Сетевые атаки на информационные системы. Виды. Реализация

ФГАОУ ВПО «Уральский федеральный  университет

имени первого президента России Б. Н. Ельцина»

Кафедра Защиты информации

 

 

 

 

 

 

Курсовая  работа по дисциплине “Защита информационных процессов в компьютерных системах”

На  тему:

“Сетевые атаки на информационные системы. Виды. Реализация”

 

 

 

Выполнил:                                                                                            Демин М. И.

Группа:                                                                                                  ВИ-490301

Руководитель:                                                                                       Куц Д. В.

 

 

 

 

 

Екатеринбург 2013 

Введение 3

Глава 1. Сниффинг пакетов 4

1.1 Реализация сниффинга 4

1.2 Методы защиты от сниффинга 6

Глава 2. IP-спуфинг 8

2.1 Реализация IP-спуфинга 8

2.2 Методы защиты от IP-спуфинга 10

Глава 3. DoS и DDoS атаки 11

3.1 Реализация DoS и DDoS атак 11

3.2 Выявление DoS-атак и защита от них 14

Глава 4. Атаки типа Man in the middle 15

4.1 Реализация атаки Man in the middle 15

4.2 Выявление MITM-атак и защита от них 18

Заключение 20

Список используемых источников 21

 

 

Введение

Интернет  полностью  изменил наши представления  о жизни и продолжает их менять. Эти изменения касаются всех сфер жизни человека: мы оплачиваем товары и услуги по интернету, смотрим фильмы и слушаем музыку в режиме он-лайн и многое-многое др. Тем не менее, появилась всемирная паутина относительно недавно, поэтому нам еще только предстоит освоить все возможности интернета.

Однако, у любой медали две стороны. Наслаждаясь свободой в сети, мы часто не подозреваем, что некто может получить доступ к нашей информации, к нашим тайнам. Каждый день хакеры пытаются осуществить свои цели с использованием различных видов атак. Эти атаки, которые будут описаны ниже, становятся все более изощренными и простыми в исполнении. Этому способствуют два основных фактора.

Во-первых, это  повсеместное проникновение интернета. Количество подключаемых к интернету устройств с каждым днем растет в геометрической прогрессии. И поэтому вероятность доступа хакеров к уязвимым устройствам постоянно возрастает. Кроме того, широкое распространение интернета позволяет хакерам обмениваться информацией в глобальном масштабе. Простой поиск по ключевым словам типа "хакер", "взлом", "hack", "crack" или "phreak" даст вам тысячи сайтов, на многих из которых можно найти вредоносные коды и способы их использования.

Во-вторых, это всеобщее распространение простых  в использовании операционных систем и сред разработки. Этот фактор резко  снижает уровень знаний и навыков, которые необходимы хакеру. Раньше хакер должен был обладать хорошими навыками программирования, чтобы создавать  и распространять простые в использовании  приложения. Теперь чтобы получить доступ к хакерскому средству, нужно  просто знать IP-адрес нужного сайта, а для проведения атаки достаточно щелкнуть мышкой.

 

Глава 1. Сниффинг пакетов

1.1 Реализация  сниффинга

Сниффинг пакетов – это метод сетевой атаки на информационную систему, при котором хакер использует специальную программу-сниффер. Сниффер пакетов (от англ. to sniff - нюхать) представляет собой прикладную программу, которая использует сетевую карту компьютера сегмента сети для “прослушивания” трафика, поступающего на нее. Происходит это следующим образом: в сети Ethernet концентратор (hub) рассылает пакеты, приходящие на его порт, всем остальным хостам сети. Далее, если отправленный с концентратора хосту пакет предназначался этому узлу сети, то пакет принимается компьютером. Если пакет данному узлу не предназначался – пакет отбрасывается.

Принцип работы концентратора (hub):

Но, если сетевую карту компьютера перевести в режим promiscuous mode, тогда все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению (то есть снифферу) для обработки. При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. Сниффер может анализировать только то, что проходит через его сетевую карту, но если рассматривать сеть с концентраторами, то на сетевую карту компьютера со сниффером будут приходить пакеты, предназначенные для всех остальных узлов сети. Использование коммутаторов (switch) и их грамотная конфигурация уже является защитой от прослушивания, так как коммутатор – устройство канального (второго) уровня модели  OSI в отличие от концентратора, являющегося устройством нижнего (физического) уровня OSI. Коммутатор рассылает пакеты данных, поступающие на его порт, лишь конкретным узлам сети Ethernet, “смотря” заголовки канального уровня пакетов. Другими словами, коммутация пакетов — форма передачи, при которой данные, разбитые на отдельные пакеты, могут пересылаться из исходного пункта в пункт назначения разными маршрутами. Так что если кто-то в другом сегменте посылает внутри его какие-либо пакеты, то в ваш сегмент коммутатор эти данные не отправит.

Перехват  трафика с использованием сниффера может осуществляться:

• Обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (hubs) вместо коммутаторов (switches), в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);
• Подключением сниффера в разрыв канала;
• Ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер;
• Через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика.

В начале 1990-х широко применялся хакерами для захвата пользовательских логинов и паролей, которые в ряде сетевых протоколов передаются в незашифрованном или слабозашифрованном виде. Широкое распространение концентраторов позволяло захватывать трафик без больших усилий в больших сегментах сети практически без риска быть обнаруженным.

В настоящее  время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Анализ прошедшего через сниффер трафика позволяет:

• Обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи (снифферы здесь малоэффективны; как правило, для этих целей используют сбор разнообразной статистики серверами и активным сетевым оборудованием и её последующий анализ);
• Выявить в сети вредоносное и несанкционированное ПО, например, сетевые сканеры, флудеры, троянские программы, клиенты пиринговых сетей и другие (это обычно делают при помощи специализированных снифферов — мониторов сетевой активности);
• Локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели снифферы часто применяются системными администраторами).

Однако ввиду  того, что некоторые сетевые приложения передают данные в текстовом формате (telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли). Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. Хакеры слишком хорошо знают и используют наши человеческие слабости (методы атак часто базируются на методах социальной инженерии). Они прекрасно знают, что мы пользуемся одним и тем же паролем для доступа к множеству ресурсов, и поэтому им часто удается, узнав наш пароль, получить доступ к важной информации. В самом худшем случае хакер получает доступ к пользовательскому ресурсу на системном уровне и с его помощью создает нового пользователя, которого можно в любой момент использовать для доступа в сеть и к ее ресурсам.

1.2 Методы защиты от сниффинга

Снизить угрозу сниффинга пакетов можно при помощи следующих средств:

• Аутентификация. Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под "сильным" понимается такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP - One-Time Passwords). ОТР - это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который опознает вас, во-первых, по вашей пластиковой карточке и, во-вторых, по вводимому вами ПИН-коду. Для аутентификации в системе ОТР также требуется ПИН-код и ваша личная карточка. Под "карточкой" (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Заметим, что этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности;
• Использование коммутаторов. Еще одним способом борьбы со сниффингом пакетов в вашей сетевой среде является создание коммутируемой инфраструктуры. Если, к примеру, во всей организации используется коммутируемый Ethernet, хакеры могут получить доступ только к трафику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктуры не ликвидирует угрозу сниффинга, но заметно снижает ее остроту;
• Использование анти-снифферов. Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты. Так называемые "анти-снифферы" измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать "лишний" трафик. Одно из таких средств, поставляемых компанией LOpht Heavy Industries, называется AntiSniff;
• Криптография. Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов, но делает сам труд по “воровству” пакетов бесполезным. Если канал связи является криптографически защищенным, это значит, что хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов). Криптография Cisco на сетевом уровне базируется на протоколе IPSec. IPSec представляет собой стандартный метод защищенной связи между устройствами с помощью протокола IP. К прочим криптографическим протоколам сетевого управления относятся протоколы SSH (Secure Shell) и SSL (Secure Socket Layer).

Глава 2. IP-спуфинг

2.1 Реализация IP-спуфинга

IP-спуфинг – это вид хакерской атаки, заключающийся в использовании чужого IP-адреса с целью обмана системы безопасности. IP-спуфинг происходит, когда хакер, находящийся внутри организации или вне ее выдает себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример - атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.

Обычно целью IP-спуфинга является вставка ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Однако, если главная задача состоит в получении от системы важного файла, ответы приложений не нужны. Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, то хакер получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем.

Так как же осуществляется подмена IP-адреса хакера? Подмена адреса осуществляется за счет подмены одного из полей IP-заголовка методом записи другого значения. Сложность заключается в том, что машина, получив заголовок с таким адресом, отправит ответ на этот адрес, а не на адрес хакера. В случае с TCP-соединением необходимо получить ответ от адресата для установки соединения с ним. При установке TCP-соединения важен так называемый ISN (Initial Sequence Number) - начальный порядковый номер. Во время установки соединения между машинами передается порядковый номер клиента, обозначаемый как ISNc, a также передается ISN сервера, как ISNs. Рассмотрим установку соединения:

1. Клиент отправляет TCP-пакет с установленным флагом SYN, также он выбирает ISNc;
2. Сервер увеличивает на единицу ISNc и отправляет его обратно вместе со своим ISNs;
3. Клиент отвечает пакетом ACK, содержащим ISNs, увеличенный на единицу;

Когда хакер пытается установить TCP-соединение с подделанным IP-адресом, сервер отправляет компьютеру А пакет SYN-ACK, содержащий его ISN. Так как компьютер А не отправлял серверу пакет SYN, он ответит пакетом RST для прерывания неизвестного соединения. Взломщику остается дождаться когда компьютер А будет выключен или перезагружен. Хакер не сможет увидеть ISN, отправленный одной машиной к другой. Этот ISN ему нужен на третьем шаге, когда он должен будет увеличить его на 1 и отправить. Атакующий должен угадать ISN. В старых операционных системах (ОС) было очень легко угадать ISN - он увеличивался на единицу с каждым соединением. Современные ОС используют механизм, который предотвращает угадывание ISN. Современные сервисы используют для аутентификации имя пользователя и пароль и передают данные в зашифрованном виде, поэтому в наше время отпала всякая необходимость в IP-спуфинге.