Читайте также:
|
Угроза внедрения ложного доверенного объекта в систему является активным воздействием, совершаемым с целью нарушения конфиденциальности и целостности информации.
Рассмотрим два известных способа [30] реализации угрозы внедрения ложного доверенного объекта (применительно к Internet):
1. внедрение ложного объекта путем использования недостатков алгоритмов удаленного поиска:
· ARP spoofing – подмена таблицы преобразования адресов при использовании широковещательного ARP-запроса
· DNS spoofing – подмена сервера доменной системы имён
2. IP-spoofing – внедрение ложного объекта путем навязывания ложного маршрута.
Рассмотрим более подробно первый вид атаки основанной на недостатках алгоритмов удаленного поиска – ARP spoofing (создание ложного ARP-сервера). Для адресации на сетевом (IP) уровне в сети Internet каждый хост имеет уникальный IP-адрес [30]. Для передачи IP-пакета на хост необходимо указать в IP-заголовке пакета в специальном поле IP-адрес хоста получателя. Однако IP-пакет находится внутри аппаратного пакета (Ethernet-пакета), поэтому каждый пакет в сетях любого типа и с любыми протоколами обмена, в конечном счете, адресуется на аппаратный адрес сетевого адаптера, непосредственно осуществляющего прием и передачу пакетов в сеть. В этой связи, для адресации IP-пакетов в сети Internet кроме IP-адреса хоста необходим еще либо Ethernet-адрес его сетевого адаптера (в случае адресации внутри одной подсети), либо Ethernet-адрес маршрутизатора (в случае межсетевой адресации). Первоначально хост может не иметь информации о Ethernet-адресах других хостов, находящихся с ним в одном сегменте, в том числе и о Ethernet-адресе маршрутизатора [31]. Следовательно, перед хостом встает стандартная проблема, решаемая с помощью алгоритма удаленного поиска. В сети Internet для решения этой проблемы используется протокол ARP (Address Resolution Protocol) [30] Протокол ARP позволяет получить взаимно однозначное соответствие IP и Ethernet адресов для хостов, находящихся внутри одного сегмента. Это достигается следующим образом: при первом обращении к сетевым ресурсам хост отправляет широковещательный ARP-запрос на заранее определенный Ethernet-адрес, в котором указывается IP-адрес маршрутизатора. Далее отправленный широковещательный запрос получают все станции в данном сегменте сети, в том числе и маршрутизатор. Получив данный запрос, маршрутизатор внесет запись о запросившем хосте в свою ARP-таблицу, а затем отправит на запросивший хост ARP-ответ, в котором сообщит свой Ethernet-адрес, остальные хосты просто не прореагируют на этот запрос в силу того, что не они являются адресатами запроса. Полученный в ARP-ответе Ethernet-адрес будет занесен в ARP-таблицу, находящуюся в памяти операционной системы на запросившем хосте и содержащую записи соответствия IP- и Ethernet-адресов для хостов внутри одного сегмента. В случае адресации к хосту, расположенному в той же подсети, также используется ARP-протокол и рассмотренная выше схема полностью повторяется.
Таким образом, перехватив на атакующем хосте внутри данного сегмента сети широковещательный ARP-запрос, злоумышленник может послать ложный ARP-ответ, в котором объявить себя маршрутизатором, и в дальнейшем активно контролировать и воздействовать на сетевой трафик атакуемого объекта (хоста).
На основе вышеописанного материала целесообразно построить топологическую модель сетевой атаки типа ARP-spoofing (рис. 3.18- 3.20).
1. В (n) интервале времени злоумышленник получает широковещательный ARP-запрос, предназначенный для маршрутизатора m. Далее все хосты данного сегмента сети вносят изменения в свои ARP таблицы о появлении нового хоста в сети (рис. 3.18).
2. В (n+1) интервале времени злоумышленник быстрее реагирует на полученный от хоста Xkn+1 запрос, нежели маршрутизатор, и отправляет ложный ответ от имени маршрутизатора. Именно этот ответ и будет воспринят хостом Xkn+1 как верный. Одновременно с ответом на запрос, злоумышленник XT посылает сообщение на маршрутизатор, от имени атакуемого хоста, в следствие чего маршрутизатор заносит в свою ARP таблицу IP адрес злоумышленника (рис. 3.20).
Рис. 3.18. Графовая модель атаки типа ARP-spoofing в (n) интервале времени
Рис. 3.19. Графовая модель атаки типа ARP-spoofing в (n+1) интервале времени
3. В интервале времени (n+2) через злоумышленника начинает проходить весь трафик между маршрутизатором m и атакуемым объектом Xkn+1, следствием чего становится перехват сетевого трафика, между двумя объектами, с возможностью его модификации [31].
Рис. 3.20. Графовая модель атаки типа ARP-spoofing в (n+2) интервале времени
Далее рассмотрим атаку вида DNS-spoofing. Как было сказано ранее, внешнесегментная адресация осуществляется по IP-адресам, но обращения к серверам, как правило, осуществляется по доменным именам. В этой связи была создана система преобразования (сопоставления) доменных имен в IP адреса – DNS-серверов (Domain Name System). Эта система отвечает за нахождение IP-адреса удалённого хоста по его имени [32]. Принцип функционирования DNS системы следующий – удаленный хост посылает на IP-адрес ближайшего DNS-сервера специальный запрос, в котором указывает имя сервера, IP-адрес которого необходимо найти. Получив запрос, DNS-сервер просматривает свою базу данных на наличие запрашиваемого доменного имени. В случае если имя найдено, DNS-сервер возвращает ответ, в котором указывает искомый IP-адрес. В случае если указанное в запросе имя DNS-сервер не обнаружил в своей базе имен, то DNS-запрос отсылается DNS-сервером на один из корневых DNS-серверов и описанная в этом пункте процедура повторяется, пока имя не будет найдено.
Проанализируем три возможных варианта удаленной атаки на службу DNS:
1. Атака путем перехвата DNS-запроса;
2. Атака основанная на создание направленного "шторма" ложных DNS-ответов на атакуемый хост;
3. Атака путем перехвата DNS-запроса или создания направленного "шторма" ложных DNS-ответов непосредственно на DNS-сервер.
Рассмотрим атаку внедрения ложного доверенного объекта путем перехвата DNS-запроса. В данном случае атакующему необходимо перехватить DNS-запрос, извлечь из него номер порта отправителя запроса, идентификатор DNS-запроса и искомое имя (имя домена), а затем послать ложный DNS-ответ на извлеченный из DNS-запроса порт, в котором указать в качестве искомого IP-адреса настоящий IP-адрес ложного DNS-сервера [33]. Это позволит в дальнейшем полностью перехватить трафик между атакуемым хостом и сервером. Построим для данной атаки топологическую модель.
1. В (n) интервале времени злоумышленник перехватывает DNS-запрос на поиск IP-адреса, направленный к DNS-серверу находящемуся вне рассматриваемого сегмента сети (рис. 3.21).
2. В (n+1) интервале времени, в то время когда запрос ушел через маршрутизатор к DNS-серверу, злоумышленник направляет атакуемому объекту ложный DNS-ответ от имени настоящего DNS-сервера (рис. 3.22).
3. В (n+2) интервале времени на объекте атаки узел XT ассоциируется с настоящим DNS-сервером и все сообщения к запросившему IP-адресу будут проходить через узел злоумышленника XT [34]. Объект злоумышленника, в свою очередь, будет работать следующим образом – атакуемому объекту Xi он будет посылать сообщения от имени искомого сервера Ys, а серверу от имени атакуемого объекта. Таким образом весь трафик между этими объектами проходит через объект XT (рис. 3.23).
Рис. 3.21. Графовая модель атаки типа DNS-spoofing путем перехвата DNS-запроса в (n) интервале времени (атакующий находится в одном сегменте сети с атакуемым объектом)
Рис. 3.22. Графовая модель атаки типа DNS-spoofing путем перехвата DNS-запроса в (n+1) интервале времени (атакующий находится в одном сегменте сети с атакуемым объектом)
В случае если атакующий объект находится в другом сегменте сети по отношению к объекту атаки Xi, топологическая модель изменится [35]:
1. В (n) интервале времени злоумышленник, находящийся в одном сегменте сети с DNS-сервером перехватывает сообщение от маршрутизатора, адресованное DNS-серверу, отправленное из другого сегмента сети атакуемым объектом Xi (рис. 3.24).
Рис. 3.23. Графовая модель атаки типа DNS-spoofing путем перехвата DNS-запроса в (n+2) интервале времени (атакующий находится в одном сегменте сети с атакуемым объектом)
Рис. 3.24. Графовая модель атаки типа DNS-spoofing путем перехвата DNS-запроса в (n) интервале времени (атакующий и атакуемый объекты находятся в разных сегментах сети)
2. В (n+1) интервале времени злоумышленник, находящийся в одном сегменте сети с DNS-сервером первым отправляет сообщение атакуемому объекту Xi через маршрутизатор m2 (рис. 3.25).
Рис. 3.25. Графовая модель атаки типа DNS-spoofing путем перехвата DNS-запроса в (n+1) интервале времени (атакующий и атакуемый объекты находятся в разных сегментах сети)
3. В (n+2) интервале времени атакуемый объект Xi ассоциирует объект XT с DNS-сервером, результатом чего становится полный перехват трафика (с возможностью модификации данных) между запрашиваемым сервером YS и атакуемым объектом Xi (рис. 3.26).
Рис. 3.26. Графовая модель атаки типа DNS-spoofing путем перехвата DNS-запроса в (n+2) интервале времени (атакующий и атакуемый объекты находятся в разных сегментах сети)
Рассмотрим атаку внедрения ложного доверенного объекта путем создания направленного "шторма" ложных DNS-ответов на атакуемый хост. В данном случае атакующий осуществляет постоянную передачу на атакуемый хост заранее подготовленного ложного DNS-ответа от имени настоящего DNS-сервера не дожидаясь приема DNS-запроса [36]. Заранее подготовленный ложный DNS-ответ должен учитывать IP-адреса отправителя ответа (атакуемого объекта) и IP-адрес DNS-сервера, имя запрашиваемого сервера, порт с которого был отправлен запрос и идентификатор запроса.
1. В (n) интервале времени злоумышленник XТ создает направленный шторм ложных DNS-ответов объекту атаки Xi не дожидаясь от него запроса (рис. 3.27).
Рис. 3.27. Графовая модель атаки типа DNS-spoofing путем создания направленного шторма ложных DNS-ответов в (n) интервале времени
2. В (n+1) интервале времени, как только объект атаки Xi отправляет DNS-запрос, ему тут же приходит постоянно отправляемый заранее подготовленный ответ и он воспринимает его как истинный (рис. 3.28).
Рис. 3.28. Графовая модель атаки типа DNS-spoofing путем создания направленного шторма ложных DNS-ответов в (n+1) интервале времени
3. В (n+2) интервале времени атакуемый объект Xi ассоциирует объект XT с DNS-сервером, результатом чего становится полный перехват трафика между запрашиваемым сервером YS и атакуемым объектом Xi (рис. 3.29) [37].
Рис. 3.29. Графовая модель атаки типа DNS-spoofing путем создания направленного шторма ложных DNS-ответов в (n+2) интервале времени
Последняя разновидность атаки типа DNS-spoofing основана на перехвате DNS-запроса или создания направленного "шторма" ложных DNS-ответов непосредственно на атакуемый DNS-сервер. Данная атака основана на удаленном запросе (на поиск IP адреса сервера) от одного DNS-сервера к другому. Если указанное в запросе имя не обнаружено в базе данных имен запрашиваемого DNS-сервера, то запрос отсылается на один из корневых DNS-серверов (другими словами DNS-сервер сам является инициатором удаленного DNS-поиска). В этой связи атакующий может направить атаку непосредственно на DNS-сервер. Важно отметить то, что если в ответ на DNS-запрос атакующий направит ложный DNS-ответ (или в случае "шторма" ложных ответов), то в DNS-таблицу сервера добавится соответствующая запись с ложными сведениями и в дальнейшем все хосты, обратившиеся к данному DNS-серверу, будут дезинформированы, и при обращении к хосту, маршрут к которому атакующий решил изменить, связь с ним будет осуществляться через хост атакующего [38]. Опасно и то, что со временем эта ложная информация, попавшая в таблицу DNS-сервера, будет распространяться на соседние DNS-серверы высших уровней, а, следовательно, все больше хостов будут атакованы. Принцип проведения атаки очень похож на DNS-spoofing по отношению к конкретному хосту.
Рассмотрим графовую модель проведения атаки на DNS-сервер, основанной на перехвате запроса от сервера:
1. В (n) интервале времени атакуемый XDNS сервер отправляет DNS-запрос (на поиск IP-адреса) корневому DNS-серверу YDNS. Данный запрос перехватывается хостом злоумышленника XT (рис. 3.30). В данной модели хост злоумышленника находится в одном сегменте с атакуемым DNS-сервером, но по аналогии с вышеописанными моделями можно достаточно просто построить модель данной атаки в условиях разносегментного взаиморасположения атакующего хоста и DNS-сервера.
Рис. 3.30. Графовая модель атаки на DNS-сервер в (n) интервал времени, основанной на перехвате запроса от сервера
2. В (n+1) интервале времени атакуемый XDNS сервер получает ложный DNS-ответ от хоста злоумышленника XT, который воспринимается как истинный. В следствии чего, полученное значение ложного IP адреса заносится в таблицу DNS-сервера (рис. 3.31).
Рис. 3.31. Графовая модель атаки на DNS-сервер в (n+1) интервал времени, основанной на перехвате запроса от сервера
Рассмотрим атаку на DNS-сервер при направленном "шторме" ложных DNS-ответов. Данная атака очень похожа на атаку направленного "шторма" ложных ответов на атакуемый хост от ложного DNS-сервера.
1. В (n) интервале времени атакующий объект XT отправляет на DNS-сервер заранее сгенерированные DNS-ответы (рис. 3.32). Хост злоумышленника находится в одном сегменте с DNS-сервером [39].
2. В (n+1) интервале времени атакуемый XDNS сервер получает ложный DNS-ответ от хоста злоумышленника XT, который воспринимается как истинный. Вследствие чего таблица DNS-сервера обновляется ложной записью (рис. 3.33).
Рис. 3.32. Графовая модель атаки на DNS-сервер в (n) интервал времени путем создания направленного "шторма" ложных DNS-ответов
Рис. 3.33. Графовая модель атаки на DNS-сервер в (n+1) интервал времени путем создания направленного "шторма" ложных DNS-ответов
По аналогии с рассмотренными выше атаками построим графовую модель более сложной, внешнесегментной атаки типа DNS-spoofing на DNS-сервер, задействующей три сегмента сети (рис. 3.34-3.38) [40].
Рис. 3.34. Графовая модель внешнесегментной атаки на DNS-сервер в (n+1) интервал времени
Рис. 3.35. Графовая модель внешнесегментной атаки на DNS-сервер в (n+2) интервал времени
Рис. 3.36. Графовая модель внешнесегментной атаки на DNS-сервер в (n+2) интервал времени
Рис. 3.37. Графовая модель внешнесегментной атаки на DNS-сервер в (n+3) интервал времени
Рис. 3.38. Графовая модель внешнесегментной атаки на DNS-сервер в (n+4) интервал времени
Перейдем к рассмотрению второго вида угрозы внедрения ложного доверенного объекта (применительно к Internet) – внедрение ложного объекта, путем навязывания ложного маршрута – IP-spoofing. Атака основана на недостатках маршрутизации в Internet и осуществляется на сетевом уровне. Предпосылкой атаки является то, что все сообщения, адресованные в другие сегменты сети, изначально направляются на “местный” маршрутизатор, который, в свою очередь, перенаправляет их далее по указанному в пакете IP-адресу, выбирая при этом оптимальный маршрут [41]. В свою очередь хосты, адресующие эти сообщения, имеют таблицы маршрутизации, в которых содержится описание соответствующего маршрута (описание обязательно включает IP-адрес конечной точки и IP-адрес маршрутизатора). В этой связи, для осуществления удаленной атаки внедрения ложного доверенного объекта путем навязывания ложного маршрута злоумышленнику необходимо подготовить ложное ICMP сообщение (ICMP – протокол, одной из функций которого является удаленное управление маршрутизацией на хостах внутри сегмента сети), в котором указывается конечный IP-адрес навязанного маршрута и IP-адрес ложного маршрутизатора [42].
Построим топологическую модель навязывания хосту ложного маршрута внутри одного сегмента:
1. В (n) интервале времени атакующий объект XT отправляет ICMP сообщение объекту Xi о смене адреса маршрутизатора с m1 на XT [32]. В результате этого объект Xi заносит в свою таблицу маршрутизации IXi IP-адрес нового (ложного) маршрутизатора (рис. 3.39).
Рис. 3.39. Графовая модель внутрисегментного навязывания хосту ложного маршрута в (n) интервал времени
2. В (n+1) интервале времени атакуемый объект Xi отправляет сообщение ложному маршрутизатору XT который, в свою очередь, переправляет его от имени Xi настоящему маршрутизатору m1 [43]. Таким образом трафик атакуемого объекта полностью проходит через XT (рис. 3.40).
Рис. 3.40. Графовая модель внутрисегментного навязывания хосту ложного маршрута в (n+1) интервал времени
Внешнесегментная атака типа IP-spoofing (топологическую модель которой можно построить по аналогии с рассмотренной выше) усложняется множеством факторов, например, злоумышленнику будет не просто угадать IP-адрес маршрутизатора m1, но в конечном счете проводится аналогичным способом, с подбором недостающих данных [18].
Дата добавления: 2015-10-26; просмотров: 187 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Топологические модели атак на основе анализа сетевого трафика | | | Топологические модели атак на основе отказа в обслуживании |