101 Zabezpieczeń Przed Atakami W Sieci Komputerowej

IDZ DO
PRZYKADOWY ROZDZIA
SPIS TRECI
KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG
101 zabezpiecze
przed atakami
w sieci komputerowej
Autorzy: Maciej Szmit, Marek Gusta,
Mariusz Tomaszewski
ISBN: 83-7361-517-2
Format: B5, stron: 560
TWJ KOSZYK
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK
CZYTELNIA
FRAGMENTY KSIEK ONLINE
Chyba kada sie komputerowa na wiecie bya ju atakowana przez hakerw.

Niektre z atakw byy skuteczne, inne nie. Efekty skutecznego ataku hakerw mog
by rne od braku szkd, a po utrat wanych danych lub, co czsto okazuje si
znacznie gorsze wydostanie si takich danych na zewntrz. Co sprawia, e niektre
sieci opieraj si atakom hakerw, a inne nie? Sekret tkwi w zabezpieczeniach i pracy
administratora.
W ksice 101 zabezpiecze przed atakami w sieci komputerowej kady, kto chce
zabezpieczy swoj sie przed niepowoanym dostpem, znajdzie niezbdn do tego
wiedz. Ksika przedstawia rne rodzaje atakw, sposoby ich wykrywania i metody
ochrony sieci przed nimi. Opisuje ataki na rne warstwy i elementy sieci oraz zasady
korzystania z zapr sieciowych.
Wykrywanie sniffingu i ochrona przed nim
Skanowanie portw i IP-spoofing
Ataki typu DoS
Wirusy, robaki i programy szpiegujce
Zabezpieczanie procesu logowania
Ochrona przed atakiem przez przepenienie bufora
Technologie i architektury zapr sieciowych
Systemy wykrywania atakw typu IDS
Jeli chcesz, aby administrowana przez Ciebie sie bya bezpieczna, skorzystaj
ze sposobw przedstawionych w tej ksice.
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
Spis treci
Wstp ............................................................................................. 11
Rozdzia 1. Metody obrony przed atakami prowadzonymi
w warstwie dostpu do sieci ............................................................ 15
Sniffing w sieci o fizycznej topologii magistrali i w sieci wykorzystujcej koncentratory...... 16
Programy wykorzystywane do podsuchu................................................................. 16
Tcpdump ............................................................................................................. 16
Ethereal ............................................................................................................... 17
Sniff v. 1.4 .......................................................................................................... 18
Konfiguracja sieci testowej ....................................................................................... 18
Przeprowadzenie ataku.............................................................................................. 20
Sniffing w sieci zbudowanej przy wykorzystaniu przecznikw ................................... 22
Konfiguracja sieci testowej ....................................................................................... 23
Sniffing w sieci zbudowanej przy wykorzystaniu przecznikw ARP-spoofing.... 24
Przeprowadzenie ataku ....................................................................................... 25
Sniffing w sieci zbudowanej z wykorzystaniem przecznikw MAC-flooding ..... 26
Sniffing w sieci zbudowanej przy wykorzystaniu przecznikw
duplikacja adresu fizycznego ............................................................................ 29
Antysniffing .................................................................................................................... 30
Zabezpieczenie nr 1. Wykrywanie sniffingu za pomoc testu ARP.................... 31
Zabezpieczenie nr 2. Wykrywanie sniffingu za pomoc testu ARP-Cache ........ 34
Zabezpieczenie nr 3. Wykrywanie sniffingu za pomoc testu ICMP.................. 37
Zabezpieczenie nr 4. Wykrywanie sniffingu za pomoc testu DNS ................... 39
Zabezpieczenie nr 5. Wykrywanie sniffingu za pomoc
pomiarw czasw latencji................................................................................ 41
Zabezpieczenie nr 6. Wykrywanie podsuchu metodami reflektometrycznymi .. 45
Zabezpieczenie nr 7. Wykrywanie ataku ARP-spoofing
za pomoc programu arpwatch ........................................................................ 46
Zabezpieczenie nr 8. Ochrona przed atakiem ARP-spoofing
za pomoc statycznej tablicy ARP................................................................... 48
Zabezpieczenie nr 9. Wykrywanie ataku ARP-spoofing
za pomoc programu ARP-Analyzer ............................................................... 51
Zabezpieczenie nr 10. Lokalne wykrywanie sniffingu........................................ 54
Zabezpieczenie nr 11. Ochrona przed podsuchem
przy uyciu technologii VLAN........................................................................ 55
101 zabezpiecze przed atakami w sieci komputerowej

Zabezpieczenie nr 12. Przeczniki zarzdzalne jako zabezpieczenie
przed podsuchem ............................................................................................ 59
Zabezpieczenie nr 13. Wirtualne sieci prywatne jako zabezpieczenie
przed podsuchem ............................................................................................ 59
Zabezpieczenie nr 14. Wykrywanie ataku MAC-flooding za pomoc
programu MACManipulator ............................................................................ 66
Zabezpieczenie nr 15. Szyfrowanie poczenia sieciowego
z wykorzystaniem protokou SSL .................................................................... 68
Zabezpieczenie nr 16. Szyfrowanie poczenia sieciowego
z wykorzystaniem protokou TLS.................................................................... 77
Rozdzia 2. Metody obrony przed atakami prowadzonymi

w warstwach internetu i host-to-host................................................ 79
Skanowanie portw ......................................................................................................... 79
Nmap......................................................................................................................... 80
Instalacja Nmapa................................................................................................. 80
Instalacja Nmapa w systemie Linux.................................................................... 80
Instalacja Nmapa w systemie Windows.............................................................. 81
Techniki skanowania portw..................................................................................... 82
Skanowanie TCP-connect ................................................................................... 83
Zabezpieczenie nr 17. NAT jako skadnik zapory sieciowej............................... 83
Zabezpieczenie nr 18. Usugi poredniczenia (proxy) w roli zapory sieciowej... 87
Poredniczenie za pomoc Socks .............................................................................. 88
Konfiguracja komputera B.................................................................................. 88
Konfiguracja komputera A.................................................................................. 92
Testowanie dziaania usugi poredniczcej........................................................ 94
Zabezpieczenie nr 19. Wykorzystanie zapory sieciowej IPTables
do blokowania prb skanowania TCP-connect ................................................ 96
Skanowanie TCP SYN........................................................................................ 99
Zabezpieczenie nr 20. Wykorzystanie zapory sieciowej iptables
do blokowania prb skanowania TCP SYN..................................................... 99
Skanowanie TCP FIN ....................................................................................... 100
Zabezpieczenie nr 21. Wykorzystanie systemu IDS Snort
do wykrywania prb skanowania TCP FIN ................................................... 100
Zabezpieczenie nr 22. Wykorzystanie zapory sieciowej IPTables
do blokowania prb skanowania TCP FIN .................................................... 101
Skanowanie TCP ACK ..................................................................................... 103
do wykrywania prb skanowania TCP ACK ................................................. 104
do blokowania prb skanowania TCP ACK .................................................. 104
Skanowanie TCP NULL ................................................................................... 105
do wykrywania prb skanowania TCP NULL ............................................... 105
do blokowania prb skanowania TCP NULL ................................................ 105
Skanowanie TCP XMAS .................................................................................. 106
do wykrywania prb skanowania TCP XMAS .............................................. 106
do blokowania prb skanowania TCP XMAS ............................................... 107
Skanowanie FTP-bounce .................................................................................. 107
Zabezpieczenie nr 29. Obrona przed skanowaniem FTP-bounce...................... 110
Spis treci
5
Zabezpieczenie nr 30. Narzdzie Portsentry jako obrona
przed skanowaniem portw w systemie Linux .............................................. 111
Przeprowadzenie prby skanowania portw komputera
zabezpieczonego przez Portsentry ................................................................. 115
Zabezpieczenie nr 31. Osobiste zapory sieciowe jako obrona
przed skanowaniem portw w systemach Windows ...................................... 116
Skanowanie UDP.............................................................................................. 128
do blokowania prb skanowania pakietami UDP .......................................... 129
Skanowanie ICMP ............................................................................................ 129
do blokowania prb skanowania pakietami ICMP......................................... 129
Techniki ukrywania przez napastnika skanowania portw...................................... 130
Metody wykrywania systemu operacyjnego (ang. OS fingerprinting) .......................... 131
Pasywne wykrywanie systemu operacyjnego.......................................................... 131
Pasywna analiza stosu TCP/IP.......................................................................... 132
Aktywne wykrywanie systemu operacyjnego ......................................................... 134
Zabezpieczenie nr 34. Zmiana parametrw stosu TCP/IP
w systemie Linux w celu utrudnienia fingerprintingu.................................... 136
IP-spoofing.................................................................................................................... 137
Zabezpieczenie nr 35. Filtrowanie ruchu na zaporze sieciowej
jako zabezpieczenie przed atakami wykorzystujcymi IP-spoofing .............. 137
Zabezpieczenie nr 36. Weryfikacja adresu rdowego
za pomoc funkcji rp_filter ............................................................................ 141
Atak wyboru trasy (ang. Source routing)....................................................................... 142
Zabezpieczenie nr 37. Wyczenie opcji source routing ................................... 142
Zabezpieczenie nr 38. Wykorzystanie uwierzytelniania RIPv2
jako ochrona przed atakami na routery .......................................................... 143
Rozdzia 3. Metody obrony przed atakami DoS i DDoS ...................................... 155

Ataki DoS...................................................................................................................... 155
Ping of Death .......................................................................................................... 156
Zabezpieczenie nr 39. Ochrona przed atakiem Ping of Death
za pomoc filtrowania na zaporze sieciowej.................................................. 156
Teardrop.................................................................................................................. 157
Zabezpieczenie nr 40. Ochrona przed atakiem teardrop
za pomoc systemu Snort .............................................................................. 158
za pomoc filtrowania pakietw .................................................................... 158
Atak SYN-flood ...................................................................................................... 158
Zabezpieczenie nr 42. Ochrona przed atakiem SYN-flood
wychodzcym z naszej sieci za pomoc zapory sieciowej............................. 159
Zabezpieczenie nr 43. Ochrona przed atakami SYN- flood i Naptha
na usugi w naszej sieci za pomoc iptables .................................................. 160
Atak Land................................................................................................................ 160
Zabezpieczenie nr 44. Ochrona przed atakiem Land
za pomoc programu Snort ............................................................................ 161
za pomoc programu Snort (regua systemu IDS) ......................................... 162
Atak Naptha ............................................................................................................ 162
do wykrywania ataku Naptha......................................................................... 164

Atak Smurf.............................................................................................................. 165
Zabezpieczenie nr 47. Ochrona od strony porednika przed atakiem Smurf
za pomoc zapory sieciowej .......................................................................... 167
Zabezpieczenie nr 48. Ochrona przed atakiem Smurf od strony ofiary
UDP-flood (Pepsi) ............................................................................................... 168
Zabezpieczenie nr 49. Ochrona przed atakiem Pepsi
Zabezpieczenie nr 50. Ochrona przed atakiem Pepsi
Smbnuke ................................................................................................................. 170
Zabezpieczenie nr 51. Ochrona przed atakiem Smbnuke
za pomoc filtra pakietw.............................................................................. 170
Zabezpieczenie nr 52. Ochrona przed atakiem Smbnuke
Zalewanie maszyny poczeniami na okrelonym porcie Connection-flood...... 171
Zabezpieczenie nr 53. Ochrona przed atakiem Connection-flood
Fraggle .................................................................................................................... 173
Zabezpieczenie nr 54. Ochrona przed atakiem fraggle
Jolt........................................................................................................................... 175
Zabezpieczenie nr 55. Ochrona przed atakiem Jolt
Zabezpieczenie nr 56. Ochrona przed atakiem Jolt
Rozproszone ataki typu odmowa usugi (DDoS) ....................................................... 175
Faza powstawania sieci DDoS .......................................................................... 178
Waciwa faza ataku ......................................................................................... 179
Szczegowa charakterystyka atakw DDoS .......................................................... 179
Atak Trinoo....................................................................................................... 179
Atak Tribe Flood Network................................................................................ 180
Atak TFN 2000 ................................................................................................. 180
Atak Stacheldraht (drut kolczasty).................................................................... 181
Atak Shaft ......................................................................................................... 181
Atak Mstream ................................................................................................... 182
Obrona przed atakami DDoS......................................................................................... 182
Zabezpieczenie nr 57. Rczne wykrywanie i usuwanie demona Wintrinoo...... 183
Zabezpieczenie nr 58. Wykrywanie demona Wintrinoo
za pomoc programu wtrinscan ..................................................................... 184
Zabezpieczenie nr 59. Wykrywanie narzdzi DDoS
za pomoc programu Zombie Zapper ............................................................ 184
Zabezpieczenie nr 60. Wykrywanie demona trinoo
za pomoc programu wtrinscan ..................................................................... 186
Zabezpieczenie nr 61. Wykrywanie i unieszkodliwianie demona trinoo
narzdziem netcat .......................................................................................... 187
Zabezpieczenie nr 62. Wykrywanie demona i wza Trinoo
za pomoc programu find_ddos..................................................................... 191
Zabezpieczenie nr 63. Zdalne i lokalne usuwanie z systemu demona Trinoo... 192
za pomoc programu DDoSPing.................................................................... 193
przez analiz ruchu sieciowego...................................................................... 195
Spis treci
7
do wykrywania ataku Trinoo ......................................................................... 200
do wykrywania ataku Tribe Flood Network .................................................. 204
do wykrywania ataku Tribe Flood Network 2000.......................................... 204
do wykrywania ataku Stacheldraht ................................................................ 205
do wykrywania ataku Shaft............................................................................ 205
do wykrywania ataku Mstream ...................................................................... 206
Rozdzia 4. Obrona przed atakami w warstwie procesw i aplikacji

oraz atakami przeciwko systemom i aplikacjom sieciowym ............. 209
Robaki, wirusy, spyware ............................................................................................... 210
Zabezpieczenie nr 72. Wykrywanie programw typu rootkit
w systemie Linux ........................................................................................... 211
Zabezpieczenie nr 73. Lokalne wykrywanie koni trojaskich .......................... 212
Zabezpieczenie nr 74. Wykrywanie modyfikacji plikw
z zapisem logowania uytkownikw w systemie Linux ................................ 216
DNS-spoofing i ataki Man-in-the-Middle na sesje szyfrowane..................................... 217
DNS-spoofing ............................................................................................................... 218
Zabezpieczenie nr 75. Ochrona przed atakiem DNS-spoofing
za pomoc statycznych odwzorowa nazw.................................................... 220
Zabezpieczenie nr 76. Ochrona przed niechcianymi banerami,
plikami cookies za pomoc odwzorowa w pliku hosts ................................ 221
Zabezpieczenie nr 77. Obrona przed atakiem Man-in-The-Middle................... 221
amanie hase................................................................................................................ 229
Proces logowania .................................................................................................... 229
Narzdzia do amania hase..................................................................................... 230
L0pht Crack ...................................................................................................... 230
John the Ripper ................................................................................................. 230
amacz 1.1........................................................................................................ 230
Advanced ZIP Password Recovery ................................................................... 231
Zdalne odgadywanie hase uytkownika................................................................. 234
Zabezpieczenie nr 78. Polityka silnych hase.................................................... 235
Zabezpieczenie nr 79. Hasa jednorazowe ........................................................ 238
Przykad implementacji hase jednorazowych w systemie Knoppix 3.4
z wykorzystaniem usugi SSH ....................................................................... 243
Zabezpieczenie nr 80. Bezpieczne uwierzytelnianie
za pomoc serwera RADIUS ......................................................................... 247
Zabezpieczenie nr 81. Bezpieczne uwierzytelnianie
za pomoc protokou Kerberos ...................................................................... 249
SPAM i ataki na usugi pocztowe.................................................................................. 251
Zabezpieczenie nr 82. Uwierzytelnianie uytkownika kocowego SMTP
oraz ograniczenia na wysyane listy............................................................... 252
Zabezpieczenie nr 83. Szyfrowana transmisja POP (IMAP) i SMTP ............... 253
Zabezpieczenie nr 84. Zamykanie przekanika (relay) ..................................... 254
Zabezpieczenie nr 85. Filtrowanie poczty przychodzcej ................................. 255
Zabezpieczenie nr 86. Programy kontroli rodzicielskiej ................................... 257
Przykadowa konfiguracja programu Cyber Patrol ........................................... 259
Zabezpieczenie nr 87. Usuwanie lub faszowanie etykiet
wywietlanych przez usugi sieciowe ............................................................ 264

Protok DHCP ............................................................................................................. 267
Zabezpieczenie nr 88. Zabezpieczenie klienta przed nielegalnym
serwerem DHCP w sieci ................................................................................ 268
Zabezpieczenie nr 89. Alokacja manualna adresw DHCP .............................. 270
Zabezpieczenie nr 90. Honeypot....................................................................... 274
Zabezpieczenie nr 91. Zabezpieczenie przed atakiem buffer overflow
za pomoc biblioteki libsafe .......................................................................... 287
Rozdzia 5. Dziesi dobrych rad dla administratora ......................................... 291

Zabezpieczenie 92. Wykonuj regularnie kopie bezpieczestwa........................ 291
Uaktualnianie systemu Windows ............................................................................ 294
Zabezpieczenie 93. Uaktualnij swj system...................................................... 294
Uaktualnianie systemu Linux (dystrybucja Knoppix 3.4) ....................................... 304
APT narzdzie do zarzdzania pakietami..................................................... 309
Uaktualnianie systemw Novell NetWare .............................................................. 314
Integralno systemu plikw ................................................................................... 322
Zabezpieczenie 94. Sprawd integralno systemu plikw............................... 322
Program FastSum w systemach Windows............................................................... 338
Zabezpieczenie 95. Ogranicz fizyczny dostp do serwera ................................ 340
Zabezpieczenie 96. wykonuj i czytaj logi systemowe.................................. 342
Analiza logw systemowych w systemie Linux...................................................... 342
Zabezpieczenie 97. Wykonaj audyt bezpieczestwa......................................... 353
Zabezpieczenie 98. Zaszyfruj swj system plikw ........................................... 375
Zabezpieczenie 99. Skorzystaj z internetowych serwisw skanujcych ........... 378
Kontrola dostpu do usug....................................................................................... 382
Zabezpieczenie 100. Ogranicz zakres wiadczonych usug .............................. 382
Zabezpieczenie 101. Zarzdzaj pasmem ........................................................... 389
Podsumowanie ........................................................................................................ 400
Dodatek A Podstawy komunikacji sieciowej .................................................... 401

Pojcia podstawowe ...................................................................................................... 401
Modele czenia systemw............................................................................................ 404
Model referencyjny ISO/OSI warstwy: fizyczna i czenia danych,
protokoy z rodziny Ethernet...................................................................................... 407
Model referencyjny ISO/OSI warstwa sieciowa, protok IP, hermetyzacja............ 419
Model referencyjny ISO/OSI warstwa transportowa, protokoy TCP i UDP,
stos protokow TCP/IP ............................................................................................. 432
Model referencyjny ISO/OSI warstwy: sesji, prezentacji i aplikacji,
protokoy warstw wyszych ....................................................................................... 439
Dodatek B Zapory sieciowe ............................................................................ 451

Technologie zapr sieciowych ...................................................................................... 453
Filtrowanie pakietw (ang. packet filtering) ........................................................... 453
Usugi poredniczenia (proxy) ................................................................................ 458
Proxy warstwy aplikacji (ang. application-level proxies) ................................. 459
Proxy obwodowe (ang. circuit level gateway) .................................................. 460
Translacja adresw sieciowych (ang. Network Address Translation NAT) ....... 461
Wirtualne sieci prywatne (ang. Virtual Private Network VPN) ......................... 463
Architektury zapr sieciowych...................................................................................... 467
Router ekranujcy (ang. screening router) .............................................................. 467
Host dwusieciowy (ang. dual-homed host) ............................................................. 467
Host bastionowy (ang. bastion host) ....................................................................... 468
Ekranowany host (ang. screened host) .................................................................... 469
Ekranowana podsie (ang. screened subnet) ........................................................... 470
Spis treci
9
Host trzysieciowy (ang. tri-homed host) ................................................................. 471
Wiele ekranowanych podsieci (ang. split-screened subnet) .................................... 471
Dwa popularne filtry pakietw: Ipfilter i Iptables ......................................................... 472
Ipfilter ..................................................................................................................... 472
IPtables.................................................................................................................... 484
Przygotowanie skryptu z reguami filtrowania.................................................. 491
Konfiguracja systemu linux Redhat 9.0 ............................................................ 493
Konfiguracja systemu Linux Knoppix .............................................................. 494
Dodatek C Systemy wykrywania intruzw IDS.................................................. 497

Techniki wykrywania intruzw stosowane w systemach IDS ....................................... 498
Sygnatury (dopasowywanie wzorcw).................................................................... 498
Badanie czstoci zdarze i przekraczania ich limitw w okrelonej jednostce czasu ... 499
Wykrywanie anomalii statystycznych ..................................................................... 499
Zaawansowane techniki detekcji intruzw.............................................................. 499
Budowa, dziaanie i umieszczanie systemu IDS w sieci................................................ 500
Budowa i dziaanie systemu .................................................................................... 500
Umieszczanie systemu w sieci ................................................................................ 501
Klasyfikacja systemw IDS .................................................................................... 502
Budowa i zasada dziaania programu Snort................................................................... 503
Zasada dziaania...................................................................................................... 503
Preprocesory............................................................................................................ 504
Moliwoci wykrywania atakw oferowane przez SNORT-a................................. 504
Zasady tworzenia regu dla programu Snort............................................................ 504
Podzia atakw na klasy.................................................................................... 509
Reakcja na ataki ................................................................................................ 511
Reakcja na typowy atak, wykrycie i zapis skanowania portw......................... 511
Zdalne logowanie na uytkownika root ............................................................ 512
Statystyki oferowane przez Snorta.................................................................... 512
Konfiguracja systemu dynamicznie reagujcego na wamania...................................... 516
Konfiguracja i uruchomienie Snorta ....................................................................... 516
Sniffer ............................................................................................................... 516
Logowanie pakietw ......................................................................................... 517
NIDS................................................................................................................. 518
Wykrywanie i dynamiczna reakcja ................................................................... 521
Podsumowanie ........................................................................................................ 524
Dodatek D Instalowanie systemu Knoppix 3.4. na dysku twardym.................... 525

Zakoczenie.................................................................................. 529
Bibliografia .................................................................................... 531
Skorowidz...................................................................................... 539
Rozdzia 3.
Metody obrony
przed atakami DoS i DDoS
Jednym z najbardziej niebezpiecznych, a zarazem popularnych, zagroe w sieciach
komputerowych s ataki DoS (ang. Denial of Service, odmowa usug) w tym ich odmiana ataki DDoS (ang. Distributed Denial of Service, rozproszone ataki odmowa usugi). Ich celem jest unieruchomienie atakowanego serwisu (na przykad serwera
WWW, DNS czy caej atakowanej sieci) za pomoc rnych mechanizmw wykorzystujcych zarwno luki konkretnych systemw operacyjnych, jak i niedocignicia
stosu TCP/IP. Ataki DoS (pominwszy pobudki czysto chuligaskie) mog by podejmowane jako cz szerszych dziaa majcych na celu oszustwo, spenetrowanie
cudzych zasobw bd przejcie nad nimi kontroli (na przykad zablokowanie prawdziwego DNS-a moe by pomocne podczas prowadzenia ataku DNS-spoofing).
Obrona przed atakami DoS sprowadza si przede wszystkim do zainstalowania odpowiednich at na znane luki w systemach operacyjnych oraz do odfiltrowania na zaporze sieciowej pakietw nioscych atak. Do wykrycia atakw DoS i DDoS najlepiej
posuy si analizatorami ruchu sieciowego oraz systemami IDS. W tym rozdziale
zaprezentujemy szereg najpopularniejszych atakw DoS i DDoS oraz sposoby obrony
przed nimi. Jako zapor sieciow wykorzystywalimy linuksowy program iptables, za jako systemu IDS uywalimy Snorta (odpowiednie reguy zostay wzite z aktualnych
w chwili pisania ksiki baz Snorta). Opis instalacji i wykorzystania obu pakietw mona
znale w dodatkach. Zachcamy Czytelnika, aby na podstawie niniejszego rozdziau
sprbowa samodzielnie skonfigurowa zapor sieciow wraz z systemem detekcji intruzw i dynamicznej reakcji (za pomoc opisanego w dodatku C. programu Guardian).
Ataki DoS
Ataki typu DoS generuj duy ruch, co powoduje zaburzanie lub cakowite zablokowanie pracy normalnych aplikacji sieciowych, lub te wykorzystuj sabe punkty stosu protokow TCP/IP dla unieruchomienia atakowanego systemu lub zaburzenia jego
156
dziaania. Niektre z nich s moliwe do przeprowadzenia, poniewa hosty sieciowe przy uwierzytelnianiu polegaj tylko na rdowym adresie IP. Inne istniej, dlatego
e niektre mechanizmy kontrolne i wikszo protokow routingu stosuje sabe metody uwierzytelniania rda, z ktrego pochodzi informacja, bd w ogle ich nie uywa.
Ataki DOS moemy podzieli na trzy grupy:
ataki bazujce na implementacji stosu TCP/IP. Ataki tego typu wykorzystuj
saboci w specyfikacji TCP/IP w konkretnym systemie operacyjnym.

Przykadami atakw z tej grupy jest Ping of Death, Teardrop, Smbnuke;
ataki bazujce na standardach TCP/IP. Ataki tego typu wykorzystuj saboci
w samych standardach stosu TCP/IP. Przykadami atakw z tej grupy s SYN

attack oraz Land;
Ataki wykorzystujce tzw. brutaln si (ang. brute force). Ataki tego typu
generuj duy ruch, ktry zajmuje pasmo sieciowe. Przykadami atakw tego
typu s Smurf, Fraggle.
Ping of Death
Ping of Death jest do prostym atakiem. Standardy opisujce stos TCP/IP okrelaj
maksymaln wielko datagramu IP na 65536 bajtw. Wiele systemw, szczeglnie
starsze wersje systemw uniksowych i linuksowych, moe ulec uszkodzeniu, zawiesi
si albo zrestartowa, jeli otrzyma datagram IP wikszy od moliwego maksymalnego rozmiaru. Podczas tego ataku tworzony jest i wysyany do systemu ofiary pakiet
ping przekraczajcy 65536 bajtw.
Zabezpieczenie nr 39. Ochrona przed atakiem Ping of Death

za pomoc filtrowania na zaporze sieciowej
Jeeli w sieci istniej starsze wersje systemw operacyjnych, podatnych na atak Ping
of Death, powinnimy zadba o cignicie odpowiednich aktualizacji. Jeeli z jakich
wzgldw system taki nie moe by uaktualniony do nowszej wersji, najlepsz metod
obrony jest zabezpieczenie dostpu do takiej stacji za pomoc reguy zapory sieciowej. Regua ta moe by zastosowana na routerze, przez ktry mona uzyska dostp
z zewntrz do tej stacji. Regu tej skadni pokazano na rysunku 3.1.
Rysunek 3.1. Regua zapory sieciowej dopuszczajca pakiety ICMP Echo request o wielkoci od 60 do
65535 bajtw
Rozdzia 3. Metody obrony przed atakami DoS i DDoS
157
Powysza regua przepuszcza tylko pakiety ICMP Echo Request, ktrych rozmiary
mieszcz si w zakresie od 60 bajtw do 65535 bajtw.
Teardrop
Atak teardrop wykorzystuje sabo w procesie skadania po stronie odbiorcy datagramw IP z poszczeglnych fragmentw. Podczas transmisji w sieci publicznej datagram IP przechodzi przez rne routery i sieci, w szczeglnoci takie, w ktrych
maksymalny rozmiar ramki moe by mniejszy ni rozmiar datagramu. W takim
przypadku datagram moe zosta podzielony na mniejsze fragmenty. Kady fragment
zawiera pole offset field, w ktrym wpisana jest informacja pozwalajca na prawidow defragmentacj pakietu. Urzdzenie odbierajce fragmenty skada je w oryginalny
datagram IP uywajc do tego wartoci w polu offset field. Podczas przeprowadzania
ataku teardrop s wysyane serie datagramw IP z nachodzcymi na siebie wartociami w polach offset field. Kiedy system odbiorcy stara si poskada fragment
w cao, zawiesza si bd ulega uszkodzeniu.
Na rysunku 3.2 przedstawiono sposb przeprowadzenia tego ataku. W naszym przypadku pakiety byy wysyane na port 69 komputera o adresie 172.16.30.1.
Rysunek 3.2.
Przykad
przeprowadzenia
ataku Teardrop
Na rysunku 3.3 pokazano przechwycone za pomoc sniffera pakiety generowane podczas tego ataku. Jak wida, s one pofragmentowane.
Rysunek 3.3. Pofragmentowane pakiety generowane podczas ataku Teardrop
158

za pomoc systemu Snort
Najlepsz ochron przeciwko temu atakowi jest sprawdzenie, czy dla naszego systemu operacyjnego istniej aktualizacje przeciwdziaajce atakowi i czy s one zainstalowane. Oczywicie mona zastosowa do ochrony odpowiedni regu systemu
IDS. Poniej przedstawiono regu wykrywajc pofragmentowane pakiety pochodzce
z ataku teardrop:

!"#$%
Wykrycie ataku przez Snorta, a nastpnie dynamiczna reakcja za pomoc zapory sieciowej pozwoli na zabezpieczenie si przed tego typu pakietami. Poszczeglne opcje
w regule przytoczonej wczeniej oznaczaj, e alarm ma by ogoszony w przypadku
wykrycia pofragmentowanego (fragbits:M;) ruchu UDP z dowolnego adresu na dowolny adres (alert udp any any -> any any). Pola Id oraz Sid wskazuj indeks reguy
w bazie danych Snorta (ta regua, jak i kolejne przedstawione poniej, zostay zaczerpnite
z najnowszej w chwili pisania ksiki bazy programu Snort).

za pomoc filtrowania pakietw
Drug metod ochrony przed atakiem Teardrop jest odpowiednia filtracja pakietw.
W celu zabezpieczenia si przed tym atakiem naley odrzuci wszystkie przychodzce do naszej sieci lub komputera pofragmentowane datagramy UDP. Odpowiedni
regu zapory sieciowej zabezpieczajc przechodzenie przez bram do internetu pofragmentowanych datagramw UDP zaprezentowano na rysunku 3.4.
Rysunek 3.4.
Regua zapory
sieciowej
zabezpieczajca
przed atakiem
teardrop
Atak SYN-flood
Atak SYN-flood wykorzystuje moment nawizania poczenia TCP midzy dwoma
hostami. Kiedy klient w sieci z implementowanym stosem TCP/IP chce nawiza
poczenie z serwerem, nastpuje tzw. three-way-handshake. Skada si on z trzech faz:
1. Klient wysya segment tcp z flag SYN do serwera.
159
2. Serwer potwierdza odebranie segmentu SYN od klienta przez wysanie
segmentu z ustawionymi flagami SYN i ACK.

3. Klient odpowiada serwerowi segmentem z ustawion flag ACK.
Wykonanie tych trzech krokw powoduje ustanowienie poczenia i od tej chwili dane mog by ju wymieniane midzy nadawc i odbiorc. Kade wysanie segmentu
z flag SYN na otwarty port u odbiorcy wymusza na nim odpowied przez odesanie
SYN i ACK i oczekiwanie na potwierdzenie od nadawcy flag ACK. SYN-flood polega na zalewaniu systemu odbiorczego segmentami TCP z ustawiona flag SYN
spod faszywych adresw IP. W tym przypadku ostateczna odpowied (ACK od
klienta) nigdy nie nadejdzie, poniewa odbiorca wysya segment z flagami SYN i ACK
pod faszywy adres IP. Podczas gdy system odbiorcy czeka na potwierdzenie ACK,
ktre nigdy nie przyjdzie, zapisuje wszystkie segmenty SYN i ACK, na ktre nie odpowiedzia w swojej kolejce, zwykle do maej. Po zapenieniu tej kolejki system
odbiorcy bdzie ignorowa wszystkie nowe prby nawizania poczenia SYN. Segmenty z flagami SYN-ACK opuszczaj kolejk w momencie, gdy zostanie odebrane
potwierdzenie ACK od nadawcy albo upynie czas oczekiwania na to potwierdzenie
timeout. Przez ten czas system nie pozwoli na nawizywanie nowych pocze.
Zabezpieczenie nr 42. Ochrona przed atakiem SYN-flood

wychodzcym z naszej sieci za pomoc zapory sieciowej
W celu przeciwdziaania tego typu atakom naley tak skonfigurowa zapor sieciow,
aby pakiety opuszczajce j i wychodzce z naszej wewntrznej sieci zawieray adres
IP rdowy pochodzcy tylko z naszej wewntrznej sieci. To spowoduje, e adresy
IP nie bd mogy by faszowane (podmieniane). Aby zabezpieczy si przed wychodzeniem tego typu pakietw z wntrza naszej sieci, przy zaoeniu, e w naszej
sieci s adresy publiczne z sieci 212.51.2.0/24, naley zastosowa na routerze regu
zapory sieciowej przedstawion na rysunku 3.5.
Rysunek 3.5.
Regua blokujca
wychodzenie
z naszej sieci
pakietw ze
zmienionymi
adresami
rdowymi
Znak () oznacza negacj. W tym przypadku bd przepuszczane tylko pakiety z adresami
rdowymi pochodzcymi z sieci 212.51.2.0/24, pozostae bd odrzucane.
W przypadku sieci lokalnej z prywatn pul adresw np. 10.13.0.0/16, ktra jest ukryta za
NAT-em, aby uchroni si przed atakiem SYN z wntrza naszej sieci, naley dokonywa
translacji tylko dla adresw z naszej sieci lokalnej. Sposb dokonywania translacji adresu
rdowego tylko dla adresw z naszej sieci przedstawiono na rysunku 3.6.
160
Rysunek 3.6.
Translacja
adresw tylko
z prywatnej puli
W celu ograniczenia uytkownikom w sieci moliwo nawizywania duej liczby

pocze (segmentw tcp z ustawion flag SYN) moemy uy reguy, ktra spowoduje, e kady uytkownik o danym adresie IP bdzie mg nawiza z wntrza naszej sieci tylko 9 pocze w cigu 1s.
&'() *
#+,-./
Zabezpieczenie nr 43. Ochrona przed atakami SYN- flood i Naptha

na usugi w naszej sieci za pomoc iptables
Jeeli chcemy ochroni nasze serwisy dostpne z internetu przed atakami SYN-flood
oraz Naptha, powinnimy zastosowa reguy filtrujce ograniczajce liczb moliwych pocze w cigu sekundy z naszymi serwerami. Na rysunku 3.7 pokazano regu pozwalajc na wykonanie 3 pocze w cigu sekundy.
Rysunek 3.7. Ograniczenie liczby pocze z usugami do 3 na sekund
Atak Land
Atak Land jest podobny do ataku SYN. Tak jak w przypadku ataku SYN, wysyane s
do systemu odbiorcy segmenty z ustawion flag synchronizacji, jednak, podczas gdy
w ataku SYN adres IP nadawcy jest nieosigalny lub jego komputer jest wyczony,
atak Land podmienia adres rdowy na taki sam, jak adres odbiorcy. Serwer odbierajc tak spreparowany pakiet wysya potwierdzenie (pakiet z bitem ACK) na wasny
adres i nawizuje nieaktywne poczenie zaptla swoje dziaanie. Likwidacja nieaktywnego poczenia nastpuje dopiero po upywie czasu ustalonego w systemie
operacyjnym serwera dla nieaktywnych pocze.
Na rysunku 3.8 zaprezentowano sposb przeprowadzenia tego ataku.
161
Rysunek 3.8.
Przeprowadzenie
ataku Land
W wyniku przeprowadzenia ataku zosta wysany charakterystyczny pakiet. Jak wida,

adres rdowy i adres docelowy wskazuj na ten sam komputer (rysunek 3.9).
Rysunek 3.9.
Pakiet generowany
podczas ataku Land

za pomoc programu Snort
Chocia atak tego typu nie jest stary, wikszo systemw operacyjnych jest wyposaona w aty zabezpieczajce przed nim. Jak w przypadku wszystkich atakw DoS,
naley pamita o instalowaniu zawsze odpowiednich at bd o sprawdzeniu, czy system nie jest ju wyposaony w odpowiednie zabezpieczenie. Inn metod obrony
przed atakiem Land jest ustawienie odpowiednich filtrw na zaporze sieciowej. Maj
one za zadanie odrzucenie wszystkich przychodzcych datagramw IP z bdnymi adresami IP, czyli przychodzcych z zewntrz do naszej zapory sieciowej datagramw,
ktrych adres rdowy wskazuje, e pochodz z naszej wewntrznej sieci lokalnej.
Zabezpieczeniem bdzie wic odpowiednia filtracja pakietw. Wrd znanych rdowych adresw IP powinnimy odfiltrowywa nastpujce:
10.0.0.0 to 10.255.255.255,
172.16.0.0 to 172.31.255.255,
192.168.0.0 to 192.168.255.255,
czyli adresy nalece do sieci prywatnych oraz

127.0.0.0 to 127.255.255.255 (adresy ptli zwrotnej).
Przykadow regu odrzucajc przychodzce z zewntrz do naszej sieci pakiety

z prywatnymi adresami z klasy 10.0.0.0/8 przedstawiono na rysunku 3.10.
Rysunek 3.10.
Regua zapory
sieciowej, ktra
nie wpuszcza
do wntrza naszej
sieci pakietw
z adresami IP
z prywatnej sieci
10.0.0.0/8
162

za pomoc programu Snort (regua systemu IDS)
Aby chroni si przed atakiem Land, moemy te wykorzysta regu systemu IDS.
Regu t pokazano poniej:
*

0
123$3
423$3$+#+%
Atak Naptha
Atak ten dziaa podobnie do ataku SYN-flood. Rwnie wykorzystuje moment nawizywania poczenia TCP midzy klientem i serwerem i, analogicznie do ataku
SYN-flood, jego zadaniem jest zajcie caej kolejki pocze serwera i uniemoliwienie korzystania z danej usugi. Rnica w stosunku do zalewania segmentami SYN
polega na tym, e atakujcy wysya pakiety SYN na okrelony port komputera ofiary
i oczekuje na powracajce pakiety SYN/ACK (w przypadku ataku SYN-flood atakujcy wysya tylko pakiety SYN i nic wicej nie robi). Jeli atakujcy zauway pakiety
powrotne SYN/ACK, wysya do ofiary segment z ustawionymi flagami FIN/ACK.
Powoduje to przestawienie serwera w stan tzw. pasywnego zamknicia. Wynika on
std, e serwer po odebraniu segmentu FIN/ACK odsya pakiet FIN i czeka na pakiet
ACK, ktrego nigdy nie otrzymuje. Serwer przechodzi w stan LAST_ACK i oczekuje
na przyjcie ostatniego segmentu ACK. W systemie Windows 98 stan ten utrzymywany jest przez okoo dwie minuty. W tym czasie serwer odrzuca wszelkie prby nawizania z nim poczenia sieciowego (dopty bdzie ignorowa wszystkie pakiety
SYN, dopki nie zwolni si miejsce w kolejce). Zalewajc w ten sposb ofiar sfaszowanymi segmentami SYN atakujcy skutecznie blokuje moliwo korzystania
z danej usugi.
Ograniczeniem tego ataku jest fakt, e napastnik musi generujc faszywe pakiety
SYN podszywa si w nich pod adresy IP z wasnej sieci. Jest to wymg konieczny, aby powracajce od zaatakowanej maszyny pakiety SYN/ACK mogy by zauwaone przez napastnika i tym samym, by mg on wysya poprawnie zbudowane pakiety FIN/ACK. Napastnik musi w pakiecie SYN/ACK odczyta numer sekwencyjny
i na jego podstawie zbudowa poprawny dla ofiary pakiet FIN/ACK. Wysyanie pakietw FIN/ACK z ustawionym niepoprawnym numerem sekwencyjnym zakoczy
si niepowodzeniem, poniewa port ofiary stwierdzi, e pakiety takie nie nale do
danego poczenia.
Na poniszym listingu pokazano sposb przeprowadzania ataku:

15(

15(6&78

&7869'(
Systemy podatne na ten atak to:

Microsoft Windows 95,
Microsoft Windows 98,
163
Microsoft Windows 98SE,

Microsoft Windows Millennium,
Windows NT 4.0,
HP-UX 11,
IBM AIX 4.3,
Sun Solaris 7-8,
FreeBSD 4.0 wersja RELEASE,
RedHat Linux 6.1 7.0,
Systemy Linux oparte na jdrze z serii 2.0.
Na rysunku 3.11 przedstawiono stany pocze na porcie 139. serwera po wykonaniu

ataku SYN-flood w systemie Windows 98. Na kolejnym (rysunek 3.12) dla porwnania
wida stany pocze, ale po wykonaniu ataku Naptha. List takich stanw uzyskano po
wydaniu polecenia .
Rysunek 3.11.
Stany pocze
serwera
po wykonaniu
ataku SYN-flood
Rysunek 3.12.
Stany pocze
serwera
po wykonaniu
ataku Naptha
Po wykonaniu ataku Naptha prba poczenia si z usug na porcie 139. zakoczy

si niepowodzeniem (rysunek 3.13).
164
Rysunek 3.13.
Prba
ustanowienia
poczenia
z portem 139
ofiary po
wykonaniu
ataku naptha

101 Zabezpieczeń Przed Atakami W Sieci Komputerowej

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

101 Zabezpieczeń Przed Atakami W Sieci Komputerowej

Uploaded by

Copyright:

Available Formats

IDZ DO

Chyba kada sie komputerowa na wiecie bya ju atakowana przez hakerw.

101 zabezpiecze przed atakami w sieci komputerowej

Rozdzia 2. Metody obrony przed atakami prowadzonymi

Rozdzia 3. Metody obrony przed atakami DoS i DDoS ...................................... 155

101 zabezpiecze przed atakami w sieci komputerowej

Rozdzia 4. Obrona przed atakami w warstwie procesw i aplikacji

101 zabezpiecze przed atakami w sieci komputerowej

Rozdzia 5. Dziesi dobrych rad dla administratora ......................................... 291

Dodatek A Podstawy komunikacji sieciowej .................................................... 401

Dodatek B Zapory sieciowe ............................................................................ 451

Dodatek C Systemy wykrywania intruzw IDS.................................................. 497

Dodatek D Instalowanie systemu Knoppix 3.4. na dysku twardym.................... 525

101 zabezpiecze przed atakami w sieci komputerowej

saboci w specyfikacji TCP/IP w konkretnym systemie operacyjnym.

w samych standardach stosu TCP/IP. Przykadami atakw z tej grupy s SYN

Zabezpieczenie nr 39. Ochrona przed atakiem Ping of Death

Rozdzia 3. Metody obrony przed atakami DoS i DDoS

Rysunek 3.3. Pofragmentowane pakiety generowane podczas ataku Teardrop

101 zabezpiecze przed atakami w sieci komputerowej

Zabezpieczenie nr 40. Ochrona przed atakiem teardrop

Zabezpieczenie nr 41. Ochrona przed atakiem teardrop

Rozdzia 3. Metody obrony przed atakami DoS i DDoS

2. Serwer potwierdza odebranie segmentu SYN od klienta przez wysanie

segmentu z ustawionymi flagami SYN i ACK.

Zabezpieczenie nr 42. Ochrona przed atakiem SYN-flood

101 zabezpiecze przed atakami w sieci komputerowej

W celu ograniczenia uytkownikom w sieci moliwo nawizywania duej liczby

Zabezpieczenie nr 43. Ochrona przed atakami SYN- flood i Naptha

Rysunek 3.7. Ograniczenie liczby pocze z usugami do 3 na sekund

Rozdzia 3. Metody obrony przed atakami DoS i DDoS

W wyniku przeprowadzenia ataku zosta wysany charakterystyczny pakiet. Jak wida,

Zabezpieczenie nr 44. Ochrona przed atakiem Land

czyli adresy nalece do sieci prywatnych oraz

Przykadow regu odrzucajc przychodzce z zewntrz do naszej sieci pakiety

101 zabezpiecze przed atakami w sieci komputerowej

Zabezpieczenie nr 45. Ochrona przed atakiem Land

Systemy podatne na ten atak to:

Rozdzia 3. Metody obrony przed atakami DoS i DDoS

Microsoft Windows 98SE,

Na rysunku 3.11 przedstawiono stany pocze na porcie 139. serwera po wykonaniu

Po wykonaniu ataku Naptha prba poczenia si z usug na porcie 139. zakoczy

101 zabezpiecze przed atakami w sieci komputerowej

You might also like

Chyba kada sie komputerowa na wiecie bya ju atakowana przez hakerw.