cursul 11 - atacuri de rețea
TRANSCRIPT
-
7/24/2019 Cursul 11 - Atacuri de Reea
1/45
Cursul 11
11Atacuri de retea
6-7 ianuarie 2015
-
7/24/2019 Cursul 11 - Atacuri de Reea
2/45
Obiective
Tipuri de atacuri
Atacuri de recunoatere
Atacuri acces
DoS Virui
Troieni
Viermi
2
-
7/24/2019 Cursul 11 - Atacuri de Reea
3/45
Recapitulare: Clasificarea atacurilor
Internetul nu este un loc sigur
Reeaua local poate fi oricnd inta unui atac: De recunoatere
Ping sweep
Sniffing
Port scan
De DoS (Denial of Service) sau DDoS (Distributed DoS)
Smurf attack
SYN flood
De acces
Atacarea unei parole (cu dicionar sau brute-force) Buffer overflow
Man-in-the-middle
3
-
7/24/2019 Cursul 11 - Atacuri de Reea
4/45
Cursul 13
Atacuri de recunoatere Scop
nmap
tcpdump
Wireshark whois
-
7/24/2019 Cursul 11 - Atacuri de Reea
5/45
Atacuri de recunoatere
Constau n recoltarea informaiilor despre o anumit reea
Se caut orice informaie util care poate fi folosit ndesfurarea unui atac ulterior
Exemple de informaii utile unui atacator: IP-urile staiilor dintr-o reea
Serviciile ce ruleaz pe fiecare staie
Locaia serviciilor n care utilizatorii reelei au ncredere
Vulnerabiliti n versiunile serviciilor
5
-
7/24/2019 Cursul 11 - Atacuri de Reea
6/45
Utilitare de recunoatere: nmap
Permite scanarea staiilor din reea
Poate descoperi: Staiile active (Ping Scan)
Informaii despre sistemul de operare
6
attacker# nmap O 141.85.227.116
Vor fi trimise pachete ICMP Echo ctretoate staiile din reea
attacker# nmap sP 141.85.227.0/24
Ping scan
-
7/24/2019 Cursul 11 - Atacuri de Reea
7/45
Utilitare de recunoatere: nmap
Permite scanarea staiilor din reea
Poate descoperi: Informaii despre porturile deschise (Port Scan)
Informaii despre servicii i versiunea acestora (Service Scan)
7
attacker# nmap sP p T:21-25,80 141.85.227.0/24
Port scan
Scanarea poate fi efectuat doar peanumite porturi
attacker# nmap sV 141.85.227.118
-
7/24/2019 Cursul 11 - Atacuri de Reea
8/45
Utilitare de recunoatere: nmap
8
attacker# nmap sV elf.cs.pub.ro
[]
Interesting ports on elf.cs.pub.ro(141.85.227.116):
Not shown: 993 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.5p1 Debian 6 (protocol 2.0)
25/tcp open smtp Postfix smtpd
80/tcp open http Apache httpd 2.2.16 ((Debian))
443/tcp open ssl/http Apache httpd 2.2.16 ((Debian))
6881/tcp filtered bittorrent-tracker
6969/tcp open http BitTornado tracker T-0.3.18
20222/tcp open ssh OpenSSH 5.1p1 Debian 5 (protocol 2.0)
MAC Address: 00:18:51:6C:1F:9E (SWsoft)
Service Info: Host: elf.cs.pub.ro; OS: Linux
[]
-
7/24/2019 Cursul 11 - Atacuri de Reea
9/45
Utilitare de recunoatere: Wireshark
Permite interceptarea i analiza traficului de reea
Necesit trecerea interfeei de reea n mod promiscuous n acest mod este primit orice trafic (chiar i cel care nu este destinat
staiei locale)
Utilizeaz formatul libpcap
Permite deschiderea fiierelor de captur libpcap ale altor utilitare(tcpdump, dynagen)
9
-
7/24/2019 Cursul 11 - Atacuri de Reea
10/45
Utilitare de recunoatere: tcpdump
Folosit pentru captura din linie de comand a traficului
10
attacker# tcpdump i eth0 c 10 dst port 80
Interfaa pe care serealizeaz captura
Numrul de pachetece vor fi capturate
Condiii pentru filtrarea capturii (n cazulacesta vor fi trecute n captur doarpachetele ctre portul destinaie 80)
-
7/24/2019 Cursul 11 - Atacuri de Reea
11/45
Utilitare de recunoatere: whois
Utilitar pentru serviciul whois
Permite obinerea informaiilor despre un domeniu
11
Registrant:
Dns Admin
Google Inc.
Please contact [email protected] 1600 Amphitheatre Parkway
Mountain View CA 94043
US
[email protected] +1.6502530000 Fax: +1.6506188571
Domain Name: google.com
Registrar Name: Markmonitor.com
Registrar Whois: whois.markmonitor.com
Registrar Homepage: http://www.markmonitor.com
Administrative Contact:
DNS Admin
Google Inc.
1600 Amphitheatre Parkway
Mountain View CA 94043
US
[email protected] +1.6506234000 Fax: +1.6506188571
-
7/24/2019 Cursul 11 - Atacuri de Reea
12/45
Utilitare de recunoatere: host
Utilitar pentru serviciul DNS
Permite obinerea informaiilor despre serverele de nume i de mail aleunui domeniu
12
attacker# host -t MX pub.ro
pub.ro mail is handled by 5 mail.pub.ro.
pub.ro mail is handled by 50 relay.roedu.net.
attacker# host -t NS pub.ro
pub.ro name server pub.pub.ro.
pub.ro name server ns1.roedu.net.
pub.ro name server pub2.pub.ro.
-
7/24/2019 Cursul 11 - Atacuri de Reea
13/45
Cursul 11
Atacuri DoS Identificare
DDoS
Smurf attack
TCP SYN flood CAM overflow
-
7/24/2019 Cursul 11 - Atacuri de Reea
14/45
Identificare atacuri DoS
Denial of service
Se trimite un numr mare de cereri pentru a preveni procesareacererilor normale
Din cauza ncrcrii exist inclusiv riscul ca aplicaia s ntmpineo eroare i s se opreasc
Atacurile DoS se recunosc msurnd traficul n condiii normale Apariia unei anomalii poate indica un atac DoS
14
-
7/24/2019 Cursul 11 - Atacuri de Reea
15/45
Atacuri DDoS
Constau n trimiterea cererilor de la mai multe sisteme ctre o
singur int Atacurile DoS/DDoS sunt dificil de identificat
Nu se poate determina mereu care sunt cereri valide i care reprezint unatac
Exemplu de trafic valid cu rezultat de DoS: Slashdot effect
15
Exemplu deSlashdot effect
-
7/24/2019 Cursul 11 - Atacuri de Reea
16/45
Smurf attack
Ping-uri ctre o adres de broadcast cu o adres surs spoofed
Toate staiile din reeaua respectiv vor rspunde ctre surs Dac reeaua este mare staia int poate s primeasc mai mult
trafic dect poate procesa
Efectul este imposibilitatea folosirii conexiunii la Internet pentru uz normal
16
Internet
Dest: 141.85.37.255/24
Surs: 30.30.30.30
30.30.30.30
20.20.20.20141.85.37.0/24
Echo request
Echo reply
-
7/24/2019 Cursul 11 - Atacuri de Reea
17/45
Atacatorul iniiaz un numr mare de conexiuni TCP cu un server,
fr a termina handshake-ul iniial (conexiuni half-open) Respectivele conexiuni epuizeaz resursele serverului
Acesta nu mai poate procesa cereri valide
Server
TCP SYN flood
17
SYNSYN
SYN + ACK
SYN + ACK
Info
Conexiune
Info
ConexiuneAtacator
-
7/24/2019 Cursul 11 - Atacuri de Reea
18/45
CAM Overflow
Ce este tabela CAM?
R:Tabel folosit de switch-uri pentru a reine prin ce port se ajunge la oanumit adres MAC
Memoria unui switch nu e nelimitat: Tabela CAM se poate umple
Dac se umple, switch-ul va lucra n regim de hub
Un atacator poate trimite un volum mare de cadre cu adrese MAC
spoofed
Ce adrese MAC trebuie falsificate pentru acest atac?
R: Switch-ulnva adresele MAC surs, deci acestea trebuie falsificate
Cum se poate opri acest atac?
R:Limitarea numrului de adrese ce pot fi nvate pe un port.
18
-
7/24/2019 Cursul 11 - Atacuri de Reea
19/45
Cursul 11
Atacuri acces Spargere de parole
MITM
Social engineering
Exploatarea ncrederii Buffer overflow
VLAN hopping
Atacuri STP
-
7/24/2019 Cursul 11 - Atacuri de Reea
20/45
Spargere parole
Parolele trimise n clar (Telnet) pot fi obinute prin sniffing
Parolele crora li s-a obinut hash-ul pot fi sparte prin: Brute force (se ncearc toate combinaiile ce folosesc un set de simboluri)
Dictionary attack (se ncearc toate cuvintele din dicionar mpreun cupermutri simple)
Cryptanalysis attack (Rainbow tables)
Brute force / dictionary attack pot fi aplicate direct pe serviciul de
autentificare, fr a avea hash-ul: Uor de blocat prin adugarea de limitri la autentificare (de exemplu
blocarea contului pentru 10 minute la 3 euri de autentificare n decurs
de un minut)
20
-
7/24/2019 Cursul 11 - Atacuri de Reea
21/45
Rainbow Tables
Atac de criptanaliz
Pentru spargere se pot folosi tabele de hash-uri precalculatenecesar prea mare de spaiu
Rainbow tables menin punctele de pornire pentru lanuri dehash-uri
Ideea este s se foloseasc spaiu pentru a economisi timp derulare
Rainbow tables publice se pot obine de pe Internet www.freerainbowtables.com(are 4178 de GB)
21
http://www.freerainbowtables.com/http://www.freerainbowtables.com/ -
7/24/2019 Cursul 11 - Atacuri de Reea
22/45
Spargere parole - Salting
Metod de prevenire a atacurilor ce folosesc rainbow tables
Se folosete un segment suplimentar, generat aleator, ce esteconcatenat la parola utilizatorului nainte de hashing
Segmentul aleator crete dimensiunea tabelelor necesare pentruspargere
Exemplu:
22
/etc/shadow:
trudy:$6$/tKy92iM$/.cIxbEX49qHpZt74D5L0W1vXO2fJuXjyXJnsT0.M[]
Algoritm
6
SHA-512
SaltHash
(SHA-512)
-
7/24/2019 Cursul 11 - Atacuri de Reea
23/45
Spargere parole - Salting
Folosirea unui salt nu previne atacurile prin rainbow tables, doar
crete dimensiunea necesar a acestora
23
Rainbow
table
hash-2
pa$$word hash-1
Salt
pa$$word
pa$$word
???
-
7/24/2019 Cursul 11 - Atacuri de Reea
24/45
Spargere parole cu Cain
24
Un dictionary
attackncearci variaii simpleale cuvntului
de baz
-
7/24/2019 Cursul 11 - Atacuri de Reea
25/45
MITM
Man in the Middle
Traficul dintre dou entiti este interceptat i rutat de unatacator
Exemplu: traficul ntre o staie i default gateway
Exemplu de MITM: ARP Poisoning Se bazeaz pe faptul c protocolul ARP nu face autentificare
O staie poate mini referitor la adresa sa de nivel 3
Exemplu de program pentru ARP Poisoning: Cain
25
-
7/24/2019 Cursul 11 - Atacuri de Reea
26/45
MITMStare iniial
Reeaua opereaz normal naintea atacului
Staia Aare informaii corecte despre staia C
26
A
C
A.IP
A.MAC
C.IP
C.MAC
BB.IP
B.MAC
ARP Cache:
C.IPC.MAC
ARP Cache:
A.IPA.MAC
-
7/24/2019 Cursul 11 - Atacuri de Reea
27/45
MITMAtac
Bdorete s intercepteze traficul dintre Ai C
Trimite un mesaj ARP ctre Acu coninutul C.IPB.MAC La primirea mesajului, Aschimb coninutul cache-ului (chiar dac nu a
solicitat mesajul n prealabil)
Bva ruta corect traficul de la A
27
A
C
A.IP
A.MAC
C.IP
C.MAC
BB.IP
B.MAC
ARP Cache:
C.IPB.MAC
ARP Cache:
A.IPA.MAC
-
7/24/2019 Cursul 11 - Atacuri de Reea
28/45
MITMAtac
Bdorete s intercepteze traficul dintre Ci A
Trimite un mesaj ARP ctre Ccu coninutul A.IPB.MAC La primirea mesajului, Cschimb coninutul cache-ului (chiar dac nu a
solicitat mesajul n prealabil)
28
A
C
A.IP
A.MAC
C.IP
C.MAC
BB.IP
B.MAC
ARP Cache:
C.IPB.MAC
ARP Cache:
A.IPB.MAC
-
7/24/2019 Cursul 11 - Atacuri de Reea
29/45
MITMStare final
Ai Cvor crea cadrele cu adresa lui Bn antetul de nivel 2
Switch-ul va comuta cadrele respective ctre atacator
29
A
C
A.IP
A.MAC
C.IP
C.MAC
BB.IP
B.MAC
ARP Cache:
C.IPB.MAC
ARP Cache:
A.IPB.MAC
-
7/24/2019 Cursul 11 - Atacuri de Reea
30/45
Exploatarea ncrederii
Iniial este compromis un sistem din reea
Sistemul compromis este folosit pentru a ataca mai departereeaua
30
Internet
Atacator
Client VPN
Server intern
Host dept. financiarUn angajat folosete un laptop
pentru a accesa prin VPN
reeaua companiei din Internet
Atacatorul compromite laptop-ul
si folosete aplicaia VPN pentru aaccesa serverul din companie
Pe baza informaiilor extrasede pe server poate accesa
host-urile din departamentulfinanciar
-
7/24/2019 Cursul 11 - Atacuri de Reea
31/45
Social engineering
Se bazeaz pe extragerea informaiilor confideniale de la oameni
Parole sau detalii financiare
Atacatorul trebuie s conving potenialele inte c este dencredere
Este probabil ca inta respectiv s nu fie de profil tehnic i saib ncredere n autoritatea atacatorului Atacatorul se poate da drept un membru al echipei tehnice
31
-
7/24/2019 Cursul 11 - Atacuri de Reea
32/45
Social engineering
Oamenii nu sunt contieni de valoarea informaiei pe care o
posed i vor s ajute Social engineering poate evita orice tip de securitate
Este necesar realizarea de edine de instruire pentru angajaii non-tehnici
Exemplu: phishing
32
-
7/24/2019 Cursul 11 - Atacuri de Reea
33/45
Buffer overflow
Scriere de informaie peste un buffer alocat
Permite executarea de cod de atac sau crash-uirea aplicaiei
Exemplu: scrierea n afara unui vector alocat pe stiv n C poatepermite suprascrierea adresei de ntoarcere din funcie Atacatorul poate provoca astfel srirea peste o funcie de verificare,
obinnd acces n sistem fr autentificare
33
overflow Autentificare
Flux modificat printr-un atac tip buffer overflow
-
7/24/2019 Cursul 11 - Atacuri de Reea
34/45
VLAN Hopping
Switch spoofing:
Sistemul atacatorului negociaz o legtur trunk cu switch-ul (prin DTP) Atacatorul poate ulterior trimite trafic n orice VLAN
34
VLAN 10
VLAN 20
Trunk
Trunk negociat de
atacator
VLAN 10
VLAN 20
Atacatorul poate trimite
trafic n orice VLAN
trimind cadre 802.1Q
-
7/24/2019 Cursul 11 - Atacuri de Reea
35/45
VLAN Hopping
Double tagging:
Simplu de realizat deoarece nu necesit implementarea DTPpe atacator Tehnic folosit i de ISP-uri n 802.1Q tunneling
VLAN-ul nativ de pe trunk trebuie s fie acelai cu VLAN-ul atacatorului
35
VLAN 10
VLAN 20
Trunk
IP
802.1Q: VLAN 20
802.1Q: VLAN 10
Switch1 Switch2 Switch3
Native VLAN = 20
-
7/24/2019 Cursul 11 - Atacuri de Reea
36/45
VLAN Hopping
Double tagging:
Switch-ulnltur tag-ul de VLAN 20 i trimite cadrul mai departe pe trunk Switch-ul 2 va vedea tag-ul 10 i va trimite mai departe cadrul pe VLAN 10
36
VLAN 10
VLAN 20
Trunk
IP
802.1Q: VLAN 10
Switch1 Switch2 Switch3
Native VLAN = 20
-
7/24/2019 Cursul 11 - Atacuri de Reea
37/45
Atacuri STP
Protocolul STP nu folosete autentificare vulnerabil
Un atac STP are de obicei urmtorii pai:1. Conectare la reeaua de switch-uri
2. Trimiterea de BPDU-uri cu BID mic
3. Devenire root bridge
37
Circul date
Circul BPDURoot Bridge
Switch1
A
B
Switch2
-
7/24/2019 Cursul 11 - Atacuri de Reea
38/45
Atacuri STP
Traficul dintre Ai Btrece prin Switch1
Switch2este sistemul folosit de atacator (Linux cu Yersinia) Switch2e conectat la reea i anun BPDU-uri cu BID=1
(prioritate 0)
38
Circul date
Circul BPDU
Switch1
A
B
Switch2
STP recalculeaz
rolurile porturilor
-
7/24/2019 Cursul 11 - Atacuri de Reea
39/45
Atacuri STP
Traficul dintre Ai Btrece acum prin Switch2
Atacatorul poate porni o captur de trafic pe Switch2pentru aanaliza comunicaia dintre Ai B
Soluii pentru protejarea STP: RootGuard, BPDU Guard, BPDUFilter
39
Circul date
Circul BPDU
Switch1
A
B
Switch2 Root Bridge
-
7/24/2019 Cursul 11 - Atacuri de Reea
40/45
Atacuri STP
STP reconverge imediat dac se detecteaz BID-uri noi
Switch-ul atacatorului i poate schimba continuu BID-ul pentru afora recalcularea STP
Porturile nu ajung niciodat s transmit date (denial of service)
Suficient o singur legtur la reea pentru a implementa atacul
40
Circul date
Circul BPDU
Switch1
A
B
Switch2 Alterneaz ntre BIDmaxim i minim
-
7/24/2019 Cursul 11 - Atacuri de Reea
41/45
Cursul 11
Atacuri cu cod executabil Virui
Troieni
Viermi
-
7/24/2019 Cursul 11 - Atacuri de Reea
42/45
Virui
Cod executabil ataat unui program sau executabil
Codul trebuie s fie rulat de un utilizator pentru a avea efect
Se propag prin: Ataamente de e-mail
Fiiere descrcate infectate Partajri de fiiere n reeaua local
Stick-uri USB
i i
-
7/24/2019 Cursul 11 - Atacuri de Reea
43/45
Troieni
Cod executabil ataat unei aplicaii
Spre deosebire de virui care au un efect direct, troienii au unefect subtil
Deschidere backdoor
Sunt mult mai greu de detectat dect viruii
43
Vi i
-
7/24/2019 Cursul 11 - Atacuri de Reea
44/45
Viermi
Cod executabil ce folosete vulnerabiliti pentru a se rspndi
Spre deosebire de virui nu necesit intervenia direct a unuiutilizator
Rspndire foarte rapid
Dificil de nlturat
Au adesea scopul de a partaja resurse de procesare, stocare sauconexiune internet (de exemplu botnet de trimitere spam)
44
C i h i
-
7/24/2019 Cursul 11 - Atacuri de Reea
45/45
salt
MITM
Viermi
TroieniVirui
Sniffing
Port
scan
Ping
sweep
Password
cracking
DoS
Recunoatere
Cuvinte cheie
Cod de
atac
Buffer
overflowExploatare
ncredere
Acces
nmap
tcpdump
Wireshark
Atacuri
whois
Dictionary
attack
Rainbow
table
CAM
overflow
Atacuri STP VLAN
hopping