگيهاي و قوانين ديواره آتش

IP در سرآيند TTLبا ارسال بسته هائي به پرتها مختلف و تعين به مقدار يكي بيش از ) كه تعين كننده طول عمر بسته است (

Firewall) درحاليكه موقعيت ماشينها قبال توسط روشهاي تعين، مهاجم نسبت به بررسي پيام ) نقشه تقريبي شبكه تعين شده است

اقدام نموده و به اين ترتيب سعي در تعين قوائد ديواره ICMPخطا : آتش ميكند

. آمد معلوم است او پرت را بسته استFirewallاگر گزارش خطا از ماشين

آمد يعني بسته از از ماشين Destination Unreachableاگر گزارش خطاي Firewallگذشته و عمر آن پس از آن سرآمده است .

به روشي كه در باال ذكر شد سعي در تعين قوائد Firewalkابزار . ديوراه آتش دارد

11


تهديدات و حمالت اليه كاربردي


) سرريز بافر و پشته (حمله در اليه كاربردي

پشته و يا بافرها ارسال نحوه حمله بهحجم زيادي از داده به يك پروسه فعال

.است

سريز بافر يا پشته منجر به رفتن كنترل سيستم به يك آدرس نامشخص است و

.قفل شدن سيستم است

NOPمهاجم با قرار دادن تعداد زيادي در فضائي بزرگ از حافظه و قرار دادن برنامه دلخواه خود پس از آن سعي ميكند وقتي كنترل به آدرس نامشخص

ها برسد كه NOPبرد احتماال به يكي از اين امر منجر به انجام آنها تا رسيدن به

برنامه مهاجم ميگردد كه به اين ترتيب مهاجم ماشين قرباني را در اختيار

.ميگيرد

Top ofMemory

Function CallArguments

New Pointer toexec code

NOPNOPNOPNOPNOP

Machine Code:execve(/bin/sh)

...

Buffer 1 Space is overwritten

Return Pointeris overwritten

12


حمالت اليه كاربردي

MALWARE : برنامه هائي كه خود را در يك ظاهر. زيبا قرار ميدهند ولي اهداف مهاجم را دنبال ميكند

:MALWAREانواع

.انواعي كه نياز به يك برنامه ميزبان دارند

برنامه اجرائي هستند كه خود را تكرار : (TROJAN HORESE)اسب تروا .نميكنند

براي آلوده شدن سيستم ، خود را به برنامه هاي موجود : (VIRUS)ويروسها .ميچسبانند و با اجراي آنها خود را تكثير ميكنند

.انواعي كه مستقل هستند

.بطور خودكار منتشر ميشوند: (WORM)كرمها


اسب تروا و درب پشتي

وقتي نصب ميشود به مهاجم :(Backdoor)درب پشتي اجازه ميدهد بدون تشريفات رمز عبور و شناسه كاربري و

. استNetCatنمونه آن . احراز هويت وارد سيستم گردد

برنامه مستقلي كه مانند يك برنامه معمولي اجرا :اسب تروا . است (INVISIBLE PROCESS)ميگردد ولي نامرئي

درب پشتي و اسب تروا ميتوانند شبيه به هم باشند و حتي يك نرم افزار شامل هردو باشد ولي لزوما يكي نيستند

13


روشهاي ارسال و ارتباط با اسب تروا

:روشهاي ورود اسب تروا

• Browser hijacking • Pop-up advertisements • Keystroke and network logging • Steal confidential data from email and files

كامپيوترهاي % ۸۰ ميالدي ۲۰۰۴براساس گزارشات سال . آلوده هستند SPYWAREشخصي به


روشهاي ارسال و ارتباط با اسب تروا

طول اسب تروا از طريق اتصال به برنامه اي خوب و معموال با طول زياد كه در مقابل آن كم باشد سيستم را ) كيلو بايت است ۱۰۰كه حدود (اسب تروا

. آلوده ميسازد

نمونه اي از . ناميده ميشود Wrapperابزاري كه دو برنامه بهم ميچسبانند Wrapper ها كه توسط مهاجمين بكار گرفته ميشود Silk Ropeاست .

اطالع در بسياري از موارد اسب تروا ماشيني را آلوده ميكند كه مهاجم از آن براي ندارد و اين هيچ فايده اي براي مهاجم ندارد، چون استفاده هاي بعدي

اكثرا قسمتي از اسبها ي بنابراين . مهاجم مهم است نه آلوده كردن ماشينها براي مهاجم معموال ) ماشين قرباني IP( تروا مربوط به ارسال آدرس فعلي

. براي وي ميباشد EMAILاز طريق ارسال

14


اسب تروا

برنامه مستقلي كه مانند يك برنامه معمولي اجرا :اسب تروا . است (INVISIBLE PROCESS)ميگردد ولي نامرئي

اولين كار اسبهاي تروا تغيير نحوه باال آمدن سيستم عامل . است كه هربار شروع كار سيستم بطور خودكار فعال شود

اين مهمترين تفاوت آن با (اسب تروا خود را تكرار نميكند ) ويروس و كرم است


انواع اسب تروا

معموال مجهز به درب پشتي است و : اسب تروا معمولي . برنامه اي ايست كه در سطح كاربردي عمل ميكند

نوشته شده اند ارز اين نوع هستند Windowsاكثرا اسبهاي تروا كه براي ()زيرا كد آن در دسترس نيست آنها را بصورت برنامه كاربردي نوشته اند

ناميده ميشود ROOTKITكه :OSاسب تروا در سطح ) از اين نوعندUNIXاكثر اسبهاي مربوط به سيستمهاي عامل سازگار (

:اين دسته از اسبهاي تروا خود شامل دو دسته است

در سطح باالي سيستم عامل عمل ميكند

در سطح هسته سيستم عامل تغيير بوجود مي آورد

15


اسب تروا

:چند اسب تروا معروف

Sub7

BO2K (BACK ORAFICE 2000) توسعه يافته و ادعا شده است كه يك نرم افزار مديريت از راه دور CDCتوسط گروه

استراق سمع Sniffer است ولي عمال ترافيك را مثل يك PCANYWHEREمثل .ميكند

Hack-a-tack

VNC


ROOTKITها

ROOTKIT اسب ترواي است كه بصورت برنامه كاربردي روي سيستم اكثر اسبهاي مربوط به ( عمل ميكنند، OS در سطح اجرا نميشود بلكه

ختي گاهي اوقات كاري ) از اين نوعند UNIXسيستمهاي عامل سازگار . ميكنند كه در فهرست پروسسهاي فعال سيستم عامل نيز ديده نميشوند

:ROOTKITانواع

عمل ميكند يعني يك پروسس فعال را باز در سطح باالي سيستم عامل

)LRK5مثل . (ميكند

تغيير بوجود مي آورد، كه مهاجم كنترل در سطح هسته سيستم عامل

)Knarkمثل . (كامل ماشين قرباني را در اختيار ميگيرد

براي تغيير ماژولهاي هسته سيستم عامل براي نوشتن درايور و يا تطبيق با سخت افزارهاي خاص امكاني بنام

Loadable Kernel Module يا LKM پيش بيني شده كه معموال . استفاده ميكنند ROOTKITمهاجمين از اين راه براي نوشتن

16


ويروسها

جرا ويروسها بطور خودكار خود راتكثير ميكنند ولي براي انتشار نياز به ا .شدن برنامه هاي دارند كه به آن متصل شده اند

. نحوه انتشار ويروس مهمترين وجه تمايز آن با كرمهاي كامپيوتري است

:روشهاي انتشار ويروسها

COM. و extention .EXE برنامه هاي با :از طريق برنامه اجرائي

كه در هربار باال آمدن سيستم Boot Sectorاز طريق قرار گرفتن در

ر فالپي و فعال ميشود و معموال در حافظه قرار ميگيرد تا با خواندن يا نوشتن ه. آنها را آلوده سازدCDيا فلش ديسك و يا حتي هنگام نوشتن

Terminate-and-Stay-Resident برنامه هاي :TSRاز طريق برنامه

.پس از اتمام كار در حافظه بصورت آماده بكار باقي ميمانند


محل قرار گيري ويروسها

CAVITIESحفره هاي برنامه ها ابراين در يك تكه از كد برنامه ميزبان كه ثابت است خود را قرار ميدهد و بن

.طول برنامه ميزبان تغيير نميكند

TUNNELINGتونل هاي سيستم فه كه بردارهاي وقفه را تغيير ميدند و با فراخواني وقفه، روتين هندلر وق

. همان برنامه مخرب است فراخواني ميشود

برخي يك فايل جديد با نام فايلهاي اجرائي ميسازند كه فراخواني آنها ويروس را اجرا ميكند ولي در انتهاي اجراي ويروس فايل اصلي فراخواني

. ميگردد كه كاربر تغيير در رفتار ظاهري سيستم حس نكند

17


انواع ويروسها

را آلوده ميكند بنابراين OS: (Stealth Virus)ويروس پنهاني . فايلهاي آلوده طبيعي به نظر ميرسد

تكه برنامه هاي اجرائي كه در داده هاي : (Macro Virus)ماكروها صفحات ) MSWORDمثل (داده هاي برنامه هائي نظير متن پرداز

با باز كردن يك . وجود دارد آلوده ميشوند EXCELگسترده نظير توليد شده كه در هربار باز شدن فايلهاي automacroفايل آلوده يك

. غيرآلوده از همان نوع نيز اجرا شده و خود را تكثير ميكند

ويرسهائي هستند : (Polymorphic Virus)ويروسهاي چندريختي كه با كليدهاي رمزي سازي كه بطور تصادفي انتخاب ميشود تكه اي

يير از كد خود را تغيير ميدهند كه بعدا آنرا بازيابي ميكنند ولي اين تغ . شكل شناسائي آنها را مشكل ميسازد


سير تكامل ويروسهاي چند ريختي

اين تكه ثابت . انواعي كه تكه از كد در تمام شكلهاي آنها ثابت است:امضاي ثابت. ويروس ناميده ميشودSignatureمعموال امضا يا

در اين نوع . برخي تكه ثابتي ندارند و همه قسمتها را تغير ميدهند:رمز كننده ثابت.از روي قسمت رمز كننده كه در همه ثابت است شناسائي ميگردند

Oligpmorphic: انواعي كه رمزكننده آنها نيز متفاوت است ولي ساختار بدنه آنها . ميگويندOligomorphicشكل مشابهي دارند به اين نوع ويروسهاي

Polymorphic: انواعي كه رمز كننده از بطور تصادفي از روشهاي مختلف رمزي يعني نامي كه به كل آنها نيز Polymorphicبه اين دسته . سازي استفاده ميكند. اطالق شده ميگويند

Metamorphic: انواعي كه در ساختار بدنه تغيير بوجود مي آورند كه به آنها Metamorphicروشهائي كه توسط اين نوع از ويروسهاي چند ريختي . ميگويند

بكار گرفته ميشوند .بكار گيري همان كد با رجيسترهاي ديگر

.) شكل براي ويروس حاصل ميگردد!n سابروتين nبا (تغيير ترتيب سابروتينها شهائي اضافه ميكنند كه شكل كلي رمزي سازي دستور به دستور انجام ميشود نه روي كل كد و در طول كد پر

.تفاوت كنند ولي همان كار قبلي انجام شود

18


نحوه مقابله با ويروسهاي چندريختي

كشنده ويروس بدنبال الگوي امضا در ماشين قرباني :ويروسهاي با امضاي ثابت.ميگردد

كشنده ويروس به دنبال الگوي قسمت رمز كننده :ويروسهاي با رمز كننده ثابت.ميگردد

كشنده ويروس از روي ساختار بدنه ويروس آنها را :Oligpmorphicويروسهاي . شناسائي ميكند

:Metamorphic و Polymorphicويروسهاي

، يعني ايجاد رفتار آن در اجراي كدها، و CPUدر اين نوع از ويروسها با اموله كردن يروس مالحظه بررسي فايلهائي كه مورد پويش ويروس قرار گرفته اند، رفتارر نهائي و

.ميگردد

ها و CDيسكها ، بديهي است اموله كردن اجازه نميدهد كه اثر مخربي در حافظه، فالپي د Memory Stick ها بوجود بيايد.

كردن در چون پس از باز شدن و رسيدن به شكل نهائي الگوي ويروس يكي است اموله .شناسائي آنها موثر است

.اموله كردن وقت بسيار زيادتري از پويشهاي معمولي ميگردد


اموله كردن رفتار ويروس

Virus body

Randomly generates a new keyand corresponding decryptor code

Mutation A

Decrypt and execute

Mutation C

Mutation B

To detect an unknown mutation of a known virus ,

emulate CPU execution of until the current sequence ofinstruction opcodes matches the known sequence for virus body

19


كرمهاي كامپيوتري

:كرمها در مقايسه با ويروسها

و نياز به هيچگونه در انتشار و پخش خودكار هستند . تحريكي براي شروع بكار توسط كاربر ندارند

از آسيب پذيريهاي سيستم استفاده كرده وارد شده و . كدهاي خطرناك ايجاد كرده و به ماشين ديگري ميروند

عملكرد مستقل دارند و اجراي آنها بدون نياز به برنامه .ميزبان و يا ساير برنامه ها است


كرمهاي كامپيوتري

:چند كرم معروف

(Morris Worm)كرم موريس ه كورنل كه در زمينه اولين كرم كامپيوتري است كه توسط رابرت موريس دانشجوي دكترا دانشكا

هدف وي نوشتن يك . ميالدي نوشته شد ۱۹۸۸امنيت شبكه هاي كامپوتري كار ميكرد در سال در آن زمان اينترنت . ه كرد برنامه هميشه زنده روي اينترنت بود كه منابع زيادي را اشغال نكند ك

دالر جريمه ۱۰۰۰۰وي . كوچك بود و بدون ايجاد خسارت زياد سيستمهاي آلوده شده پاك شدند را CERT (Computer Emergency Response Team) گروه DARPAشده و در اثر اين كار

. تشكيل داد

(Red Code Worm V2)كرم رمز قرمز ساعت ۱۴سيب پذيريهاي سرورهاي مايكروسافت در كمتر از › ميالدي با استفاده از آ ۲۰۰۱در سال

ترسي كامل داشته هزار ماشين را آلوده ساخت و به مهاجمين اجازه ميداد كه به سرور دس ۳۵۹. ماشين را آلوده ميكرد ۲۰۰در بدترين شرايط در هر دقيقه . باشند

(Sapphire/Slammer Worm)زنداني / كرم ياقوت Slammer ميالدي ۲۰۰۳در سال . ثانيه دو برابر ميگردد ۸/ ۵ يكي از سريعترين كرمها است كه در Payloadهيچ . استفاده ميكند Microsoft SQL Serverاز سرريز بافرها در . منتشر شد

علت سرعت بيشتر نسبت به . ميشودDoSمخربي نداشت ولي بدليل گرفتن منابع منجر بر حمله براي انتشار است در حاليكه رمز قرمز از UDPرمز قرمز استفاده از آن از جاسازي در بسته هاي

. براي انتشار استفاده ميكند TCPپروتكل سه مرحله اي

20


ارتباط و دريافت اطالعات توسط مهاجم از قرباني

بعد از ايجاد يك برنامه مخرب روي ماشين قرباني در بسياري از موارد نظير اسبهاي تروا هدف دريافت اطالعات از ماشين قرباني

. است

معموال اين كارآشكارا قابل انجام نيست و بصورت ايجاد يك كانال . پنهان انجام ميشود

:روشهاي مختلف ايجاد كانالهاي پنهاني بشرح زير است

ICMPكانال پنهان از طريق بسته هايReserve WWW Shell

Reserve Telnet Shell


انواع كانالهاي پنهان

ICMPكانال پنهان از طريق بسته هاي در بسته ) مثل يك بسته هاي اليه انتقال( يك پيام خطا است كه ICMPبسته

IPكپسوله ميشود .

اطالعات در بسته هاي UDP يا TCPمهاجم ميتواند بجاي ارسال ازطريق ICMP جاسازي و ارسال ميگردد كه روشهاي مقابله نسبت به اطالعات داخل

.آن حساس نيست

. نام داردUNIX (LOKIبراي ( يكي از معروفترين ابزارهاي اين كار

را ارسال كرده و در ماشين قرباني PING مثل ICMP مهاجم ظاهرا يك پيام ك فرمان مهاجم باز شده اجرا شده و داده هاي نتيجه آن فرمان در قالب ي

. به مهاجم برميگردد PINGپاسخ

ICMPپرت باز و بسته ندارد و بسادگي قابل جلوگيري نيست .

21



Reserve WWW Shell باز است و ديواره هاي آتش آنرا نميبندند، چون ارتباط با ۸۰معموال پرت

.دنياي خارج قطع ميشود

اص در اين روش روي ماشين قرباني برنامه اي نصب ميشود كه با يك پريود خ براي ماشين مهاجم ميفرستد و در GET در قالب دستور Webظاهرا تقاضاي

Webمقابل فرماني را كه نفوذگر قبال مشخص نموده در قالب محتوي اطالعات.درخواست شده به ماشين فرباني ميفرستد

ديگر براي مهاجم ارسال Getدر دوره تناوب بعدي پاسخ آن در قالب يك فرمان . ميگردد

معموال توسط مهاجم قابل تنظيم است و web browsingپريود درخواستهاي .پريودهاي كوتاه تر شك برانگيزتر هستند

م بين روش مقابله با اين نوع كانال استفاده از پراكسي است كه ارتباط مسقيد اين كانال طرفين را با دو ارتباط جداگانه جايگزين ميكند و درنتيجه امكان ايجا

.وجود نخواهد داشت



Reverse Telnet Shell

ولي از طريق پرت Reserve WWW Shellاين روش ديگر مانند روش Telnet) است) ۲۳پرت.

. نام داردSneakinيكي از ابزارهاي نرم افزاري اين نوع كانال

HTTP بسيار حساس تر از پرت Telnet البته ديوراه هاي آتش به پرت از Telnetولي معموال اجازه تقاضاي . هستند و ممكن است آنرا مسدود كنند

.داخل شبكه براي بيرون مجاز است كه در همين قالب كانال عمل ميكند

بطور مشابه براي ايجاد كانالهاي پنهان ميتوان از . پرتهاي ديگر بطور معكوس استفاده نمود

22


Honeypot

يكي از روشهاي ضد حمله و مقابله با نفوذگران به شبكه استفاده از :ظرفهاي عسل است

ه همانگونه كه يك ظرف عسل حشرات را جذب خود ميكند ميتوان بطئر آگاهاني سوراخهائي و آسيب پذيري هائي را باز گذاشت و رفتار مهاجمين را بررس

.نمود

هند مهاجمين با ورود از طريق ظرفهاي عسل تحت نظارت حمالتي را انجام ميدوسط آنان كه با دريافت اطالعات از آنها ميتوان به تكنيكهاي بكار گرفته شده ت

.آگاه شد و جلوي آنها را كامال گرفت


تهديدات و حمالت اليه هاي پائين

23


نفوذ از اليه هاي پائين تر

در حمالتي كه در اليه كاربردي به اجرا گذاشته ميشود يك ماشين البته ممكن است آلودگي ( آلوده ميشود و به آن خسارتي وارد ميگردد

در مراحل بعدي منتشر شود مثل ويروس و كرم و يا در قدم بعدي حمله اثرات ثانويه نظير حمالت از اليه هاي ديگر به اجرا گذاشته

). شود

در حمالت اليه هاي انتقال، شبكه و فيزيكي معموال حمله براساس يك . ماشين نيست و ميتواند عمليات شبكه را مختل كند

Sniffer ها كه اطالعات را استراق سمع ميكنند در تمام اليه ها در . حمالت موثرند


Snifferها

Snifferوثرند ها كه اطالعات را استراق سمع ميكنند و در تمام اليه ها در حمالت م .

. غيرفعال براي هابها و فعال براي سوئيچ وجود دارد Snifferدو نوع

و رسيدن به نتايجي از قبيل حدس كلمات ) فريم ها(كار آنها دسته بندي اطالعات .عبور است

:دو روش بكار گرفته شده براي بوكشيدن و استراق سمع

(Promiscuous)بردن كارتهاي شبكه به حالت بي قيد از طريق درهم شكسن پشته يا سرريز بافر يا ويروس و (Snifferنصب نرم افزارهاي

(...

:ها كه همگي رايگان و روي اينترنت موجودندSnifferنمونه هاي

tcpdump) برايOS هاي سازگار باUnix(

Etheral) برايOS هاي سازگار باUnix و Windows NT(

Snort) برايOS هاي سازگار باUnix(

windump) برايOS هايWindows 98 & NT(

Dsniff) برايOS هاي سازگار باUnix ( قوترين در مقايسه با بقيه

24


Ethereal


مثالهائي از تهديدات اليه فيزيكي

عنوان آسيب پذيري

قطع ارتباطات فيزيكي و : سادگي نصبيا ايجاد اتصال جديد به سوئيچ

خواباندن شبكه در اثر خرابي كابل

استفاده از هاب پسيو

ARP يا ARPفريبكاري در SPOOFING.

MACطغيان يا اشباع سوئيچ يا FLOODING روشMacof هم ناميده

.ميشود

DNSپاسخ دروغ

تهديدات حاصل

نشت اطالعات

استفاده غير قانوني

DoS

Broadcasting = نشت اطالعات

تمام تهديدات

نشت اطالعات

عدم صحت

DoS.

استفاده غيرقانوني

25


نحوه كار سوئيچها

:دو نوع سوئيچ. كه معموال به آن هاب هم گفته ميشودPassiveسوئيچ غير فعال يا

بدليل هزينه كمتر بسياري از . در هاب ارسال به همه پرتها انجام ميگردد.شبكه ها از اين نوع استفاده ميكنند

. كه معموال به اختصار به آن سوئيچ ميگويندActiveسوئيچ فعال يا . در سوئيچ ارسال فقط به پرت مربوطه انجام ميگردد

switch


حمله به هاب پسيو

: ارسال به همه پرتها انجام ميگردد هر گره فقط بسته اي مربوط به خود را بر ميدارد

. و به ساير اطالعات كاري ندارد

كه در عمل به همراه يك Snortنرم افزاري مثل ميتواند يك سيستم تشخيص نفوذ را IDSموتور

ايجاد كند توسط مهاجم براي استراق سمع بسته .هائي كه مربوط به ديگران است استفاده ميكند

26


حمله به سوئيچ اكتيو

:ارسال به يك پرت انجام ميگردد كه از هاب پسيو tcpdump و Snort ابزارهائي مثل

استراق سمع ميكردند در اينجا كارآئي ندارند

Dsniff با بكارگيري مجموعه اي از كارها استراق سمع را : انجام ميدهد

Mac Flooding/MacofARP Spoofing

در حالت . كارتهاي شبكه معموال دو مد عملياني بي قيد و يا قيد دارنددر حالت . ارسال فقط به مقصد مربوطه انجام ميگردد)باقيد( عادي

.بي قيد ارسال به تمام پرتهاست مثل هاب پسيو


در سوئيچها DEVICE/MAC جدول

:وقتی يک فريم به سوئيچ ميرسد جستجو DIVICE/MAC يا INDEX در جدول MAC بيتي ۴۸آدرس ميشود

switch

10/100BASE-T

00:0e:81:10:19:FC

MAC address

2 00:0e:81:32:96:af

Device

1

3 00:0e:81:31:2f:d7

4 00:0e:81:97:03:05

8 00:0e:81:10:17:d1

27


MAC Flooding/Macof حمله.مهاجم به سوئيچ متصل ميگردد

ARPهاي متعدد ارسال ميکند.. جديدي داردMACهر بار ادعا ميکند آدرس

منجر به تبديل شدن سوئيچ MAC/DEVICEسرريز جدول نگاشت آدرس يعني جدول . ميكندBroadcastيعني از ان پس همه بسته ها . به هاب ميشود

اين روش كه از طريق اشباع سوئيچ عمل ميكند MAC Flooding يا Macofناميده ميشود .

.ند موثر نيستاين روش در سوئيچهائي كه آدرسهاي جديد را جايگزين آدرسهاي قبل ميكن

switch

00:0e:81:10:19:FC

MAC address

4 00:0e:81:32:96:af

Device

1

4 00:0e:81:32:96:b1

… …

4 00:0e:81:32:97:a4

12

4

9999

4

4 00:0e:81:32:96:b03 4

جدول نگاشت آدرس


MAC Flooding/Macof حمله: روشهاي مقابله

.عدم دسترسي فيزيكي به سوئيچ

. كه نگاشت آدرس را مانيتور ميكندARP Watchاستفاده از ابزارهائي مثل

قفل شود كه از قابليت انعطاف ميكاهد و MACپرتهاي سوئيچ روي آدرس . جديد نياز به پيكربندي مجدد سوئيچ داردhostاضافه كردن

. كردن آن Resetحفاظت سوئيچ پس از طغيان مثل

switch

00:0e:81:10:19:FC

MAC address

4 00:0e:81:32:96:af

Device

1

4 00:0e:81:32:96:b1

… …

4 00:0e:81:32:97:a4

12

4

9999

4

4 00:0e:81:32:96:b03 4

جدول نگاشت آدرس

28


ARPيادآوري نحوه عملكرد پروتكل

تبديل ميسازد MAC را به آدرس IPآدرس ) شبکه (۳ در اليه ARPپروتکل

Web BrowserIP 192.168.0.20

MAC 00:0e:81:10:17:D1

Web ServerIP 192.168.0.40

MAC 00:0e:81:10:19:FC

(1) ARP QueryWho has

192.168.0.40?

(1) ARP QueryWho has

192.168.0.40?

(2) ARP Reply192.168.0.40 is at00:0e:81:10:19:FC

(2) ARP Reply192.168.0.40 is at00:0e:81:10:19:FC

hub

10/100BASE-T


ARP SPOOFING يا ARPفريبكاري در

خود را ARP و سو استفاده از پروتكل ARP Responseمهاجم با ارسال رج مسيرياب پيش فرض اعالم ميكند و بنابراين تمام بسته هاي مربوط به خا

Subnetاو ميتواند با . را ميگيرد Source Routing) در صورتيكه پشتيباني.نيز خود را مسيرياب پيش فرض معرفي كند) شود

ICMPل اگر بسته اي كه براي داخل است به اشتباه به روتر برسد روتر با ارساRedirection نسبت به اصالح جدول MAC/IPگره فرستنده اقدام ميكند .

استفاده ICMP Redirection از Subnetمهاجم براي دريافت بسته هاي داخل .ميكند كه توسط روتر انجام ميشود

روي ماشين خود بسته هاي دريافت شده را IP Forwardingضمنا با فعال كردن ميكند كه در روند كار ارسال دريافت در اليه هاي باالتر Forwardبه مقصد اصلي

.عدم وجود بسته ها در مقصد احساس نشود و مبادله اطالعات ادامه يابد

29


IP 192.168.0.20MAC 00:0e:81:10:17:d1

IP 192.168.0.40MAC 00:0e:81:10:19:FC

AttackerIP 192.168.0.1

MAC 00:1f:42:12:04:72

switch

MAC addressIP address

00:0e:81:10:19:FC192.168.0.40

192.168.0.1 00:1f:42:12:04:72


00:0e:81:10:17:d1192.168.0.20

192.168.0.1 00:1f:42:12:04:72

ARP spoofingقبل از


IP 192.168.0.20MAC 00:0e:81:10:17:d1

IP 192.168.0.40MAC 00:0e:81:10:19:FC


MAC 00:1f:42:12:04:72

switch


192.168.0.40

192.168.0.1 00:1f:42:12:04:72


192.168.0.20

192.168.0.1 00:1f:42:12:04:72

(2) Gratuitious ARP192.168.0.20 is at00:1f:42:12:04:72




00:1f:42:12:04:72

00:1f:42:12:04:72

ARP spoofingبعد از

30


IP 192.168.0.20MAC 00:0e:81:10:17:d1

IP 192.168.0.40MAC 00:0e:81:10:19:FC


MAC 00:1f:42:12:04:72

switch


192.168.0.40

192.168.0.1 00:1f:42:12:04:72


192.168.0.20

192.168.0.1 00:1f:42:12:04:72

IP datagramDest: 192.168.0.40

MAC: 00:1f:42:12:04:72

IP datagramDest: 192.168.0.40

MAC: 00:1f:42:12:04:72

00:1f:42:12:04:72

00:1f:42:12:04:72


Attacker’s relay index

00:0e:81:10:19:FC192.168.0.40

192.168.0.20 00:0e:81:10:17:d1

IP Forwardingاستفاده از


DNS Spoofing استراق سمع از طريق پاسخ DNSSpoof ابزار Dsniffدر

. را انجام ميدهد DNS Spoofing يا DNSدورغين

DNS آدرسهاي نمادين را به آدرس IPمي نگارد .

يعني آدرس ( خود را آدرس نمادين ديگري IP در اين نوع حمله، مهاجم آدرس .نسبت ميدهد) نوشتاري قرباني مقصد

Dsniff اين عمل هنگام پرس و جو براي يافتن آدرس IP متناظر با يك آدرس .نمادين انجام ميدهد

در ماشين قرباني مبدا تغيير داده و بسته هاي او DNS به اين ترتيب جدول .را ميگيرد

31


هاSnifferراه هاي مقابله با

non-promiscuousاستفاده از كارتهاي شبكه با قيد

استفاده از سوئيچ به جاي هاب

ARPتغيير جداول درسهاي هر از تنظيمات دستي بجاي تنظيمات پويا و خودكار استفاده گردد؛ يعني آ

البته . باشدپرت بطور ثابت قفل شود و هر تغيير نياز به بازپيكربندي سوئيچ داشته.اين كار وقتگير است

SSH و SSLرمز كردن تراقيك شبكه و استفاده از پروتكلهاي ايمن مثل .SSLتوجه به هشدارهاي سسيتم هاي محافظ مثل

.موارد هشدارها بدون توجه به محتوياتش ناديده گرفته ميشود% ۹۰ براساس آمار در


تهديدات در اليه شبكه

IP SpoofingSource Routing

انجام ميگردد واثرات ثانويه هاي در حمالت IPاين حمله از طريق در اليه . داردTCPاليه انتقال نظير ربودن يا قطع نشست هاي

Ping of Death Jolt2

TeardropICMP SMURFING ميشود و در DoS است ولي منجر به ICMPاگرچه اين حمله از طريق

.بخش حمالت اليه انتقال بيان ميگردد

32


تهديدات در اليه شبكه

IP SPOOFINGمهاجم ميتواند هر آدرس دلخواه را بعنوان . اعتبارسنجي نميگرددIPآدرس

آدرس خود معرفي نمايد

:روشهاي انجام

. در يونيكسipconfig يا با دستور Windowsدر پانل كنترل در

. بطور خود كار آدرس را تغيير ميدهندNmap و DSniffنرم افزارهائي مثل

:موارد استفاده

. را تکرار کندIPمهاجم ميتواند ديتاگرام

.مهاجم در توليد ديتا گرام هاي جعلي ناشناس بماند

. را تغيير دهدDNS را جعل كند و جدول DNSميتواند آدرس

اسخ در مواردي مناسب است كه به پاسخ پيام احتياج نباشد چون در آنصورت پ ويا اخالل Smurfمثال در حمله . (به آدرس جعل شده باز ميگردد و نه به مهاجم

كه سه مرحله اي است قابل TCP بكار ميرود ولي در برقراري نشست DNSدر .)استفاده نيست


IPنمونه اي از حمالت براساس آدرس جعلي

Source Routing كل يا بخشي از مسيري را كه بسته IP ميتواند در سرآيند Optionقسمت

. ميگويندSource Routingبه اين عمل . بايد طي كند مشخص ميكند

.امروزه بسياري از مسيريابها اين گزينه را پشتباني نمكنند

:روند حمله

جلي بسته اي را ميفرستند كه آدرس خود را بعنوان يكي IPمهاجم با يك آدرس . از مسيريابهاي اجباري در مسير تعين شده از قبل قرار داده است

.تمام مسيريابها او را بعنوان يك مسيرياب ميپذيرند

را انجام دهد و مثال در Man-in-the-middleمهاجم پس از اين ميتواند حمله خود پاسخ متقاضي را بدهد و ارتباط را با TCPبرپاسازي يك ارتباط

. كندResetسرور

33


IP Spoofingروشهاي مقابله با

Anti Spoofفيلتر در ديوراه آتش ميتوان فيلترهائي قرار داد كه بسته هائي كه از

خارج ِمي آيند و آدرس يكي از گره هاي داخلي را دارند حذف كند

. را ميگيرد IPاين عمل جلوي بسياري از تغيير و جعل آدرسهاي

عكس عمل فوق يعني جلوگيري از بسته هاي با آدرس مبدا خارج كه از داخل ميآيد نيز مفيد است زيرا گاهي اوقات يك ماشين

ها در اختيار مهاجم قرار دارد و در يك Malwareداخلي توسط . داردIPحمله مشاركت داشته و نياز به تغييرْ آدرس


Ping of Deathحمله :شرح حمله

Windowsكيلوبايت براي ۶۴ با طول بزرگتر از ICMPاگر يك بسته . ميشود Rebootهاي قديمي ارسال شود ماشين قفل شده يا

:روشهاي مقابلهOS هاي Patchاستفاده از

Patch برنامه هائي است كه شركتهائي طراح سيستم عامل براي به سازي آن و . دحذف نقطه ضعفهاي و شكافهاي امنيتي آن در اختيار كاربران قرار ميدهن

. ها ارائه ميشودService Packمعموال رايگان است و در

ICMPفيلتر كردن بسته هاي از روي ماشينهاي حساس ICMPغيرفعال كردن پروتكل

34


Jolt2حمله : شرح حمله

يعني بدون ارسال قطعه صفر (Fragmented) بصورت قطعه قطعه IPبسته هاي (Fragment Offsset=0) درنتيجه قرباني مجبور است تمام قطعات را ارسال ميگردند و

. نگه دارد

در هر جاي شبكه ممكن است به داليلي رخ دهد ولي IPعمل قطعه كردن يك ديتاگرام .بازسازي فقط در مقصد انجام ميگيرد

عه شده انجام اين عمل در يك مدت كوتاه بصورت تكراري با چندين سري از بسته هاي قط . پيش آيدDoSميشود تا ماشين قرباني زمين گير گردد و عمال اخالل در سرويس يا

. قابل انجام است ۲۰۰۰ تا ۹۵ از Windowsاين حمله بسادگي بر روي سيستمهاي عامل

: روشهاي مقابله OS هاي Patchاستفاده از Patch ذف نقطه برنامه هائي است كه شركتهائي طراح سيستم عامل براي به سازي آن و ح

Serviceمعموال رايگان است و در . ضعفهاي و شكافهاي امنيتي آن در اختيار كاربران قرار ميدهند Pack ها ارائه ميشود .


Teardropحمله : شرح حمله

با تنظيمات اشتباه عمدي در فيلد (Fragmented) بصورت قطعه قطعه IPبسته هاي Fragment Offset ،ارسال ميگردند بطوريكه با اشتراك قطعات و رويهم افتادگي آنها

اين عمل در يك مدت كوتاه بصورت تكراري با . قرباني در بازسازي دچار مشكل ميسازندكلي در روند چندين سري از بسته هاي قطعه شده انجام ميشود تا ماشين قرباني بطور

.بالزسازي كليه بسته ها دچار اخالل گردد

. و لينوكس قابل انجام استWindowsاين حمله بر روي سيستمهاي عامل

: روشهاي مقابله OS هاي Patchاستفاده از Patch ذف نقطه برنامه هائي است كه شركتهائي طراح سيستم عامل براي به سازي آن و ح

Serviceمعموال رايگان است و در . ضعفهاي و شكافهاي امنيتي آن در اختيار كاربران قرار ميدهند Pack ها ارائه ميشود .

35


تهديدات در اليه انتقال

SYN FLOODINGICMP SMURFING

كه مربوط به اليه شبكه ICMPاگرچه اين حمله از طريق و عدم ارائه سرويس DoSاست انجام ميگردد ولي منجر به

. در اليه انتقال شده و بنابراين در اين بخش بيان ميگردد

FraggleLand و Laterria

TCP Connection SpoofingDoS by Connection Reset


TCP Handshaking (SYNC/ACK)

TCP PacketSYN flag

TCP PacketSYN flag

IP datagramSrc: 192.168.0.20Dest: 192.168.0.40


TCP PacketSYN & ACK flag




TCP PacketACK flag

TCP PacketACK flag



192.168.0.20 192.168.0.40

“Can we talk?”

“Fine, ready to start?”

“OK, start”

36


Synحمله Flooding

يعني شماره ( هر گره اطالعات مربوط تقاضاي ارتباط TCPدر ارتباط سه مرحله اي را تا كامل شدن ارتباط ) سريال تصادفي ايجاد كرده در مرحله دوم و آدرس طرف اول

در حافظه اش نگه ميدارد ) يعني تكميل سه مرحله (. ثانيه است ۳۶۰ تا ۴۵زمان انتظار براي تكميل هر ارتباط بين

هاي در خواست Synاگر تعداد تقاضا ها زياد شود حافظه مربوط به نگهداري اطالعات . شده سرريز ميشود و ايجاد ارتباطات بعدي مشكل ايجاد ميگردد

Synنتيجه اين حمله كه Flooding ناميده مشود DoSاست .

. به آدرس جعل شده ارسال ميشودAck جعلي انجام شود IPاگر اين حمله با آدرسهاي برميگرداند كه اين باعث RST با كدبيت TCPچون آدرس جعل شده تقاضا نداشته يك بسته

اما در اين حال مهاجم شلوغي بي مورد در شبكه . تخليه صف از ارتباطهاي تقاضا شده ميگردد . بوجود آورده است

تحت كنترل خود اما اگر مهاجم تقاضاهايش را بسرعت يا بصورت توزيع شده از چند ماشين . ارسال كند ميتواند از آدرسهاي جعلي استفاده كند

. نيستند استفاده كند و يا سعي ميكند از آدرس هاي جعلي ماشينهائي كه در حال حاضر در شبكه


TCP PacketSYN flag

TCP PacketSYN flag

IP datagramSrc: 62.49.10.1

Dest: 192.168.0.40


Dest: 192.168.0.40





192.168.0.20192.168.0.40

“Can we talk?”

“Fine, re

ady to start?”

TCP PacketSYN flag

TCP PacketSYN flag


Dest: 192.168.0.40


Dest: 192.168.0.40

TCP PacketSYN flag

TCP PacketSYN flag


Dest: 192.168.0.40


Dest: 192.168.0.40

TCP PacketSYN flag

TCP PacketSYN flag


Dest: 192.168.0.40


Dest: 192.168.0.40













باعث اشباع صف ارتباط عدم امكان ارتباطات بعدي ميشود TCP در ارتباط Synطغيان بسته هاي باعث اشباع صف ارتباط عدم امكان ارتباطات بعدي ميشود TCP در ارتباط Synطغيان بسته هاي

Synحمله Flooding

37


Synحمله Flooding Asymmetricاشكال پيش آمده در اثر عدم تخصيص متوازن بين مهاجم و قرباني يا

State Allocationاست .

اشغال كند بدون آنكه مهاجم ميتواند تقاضاي صدها ارتباط را بدهد و فضاي حافظه قربانتي را .حافظه خود را درگير كند

: روشهاي مقابله استفاده از منابع به اندازه كافي بزرگ

. شدبا در اختيار قرار دادن حافظه كافي طول صف ارتباط نيمه باز بزرگ با

حذف تصادفي از جدول ارتباطهاي نيمه كاره

. از نظر پياده سازي بسيار ساده است

برخي ارتباطات جعلي حذف و برخي ارتباطات عادي امكان ارتباط ميبابند

. ترافيك ناشي از تقاضاهاي مجدد ارتباط زياد ميشود

) بكار گرفته شده استLinuxكه در (Syn-Cookiesاستفاده از

بجاي نگهداري اطالعات ارتباط در حال ) قرباني ( ميشود TCPطرفي كه از آن تقاضاي ارتباط قبال آنرا بطور تصادفي ( خود TCPبرپاسازي، آنرا رمز كرده و بعنوان شماره سريال بسته

. نداردTCPاين منافتي با پروتكل . ارسال ميكند ) توليد ميكرد


SYN Cookiesاستفاده از [Bernstein & Schenk]C S

SYNC Listening…

Does not store state

F(source addr, source port, dest addr, dest port,coarse time, server secret)

SYNS, ACKCsequence # = cookie

Cookie must be unforgeableand tamper-proof (why?)

Client should not be ableto invert a cookie (why?)

F=Rijndael or crypto hash

Recompute cookie, compare with with the onereceived, only establish connection if they match

ACKS(cookie)

Compatible with standard TCP;simply a “weird” sequence number scheme

More info: http://cr.yp.to/syncookies.html

38


ICMP• ICMP = Internet Control Message Protocol.• ICMP Echo Request: test route to a particular host.• Live host should reply with ICMP Echo Reply

packet.

192.168.0.40192.168.0.20

ICMP PacketEcho

ICMP PacketEcho



ICMP PacketEcho Reply





192.168.0.20

ICMP PacketEcho Request

ICMP PacketEcho Request


Dest: 192.168.0.255


Dest: 192.168.0.255




Dest: 192.168.1.30


Dest: 192.168.1.30

Attacker

Victim

192.168.1.30

.

.

.

192.168.0.1

192.168.0.254

192.168.0.3

192.168.0.2




Dest: 192.168.1.30


Dest: 192.168.1.30




Dest: 192.168.1.30


Dest: 192.168.1.30





ICMP SMURFحمله

39


ICMP SMURFحمله : شرح حمله

بصورت فراگير كاري ميكند كه پاسخها Pingمهاجم با قرار دادن يك آدرس جعلي و ارسال انجام كار ديگري از طرف تمام گره هاي شبكه به سمت قرباني ارسال شده و قرباني امكان

. را نداشته باشد

: روشهاي مقابله Disable كردن Broadcasting

تنظيم مسيريابها براي حذف ارسال فراگير

Nmap تشخيص ميتواند نقطه ضعف ارسال فراگير توسط مسيرياب به سمت بيرون شبكه را بكه نيز ميتواند با بنابراين اگرچه مهاجمين معموال از آن بهره ميبرند ولي مدير ايمني ش . دهد

. نقطه ضعف را تشخيص داده و جلوي آنرا بگيرد Nmapاستفاده از Firewall يا IDS

.

ICMPحذف


Fraggleحمله

است ولي با بسته هاي . ICMP Smurfمشابه حمله UDP انجام ميگيرد

:روشهاي مقابله Disable كردن Broadcasting

تنظيم مسيريابها براي حذف ارسال فراگير Nmap ميتواند از نقطه ضعف ارسال فراگير توسط مسيرياب

. . به سمت بيرون شبكه را تشخيص دهد

Firewall يا IDS .

ICMPحذف .

40


Landحمله :شرح حمله

پرت مبدا و مقصد به يك مقدار مشابه و پرت باز ماشن قرباني TCPدر بسته نيز يكي و براي ماشين IPتنظيم ميشود و آدرس مبدا و مقصد در بسته هاي

كرار اين قرباني ارسال ميشود كه اين باعث ارسال پاسخ توسط قرباني به خودش ت.امر ميگردد

. استLandوقتي است كه چندين پرت درگير حمله Latierraحمله

. ميگردندDoSاين حمالت عمال باعث اخالل در سرويس دهي يا

:روشهاي مقابله .د يكساناستفاده از ديوراه آتش در حذف بسته هاي باپرت و يا آدرس مبدا و مقص

در ديوراه آتشAnti Spoofاستفادهاز فيلترهاي


TCP Connection Spoofingحمله : شرح حمله

قابل حدس زدن باشد ، مهاجم با آدرس واقعي TCPاگر شماره سريال در برپاسازي ارتباط مجموعه اي از اعداد شبه خود اقدام به برقراري ارتباط هاي مكرر با قرباني ميكند و با داشتن

.تصادفي الگريتم توليد شماره سريال را حدش ميزند

. است32^½ بيتي احتمال يافتن ۳۲با شماره سريال

ل استفاده با تشخيص الگوريتم مولد اعداد شبه تصادفي كه براي توليد شماره سريا .ميشود اين امر براي مهاجم ممكن ميگردد

. ابزاري براي تحليل الگوريتم مولد اعداد شبه تصادفي داردNmapنرم افزار

با شماره سريالي پس از تشخص الگوريم مولد شماره سريال، مهاجم ميتواند بسته هائي را . را مختل كند و يا حتي آن نشست را بربايدTCPكه ايجاد ميكند فرستاده و ارتباط

نشست ربائي و ... و Hunt ، Dsniff ، IP Watcherابزارهائي مثل . حتي بازگرداتدن نشست را به طرفين قبلي ارتباط انجام ميدهند

41


TCPربودن نشست : Ackطوفان بسته هاي

اگر بسته اي شماره . بايد شماره هاي سريال بسته ها رعايت شود TCPدر ربودن نشست آن گم شده Ackسريال خارج از ترتيب برسد گيرنده آنرا حذف ميكند و فرض ميكند

. همان بسته ميفرستد Ackبنابراين يك بسته با

B قرار داده باشد ماشين A اگر مهاجم خود را بجاي B و Aپس از ربودن نشست ماشين هاي چون بسته را A ميفرستد و A بسته ها را به سمت ماشين Ackبا دريافت بسته هاي مهاجم

آنرا حذف و يك B ميفرستد كه Bارسال نكرده يكبار ديگر بسته با شماره هاي قبلي براي اين بسته هاي اضافي باعث ترافيك اضافي . براي وي ميفرستدAckبسته با آخرين شماره

.در شبكه ميشود

مهاجم ميخواهد اگرچه اين خود نوعي حمله و اخالل در شبكه است ولي هنگام ربودن نشست اي ربودن نشست با ارسال عمليات ادامه يافته و از ادامه آن بهره ببرد؛ بنابراين برخي ابزاره

. بسته هاي مناسب به طرفين از اين مشكل جلوگيري ميكنند

. نميتوانند از اين طوفان جلوگيري كنند Juggernaut و IP Watcherابزارهائي مثل


DoSحمله by Connection Reset:شرح حمله

قابل حدس زدن TCPاگر شماره سريال در ارتباط در حال انتقال باشد مهاجم ميتواند بسته هائي را با شماره سريال مناسب و كد بيت

RST فرستاده و ارتباط TCPرا قطع كند .

. است32^½ بيتي احتمال يافتن ۳۲با شماره سريال

از روي الگوريتم شبه (اگر شماره سريال هنگام برپا سازي قابل حدس باشد و حجم بسته هاي جابجا شده برحسب ترافيك حدس زده ) تصادفي مولد اعداد

.شود مهاجم ميتواند شماره فعلي را حدس بزند

براي ارتباطات درازمدت موثر است كه اشتباهات در سعي هاي بعدي جبران.گردد

42


امنيت شبكه هاي كامپيوتريـ نمونه حمالت متداول۳فصل پايان

cs85 slide chapter3 - een.iust.ac.ireen.iust.ac.ir/profs/shahhoseini/courses/computer network...

Documents