IDZ DO
IDZ DO
PRZYKŁADOWY ROZDZIAŁ
PRZYKŁADOWY ROZDZIAŁ
101 zabezpieczeń
SPIS TRE CI
SPIS TRE CI
przed atakami
KATALOG KSIĄŻEK
KATALOG KSIĄŻEK
w sieci komputerowej
KATALOG ONLINE
KATALOG ONLINE
Autorzy: Maciej Szmit, Marek Gusta,
Mariusz Tomaszewski
ZAMÓW DRUKOWANY KATALOG
ZAMÓW DRUKOWANY KATALOG
ISBN: 83-7361-517-2
Format: B5, stron: 560
TWÓJ KOSZYK
TWÓJ KOSZYK
Chyba każda sieć komputerowa na wiecie była już atakowana przez hakerów.
DODAJ DO KOSZYKA
DODAJ DO KOSZYKA
Niektóre z ataków były skuteczne, inne nie. Efekty skutecznego ataku hakerów mogą
być różne  od braku szkód, aż po utratę ważnych danych lub, co często okazuje się
znacznie gorsze  wydostanie się takich danych na zewnątrz. Co sprawia, że niektóre
CENNIK I INFORMACJE
CENNIK I INFORMACJE
sieci opierają się atakom hakerów, a inne nie? Sekret tkwi w zabezpieczeniach i pracy
administratora.
ZAMÓW INFORMACJE
ZAMÓW INFORMACJE
O NOWO CIACH
O NOWO CIACH
W książce  101 zabezpieczeń przed atakami w sieci komputerowej każdy, kto chce
zabezpieczyć swoją sieć przed niepowołanym dostępem, znajdzie niezbędną do tego
ZAMÓW CENNIK wiedzę. Książka przedstawia różne rodzaje ataków, sposoby ich wykrywania i metody
ZAMÓW CENNIK
ochrony sieci przed nimi. Opisuje ataki na różne warstwy i elementy sieci oraz zasady
korzystania z zapór sieciowych.
CZYTELNIA
CZYTELNIA
" Wykrywanie sniffingu i ochrona przed nim
" Skanowanie portów i IP-spoofing
FRAGMENTY KSIĄŻEK ONLINE
FRAGMENTY KSIĄŻEK ONLINE
" Ataki typu DoS
" Wirusy, robaki i programy szpiegujące
" Zabezpieczanie procesu logowania
" Ochrona przed atakiem przez przepełnienie bufora
" Technologie i architektury zapór sieciowych
" Systemy wykrywania ataków typu IDS
Je li chcesz, aby administrowana przez Ciebie sieć była bezpieczna, skorzystaj
ze sposobów przedstawionych w tej książce.
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
Spis treści
Wstęp .............................................................................................11
Rozdział 1. Metody obrony przed atakami prowadzonymi
w warstwie dostępu do sieci............................................................15
Sniffing w sieci o fizycznej topologii magistrali i w sieci wykorzystującej koncentratory...... 16
Programy wykorzystywane do podsłuchu................................................................. 16
Tcpdump............................................................................................................. 16
�thereal...............................................................................................................17
Sniff v. 1.4 .......................................................................................................... 18
Konfiguracja sieci testowej ....................................................................................... 18
Przeprowadzenie ataku.............................................................................................. 20
Sniffing w sieci zbudowanej przy wykorzystaniu przełączników ................................... 22
Konfiguracja sieci testowej ....................................................................................... 23
Sniffing w sieci zbudowanej przy wykorzystaniu przełączników  ARP-spoofing.... 24
Przeprowadzenie ataku ....................................................................................... 25
Sniffing w sieci zbudowanej z wykorzystaniem przełączników  MAC-flooding..... 26
Przeprowadzenie ataku ....................................................................................... 27
Sniffing w sieci zbudowanej przy wykorzystaniu przełączników
 duplikacja adresu fizycznego ............................................................................ 29
Przeprowadzenie ataku ....................................................................................... 29
Antysniffing .................................................................................................................... 30
Zabezpieczenie nr 1. Wykrywanie sniffingu za pomocą testu ARP....................31
Zabezpieczenie nr 2. Wykrywanie sniffingu za pomocą testu ARP-Cache ........ 34
Zabezpieczenie nr 3. Wykrywanie sniffingu za pomocą testu ICMP..................37
Zabezpieczenie nr 4. Wykrywanie sniffingu za pomocą testu DNS ...................39
Zabezpieczenie nr 5. Wykrywanie sniffingu za pomocą
pomiarów czasów latencji................................................................................ 41
Zabezpieczenie nr 6. Wykrywanie podsłuchu metodami reflektometrycznymi..45
Zabezpieczenie nr 7. Wykrywanie ataku ARP-spoofing
za pomocą programu arpwatch ........................................................................46
Zabezpieczenie nr 8. Ochrona przed atakiem ARP-spoofing
za pomocą statycznej tablicy ARP................................................................... 48
Zabezpieczenie nr 9. Wykrywanie ataku ARP-spoofing
za pomocą programu ARP-Analyzer ............................................................... 51
Zabezpieczenie nr 10. Lokalne wykrywanie sniffingu........................................ 54
Zabezpieczenie nr 11. Ochrona przed podsłuchem
przy użyciu technologii VLAN........................................................................55
4 101 zabezpieczeń przed atakami w sieci komp terowej
Zabezpieczenie nr 12. Przełączniki zarządzalne jako zabezpieczenie
przed podsłuchem ............................................................................................ 59
Zabezpieczenie nr 13. Wirtualne sieci prywatne jako zabezpieczenie
przed podsłuchem ............................................................................................ 59
Zabezpieczenie nr 14. Wykrywanie ataku MAC-flooding za pomocą
programu MACManipulator ............................................................................66
Zabezpieczenie nr 15. Szyfrowanie połączenia sieciowego
z wykorzystaniem protokołu SSL .................................................................... 68
Zabezpieczenie nr 16. Szyfrowanie połączenia sieciowego
z wykorzystaniem protokołu TLS.................................................................... 77
Rozdział 2. Metody obrony przed atakami prowadzonymi
w warstwach internetu i host-to-host................................................79
Skanowanie portów ......................................................................................................... 79
Nmap......................................................................................................................... 80
Instalacja Nmapa.................................................................................................80
Instalacja Nmapa w systemie Linux....................................................................80
Instalacja Nmapa w systemie Windows.............................................................. 81
Techniki skanowania portów..................................................................................... 82
Skanowanie TCP-connect................................................................................... 83
Zabezpieczenie nr 17. NAT jako składnik zapory sieciowej...............................83
Zabezpieczenie nr 18. Usługi pośredniczenia (proxy) w roli zapory sieciowej...87
Pośredniczenie za pomocą Socks .............................................................................. 88
Konfiguracja komputera B..................................................................................88
Konfiguracja komputera A..................................................................................92
Testowanie działania usługi pośredniczącej........................................................ 94
Zabezpieczenie nr 19. Wykorzystanie zapory sieciowej IPTables
do blokowania prób skanowania TCP-connect................................................96
Skanowanie TCP SYN........................................................................................ 99
Zabezpieczenie nr 20. Wykorzystanie zapory sieciowej iptables
do blokowania prób skanowania TCP SYN..................................................... 99
Skanowanie TCP FIN ....................................................................................... 100
Zabezpieczenie nr 21. Wykorzystanie systemu IDS Snort
do wykrywania prób skanowania TCP FIN ................................................... 100
Zabezpieczenie nr 22. Wykorzystanie zapory sieciowej IPTables
do blokowania prób skanowania TCP FIN .................................................... 101
Skanowanie TCP ACK .....................................................................................103
Zabezpieczenie nr 23. Wykorzystanie systemu IDS Snort
do wykrywania prób skanowania TCP ACK ................................................. 104
Zabezpieczenie nr 24. Wykorzystanie zapory sieciowej iptables
do blokowania prób skanowania TCP ACK .................................................. 104
Skanowanie TCP NULL ...................................................................................105
Zabezpieczenie nr 25. Wykorzystanie systemu IDS Snort
do wykrywania prób skanowania TCP NULL ............................................... 105
Zabezpieczenie nr 26. Wykorzystanie zapory sieciowej iptables
do blokowania prób skanowania TCP NULL ................................................ 105
Skanowanie TCP XMAS ..................................................................................106
Zabezpieczenie nr 27. Wykorzystanie systemu IDS Snort
do wykrywania prób skanowania TCP XMAS ..............................................106
Zabezpieczenie nr 28. Wykorzystanie zapory sieciowej iptables
do blokowania prób skanowania TCP XMAS ...............................................107
Skanowanie FTP-bounce ..................................................................................107
Zabezpieczenie nr 29. Obrona przed skanowaniem FTP-bounce...................... 110
Spis treści 5
Zabezpieczenie nr 30. Narzędzie Portsentry jako obrona
przed skanowaniem portów w systemie Linux ..............................................111
Przeprowadzenie próby skanowania portów komputera
zabezpieczonego przez Portsentry ................................................................. 115
Zabezpieczenie nr 31. Osobiste zapory sieciowe jako obrona
przed skanowaniem portów w systemach Windows ...................................... 116
Skanowanie UDP..............................................................................................128
Zabezpieczenie nr 32. Wykorzystanie zapory sieciowej iptables
do blokowania prób skanowania pakietami UDP ..........................................129
Skanowanie ICMP ............................................................................................ 129
Zabezpieczenie nr 33. Wykorzystanie zapory sieciowej iptables
do blokowania prób skanowania pakietami ICMP......................................... 129
Techniki ukrywania przez napastnika skanowania portów...................................... 130
Metody wykrywania systemu operacyjnego (ang. OS fingerprinting) .......................... 131
Pasywne wykrywanie systemu operacyjnego.......................................................... 131
Pasywna analiza stosu TCP/IP.......................................................................... 132
Aktywne wykrywanie systemu operacyjnego ......................................................... 134
Zabezpieczenie nr 34. Zmiana parametrów stosu TCP/IP
w systemie Linux w celu utrudnienia fingerprintingu.................................... 136
IP-spoofing.................................................................................................................... 137
Zabezpieczenie nr 35. Filtrowanie ruchu na zaporze sieciowej
jako zabezpieczenie przed atakami wykorzystującymi IP-spoofing ..............137
Zabezpieczenie nr 36. Weryfikacja adresu z
ródłowego
za pomocą funkcji rp_filter............................................................................ 141
Atak wyboru trasy (ang. Source routing)....................................................................... 142
Zabezpieczenie nr 37. Wyłączenie opcji source routing ................................... 142
Zabezpieczenie nr 38. Wykorzystanie uwierzytelniania RIPv2
jako ochrona przed atakami na routery .......................................................... 143
Rozdział 3. Metody obrony przed atakami DoS i DDoS ......................................155
Ataki DoS...................................................................................................................... 155
Ping of Death .......................................................................................................... 156
Zabezpieczenie nr 39. Ochrona przed atakiem Ping of Death
za pomocą filtrowania na zaporze sieciowej.................................................. 156
Teardrop.................................................................................................................. 157
Zabezpieczenie nr 40. Ochrona przed atakiem teardrop
za pomocą systemu Snort .............................................................................. 158
Zabezpieczenie nr 41. Ochrona przed atakiem teardrop
za pomocą filtrowania pakietów ....................................................................158
Atak SYN-flood ...................................................................................................... 158
Zabezpieczenie nr 42. Ochrona przed atakiem SYN-flood
wychodzącym z naszej sieci za pomocą zapory sieciowej.............................159
Zabezpieczenie nr 43. Ochrona przed atakami SYN- flood i Naptha
na usługi w naszej sieci za pomocą iptables .................................................. 160
Atak Land................................................................................................................ 160
Zabezpieczenie nr 44. Ochrona przed atakiem Land
za pomocą programu Snort ............................................................................ 161
Zabezpieczenie nr 45. Ochrona przed atakiem Land
za pomocą programu Snort (reguła systemu IDS) ......................................... 162
Atak Naptha ............................................................................................................ 162
Zabezpieczenie nr 46. Wykorzystanie systemu IDS Snort
do wykrywania ataku Naptha......................................................................... 164
6 101 zabezpieczeń przed atakami w sieci komp terowej
Atak Smurf.............................................................................................................. 165
Zabezpieczenie nr 47. Ochrona od strony pośrednika przed atakiem Smurf
za pomocą zapory sieciowej .......................................................................... 167
Zabezpieczenie nr 48. Ochrona przed atakiem Smurf od strony ofiary
za pomocą zapory sieciowej .......................................................................... 168
UDP-flood ( Pepsi ) ............................................................................................... 168
Zabezpieczenie nr 49. Ochrona przed atakiem Pepsi
za pomocą zapory sieciowej .......................................................................... 169
Zabezpieczenie nr 50. Ochrona przed atakiem Pepsi
za pomocą programu Snort ............................................................................ 170
Smbnuke ................................................................................................................. 170
Zabezpieczenie nr 51. Ochrona przed atakiem Smbnuke
za pomocą filtra pakietów.............................................................................. 170
Zabezpieczenie nr 52. Ochrona przed atakiem Smbnuke
za pomocą programu Snort ............................................................................ 171
Zalewanie maszyny połączeniami na określonym porcie  Connection-flood...... 171
Zabezpieczenie nr 53. Ochrona przed atakiem Connection-flood
za pomocą zapory sieciowej .......................................................................... 173
Fraggle .................................................................................................................... 173
Zabezpieczenie nr 54. Ochrona przed atakiem fraggle
za pomocą zapory sieciowej .......................................................................... 174
Jolt........................................................................................................................... 175
Zabezpieczenie nr 55. Ochrona przed atakiem Jolt
za pomocą zapory sieciowej .......................................................................... 175
Zabezpieczenie nr 56. Ochrona przed atakiem Jolt
za pomocą programu Snort ............................................................................ 175
Rozproszone ataki typu  odmowa usługi (DDoS) ....................................................... 175
Faza powstawania sieci DDoS .......................................................................... 178
Właściwa faza ataku ......................................................................................... 179
Szczegółowa charakterystyka ataków DDoS .......................................................... 179
Atak Trinoo....................................................................................................... 179
Atak Tribe Flood Network................................................................................180
Atak TFN 2000 .................................................................................................180
Atak Stacheldraht (drut kolczasty).................................................................... 181
Atak Shaft ......................................................................................................... 181
Atak Mstream ...................................................................................................182
Obrona przed atakami DDoS......................................................................................... 182
Zabezpieczenie nr 57. Ręczne wykrywanie i usuwanie demona Wintrinoo......183
Zabezpieczenie nr 58. Wykrywanie demona Wintrinoo
za pomocą programu wtrinscan .....................................................................184
Zabezpieczenie nr 59. Wykrywanie narzędzi DDoS
za pomocą programu Zombie Zapper ............................................................ 184
Zabezpieczenie nr 60. Wykrywanie demona trinoo
za pomocą programu wtrinscan .....................................................................186
Zabezpieczenie nr 61. Wykrywanie i unieszkodliwianie demona trinoo
narzędziem netcat .......................................................................................... 187
Zabezpieczenie nr 62. Wykrywanie demona i węzła Trinoo
za pomocą programu find_ddos..................................................................... 191
Zabezpieczenie nr 63. Zdalne i lokalne usuwanie z systemu demona Trinoo...192
Zabezpieczenie nr 64. Wykrywanie narzędzi DDoS
za pomocą programu DDoSPing....................................................................193
Zabezpieczenie nr 65. Wykrywanie narzędzi DDoS
przez analizę ruchu sieciowego......................................................................195
Spis treści 7
Zabezpieczenie nr 66. Wykorzystanie systemu IDS Snort
do wykrywania ataku Trinoo ......................................................................... 200
Zabezpieczenie nr 67. Wykorzystanie systemu IDS Snort
do wykrywania ataku Tribe Flood Network .................................................. 204
Zabezpieczenie nr 68. Wykorzystanie systemu IDS Snort
do wykrywania ataku Tribe Flood Network 2000..........................................204
Zabezpieczenie nr 69. Wykorzystanie systemu IDS Snort
do wykrywania ataku Stacheldraht ................................................................ 205
Zabezpieczenie nr 70. Wykorzystanie systemu IDS Snort
do wykrywania ataku Shaft............................................................................ 205
Zabezpieczenie nr 71. Wykorzystanie systemu IDS Snort
do wykrywania ataku Mstream ......................................................................206
Rozdział 4. Obrona przed atakami w warstwie procesów i aplikacji
oraz atakami przeciwko systemom i aplikacjom sieciowym .............209
Robaki, wirusy, spyware ............................................................................................... 210
Zabezpieczenie nr 72. Wykrywanie programów typu rootkit
w systemie Linux........................................................................................... 211
Zabezpieczenie nr 73. Lokalne wykrywanie koni trojańskich ..........................212
Zabezpieczenie nr 74. Wykrywanie modyfikacji plików
z zapisem logowania użytkowników w systemie Linux ................................216
DNS-spoofing i ataki Man-in-the-Middle na sesje szyfrowane..................................... 217
DNS-spoofing ............................................................................................................... 218
Zabezpieczenie nr 75. Ochrona przed atakiem DNS-spoofing
za pomocą statycznych odwzorowań nazw.................................................... 220
Zabezpieczenie nr 76. Ochrona przed niechcianymi banerami,
plikami cookies za pomocą odwzorowań w pliku hosts ................................221
Zabezpieczenie nr 77. Obrona przed atakiem Man-in-The-Middle................... 221
Lamanie haseł................................................................................................................ 229
Proces logowania .................................................................................................... 229
Narzędzia do łamania haseł..................................................................................... 230
L0pht Crack ...................................................................................................... 230
John the Ripper .................................................................................................230
Lamacz 1.1........................................................................................................ 230
Advanced ZIP Password Recovery ...................................................................231
Zdalne odgadywanie haseł użytkownika................................................................. 234
Zabezpieczenie nr 78. Polityka silnych haseł....................................................235
Zabezpieczenie nr 79. Hasła jednorazowe ........................................................238
Przykład implementacji haseł jednorazowych w systemie Knoppix 3.4
z wykorzystaniem usługi SSH .......................................................................243
Zabezpieczenie nr 80. Bezpieczne uwierzytelnianie
za pomocą serwera RADIUS ......................................................................... 247
Zabezpieczenie nr 81. Bezpieczne uwierzytelnianie
za pomocą protokołu Kerberos ......................................................................249
SPAM i ataki na usługi pocztowe.................................................................................. 251
Zabezpieczenie nr 82. Uwierzytelnianie użytkownika końcowego SMTP
oraz ograniczenia na wysyłane listy............................................................... 252
Zabezpieczenie nr 83. Szyfrowana transmisja POP (IMAP) i SMTP ............... 253
Zabezpieczenie nr 84. Zamykanie przekaz
nika (relay) .....................................254
Zabezpieczenie nr 85. Filtrowanie poczty przychodzącej.................................255
Zabezpieczenie nr 86. Programy kontroli rodzicielskiej ................................... 257
Przykładowa konfiguracja programu Cyber Patrol ........................................... 259
Zabezpieczenie nr 87. Usuwanie lub fałszowanie etykiet
wyświetlanych przez usługi sieciowe ............................................................264
8 101 zabezpieczeń przed atakami w sieci komp terowej
Protokół DHCP ............................................................................................................. 267
Zabezpieczenie nr 88. Zabezpieczenie klienta przed nielegalnym
serwerem DHCP w sieci ................................................................................268
Zabezpieczenie nr 89. Alokacja manualna adresów DHCP .............................. 270
Zabezpieczenie nr 90. Honeypot.......................................................................274
Zabezpieczenie nr 91. Zabezpieczenie przed atakiem buffer overflow
za pomocą biblioteki libsafe .......................................................................... 287
Rozdział 5. Dziesięć dobrych rad dla administratora .........................................291
Zabezpieczenie 92. Wykonuj regularnie kopie bezpieczeństwa........................ 291
Uaktualnianie systemu Windows ............................................................................ 294
Zabezpieczenie 93. Uaktualnij swój system......................................................294
Uaktualnianie systemu Linux (dystrybucja Knoppix 3.4)....................................... 304
APT  narzędzie do zarządzania pakietami.....................................................309
Uaktualnianie systemów Novell NetWare .............................................................. 314
Integralność systemu plików................................................................................... 322
Zabezpieczenie 94. Sprawdz
integralność systemu plików............................... 322
Program FastSum w systemach Windows............................................................... 338
Zabezpieczenie 95. Ogranicz fizyczny dostęp do serwera ................................340
Zabezpieczenie 96.  wykonuj i czytaj logi systemowe..................................342
Analiza logów systemowych w systemie Linux...................................................... 342
Zabezpieczenie 97. Wykonaj audyt bezpieczeństwa......................................... 353
Zabezpieczenie 98. Zaszyfruj swój system plików ...........................................375
Zabezpieczenie 99. Skorzystaj z internetowych serwisów skanujących ........... 378
Kontrola dostępu do usług....................................................................................... 382
Zabezpieczenie 100. Ogranicz zakres świadczonych usług .............................. 382
Zabezpieczenie 101. Zarządzaj pasmem ........................................................... 389
Podsumowanie ........................................................................................................ 400
Dodatek A Podstawy komunikacji sieciowej ....................................................401
Pojęcia podstawowe ...................................................................................................... 401
Modele łączenia systemów............................................................................................ 404
Model referencyjny ISO/OSI  warstwy: fizyczna i łączenia danych,
protokoły z rodziny �thernet...................................................................................... 407
Model referencyjny ISO/OSI  warstwa sieciowa, protokół IP, hermetyzacja............ 419
Model referencyjny ISO/OSI  warstwa transportowa, protokoły TCP i UDP,
stos protokołów TCP/IP ............................................................................................. 432
Model referencyjny ISO/OSI  warstwy: sesji, prezentacji i aplikacji,
protokoły warstw wyższych ....................................................................................... 439
Dodatek B Zapory sieciowe ............................................................................451
Technologie zapór sieciowych ...................................................................................... 453
Filtrowanie pakietów (ang. packet filtering) ........................................................... 453
Usługi pośredniczenia (proxy) ................................................................................ 458
Proxy warstwy aplikacji (ang. application-level proxies) ................................. 459
Proxy obwodowe (ang. circuit level gateway) ..................................................460
Translacja adresów sieciowych (ang. Network Address Translation  NAT) ....... 461
Wirtualne sieci prywatne (ang. Virtual Private Network  VPN) ......................... 463
Architektury zapór sieciowych...................................................................................... 467
Router ekranujący (ang. screening router) .............................................................. 467
Host dwusieciowy (ang. dual-homed host) ............................................................. 467
Host bastionowy (ang. bastion host) ....................................................................... 468
�kranowany host (ang. screened host) .................................................................... 469
�kranowana podsieć (ang. screened subnet) ........................................................... 470
Spis treści 9
Host trzysieciowy (ang. tri-homed host) ................................................................. 471
Wiele ekranowanych podsieci (ang. split-screened subnet) .................................... 471
Dwa popularne filtry pakietów: Ipfilter i Iptables ......................................................... 472
Ipfilter ..................................................................................................................... 472
IPtables.................................................................................................................... 484
Przygotowanie skryptu z regułami filtrowania.................................................. 491
Konfiguracja systemu linux Redhat 9.0 ............................................................ 493
Konfiguracja systemu Linux Knoppix .............................................................. 494
Dodatek C Systemy wykrywania intruzów IDS..................................................497
Techniki wykrywania intruzów stosowane w systemach IDS ....................................... 498
Sygnatury (dopasowywanie wzorców).................................................................... 498
Badanie częstości zdarzeń i przekraczania ich limitów w określonej jednostce czasu ... 499
Wykrywanie anomalii statystycznych..................................................................... 499
Zaawansowane techniki detekcji intruzów.............................................................. 499
Budowa, działanie i umieszczanie systemu IDS w sieci................................................ 500
Budowa i działanie systemu.................................................................................... 500
Umieszczanie systemu w sieci ................................................................................ 501
Klasyfikacja systemów IDS .................................................................................... 502
Budowa i zasada działania programu Snort................................................................... 503
Zasada działania...................................................................................................... 503
Preprocesory............................................................................................................ 504
Możliwości wykrywania ataków oferowane przez SNORT-a................................. 504
Zasady tworzenia reguł dla programu Snort............................................................ 504
Podział ataków na klasy.................................................................................... 509
Reakcja na ataki ................................................................................................511
Reakcja na typowy atak, wykrycie i zapis skanowania portów......................... 511
Zdalne logowanie na użytkownika root ............................................................ 512
Statystyki oferowane przez Snorta....................................................................512
Konfiguracja systemu dynamicznie reagującego na włamania...................................... 516
Konfiguracja i uruchomienie Snorta ....................................................................... 516
Sniffer ...............................................................................................................516
Logowanie pakietów......................................................................................... 517
NIDS................................................................................................................. 518
Wykrywanie i dynamiczna reakcja ...................................................................521
Podsumowanie ........................................................................................................ 524
Dodatek D Instalowanie systemu Knoppix 3.4. na dysku twardym....................525
Zakończenie..................................................................................529
Bibliografia....................................................................................531
Skorowidz......................................................................................539
Rozdział 3.
Metody obrony
przed atakami DoS i DDoS
Jednym z najbardziej niebezpiecznych, a zarazem popularnych, zagrożeń w sieciach
komputerowych są ataki DoS (ang. Denial of Service, odmowa usług) w tym ich od-
miana  ataki DDoS (ang. Distributed Denial of Service, rozproszone ataki  odmo-
wa usługi ). Ich celem jest unieruchomienie atakowanego serwisu (na przykład serwera
WWW, DNS czy całej atakowanej sieci) za pomocą różnych mechanizmów wykorzy-
stujących zarówno luki konkretnych systemów operacyjnych, jak i niedociągnięcia
stosu TCP/IP. Ataki DoS (pominąwszy pobudki czysto chuligańskie) mogą być po-
dejmowane jako część szerszych działań mających na celu oszustwo, spenetrowanie
cudzych zasobów bądz
przejęcie nad nimi kontroli (na przykład zablokowanie praw-
dziwego DNS-a może być pomocne podczas prowadzenia ataku DNS-spoofing).
Obrona przed atakami DoS sprowadza się przede wszystkim do zainstalowania od-
powiednich łat na znane luki w systemach operacyjnych oraz do odfiltrowania na za-
porze sieciowej pakietów niosących atak. Do wykrycia ataków DoS i DDoS najlepiej
posłużyć się analizatorami ruchu sieciowego oraz systemami IDS. W tym rozdziale
zaprezentujemy szereg najpopularniejszych ataków DoS i DDoS oraz sposoby obrony
przed nimi. Jako zaporę sieciową wykorzystywaliśmy linuksowy program iptables, zaś ja-
ko systemu IDS używaliśmy Snorta (odpowiednie reguły zostały wzięte z aktualnych
w chwili pisania książki baz Snorta). Opis instalacji i wykorzystania obu pakietów można
znalez
ć w dodatkach. Zachęcamy Czytelnika, aby na podstawie niniejszego rozdziału
spróbował samodzielnie skonfigurować zaporę sieciową wraz z systemem detekcji intru-
zów i dynamicznej reakcji (za pomocą opisanego w dodatku C. programu Guardian).
Ataki DoS
Ataki typu DoS generują duży ruch, co powoduje zaburzanie lub całkowite zabloko-
wanie pracy normalnych aplikacji sieciowych, lub też wykorzystują słabe punkty sto-
su protokołów TCP/IP dla unieruchomienia atakowanego systemu lub zaburzenia jego
156 101 zabezpieczeń przed atakami w sieci komp terowej
działania. Niektóre z nich są możliwe do przeprowadzenia, ponieważ hosty siecio-
we przy uwierzytelnianiu polegają tylko na z
ródłowym adresie IP. Inne istnieją, dlatego
że niektóre mechanizmy kontrolne i większość protokołów routingu stosuje słabe meto-
dy uwierzytelniania z
ródła, z którego pochodzi informacja, bądz
w ogóle ich nie używa.
Ataki DOS możemy podzielić na trzy grupy:
ataki bazujące na implementacji stosu TCP/IP. Ataki tego typu wykorzystują
słabości w specyfikacji TCP/IP w konkretnym systemie operacyjnym.
Przykładami ataków z tej grupy jest Ping of Death, Teardrop, Smbnuke;
ataki bazujące na standardach TCP/IP. Ataki tego typu wykorzystują słabości
w samych standardach stosu TCP/IP. Przykładami ataków z tej grupy są SYN
attack oraz Land;
Ataki wykorzystujące tzw.  brutalną siłę (ang. brute force). Ataki tego typu
generują duży ruch, który zajmuje pasmo sieciowe. Przykładami ataków tego
typu są Smurf, Fraggle.
Ping of Death
Ping of Death jest dość prostym atakiem. Standardy opisujące stos TCP/IP określają
maksymalną wielkość datagramu IP na 65536 bajtów. Wiele systemów, szczególnie
starsze wersje systemów uniksowych i linuksowych, może ulec uszkodzeniu, zawiesić
się albo zrestartować, jeśli otrzyma datagram IP większy od możliwego maksymalne-
go rozmiaru. Podczas tego ataku tworzony jest i wysyłany do systemu ofiary pakiet
ping przekraczający 65536 bajtów.
Zabezpieczenie nr 39. Ochrona przed atakiem Ping of Death
za pomocą filtrowania na zaporze sieciowej
Jeżeli w sieci istnieją starsze wersje systemów operacyjnych, podatnych na atak Ping
of Death, powinniśmy zadbać o ściągnięcie odpowiednich aktualizacji. Jeżeli z jakichś
względów system taki nie może być uaktualniony do nowszej wersji, najlepszą metodą
obrony jest zabezpieczenie dostępu do takiej stacji za pomocą reguły zapory siecio-
wej. Reguła ta może być zastosowana na routerze, przez który można uzyskać dostęp
z zewnątrz do tej stacji. Regułę tej składni pokazano na rysunku 3.1.
Rys nek 3.1. Reguła zapory sieciowej dopuszczająca pakiety ICMP Echo request o wielkości od 60 do
65535 bajtów
Rozdział 3. f& Metody obrony przed atakami DoS i DDoS 157
Powyższa reguła przepuszcza tylko pakiety ICMP Echo Request, których rozmiary
mieszczą się w zakresie od 60 bajtów do 65535 bajtów.
Teardrop
Atak teardrop wykorzystuje słabość w procesie składania po stronie odbiorcy data-
gramów IP z poszczególnych fragmentów. Podczas transmisji w sieci publicznej da-
tagram IP przechodzi przez różne routery i sieci, w szczególności takie, w których
maksymalny rozmiar ramki może być mniejszy niż rozmiar datagramu. W takim
przypadku datagram może zostać podzielony na mniejsze fragmenty. Każdy fragment
zawiera pole offset field, w którym wpisana jest informacja pozwalająca na prawidło-
wą defragmentację pakietu. Urządzenie odbierające fragmenty składa je w oryginalny
datagram IP używając do tego wartości w polu offset field. Podczas przeprowadzania
ataku teardrop są wysyłane serie datagramów IP z nachodzącymi na siebie warto-
ściami w polach offset field. Kiedy system odbiorcy stara się poskładać fragment
w całość, zawiesza się bądz
ulega uszkodzeniu.
Na rysunku 3.2 przedstawiono sposób przeprowadzenia tego ataku. W naszym przy-
padku pakiety były wysyłane na port 69 komputera o adresie 172.16.30.1.
Rys nek 3.2.
Przykład
przeprowadzenia
ataku Teardrop
Na rysunku 3.3 pokazano przechwycone za pomocą sniffera pakiety generowane pod-
czas tego ataku. Jak widać, są one pofragmentowane.
Rys nek 3.3. Pofragmentowane pakiety generowane podczas ataku Teardrop
158 101 zabezpieczeń przed atakami w sieci komp terowej
Zabezpieczenie nr 40. Ochrona przed atakiem teardrop
za pomocą systemu Snort
Najlepszą ochroną przeciwko temu atakowi jest sprawdzenie, czy dla naszego syste-
mu operacyjnego istnieją aktualizacje przeciwdziałające atakowi i czy są one zain-
stalowane. Oczywiście można zastosować do ochrony odpowiednią regułę systemu
IDS. Poniżej przedstawiono regułę wykrywającą pofragmentowane pakiety pochodzące
z ataku teardrop:


Wykrycie ataku przez Snorta, a następnie dynamiczna reakcja za pomocą zapory sie-
ciowej pozwoli na zabezpieczenie się przed tego typu pakietami. Poszczególne opcje
w regule przytoczonej wcześniej oznaczają, że alarm ma być ogłoszony w przypadku
wykrycia pofragmentowanego (fragbits:M;) ruchu UDP z dowolnego adresu na do-
wolny adres (alert udp any any -> any any). Pola Id oraz Sid wskazują indeks reguły
w bazie danych Snorta (ta reguła, jak i kolejne przedstawione poniżej, zostały zaczerpnięte
z najnowszej w chwili pisania książki bazy programu Snort).
Zabezpieczenie nr 41. Ochrona przed atakiem teardrop
za pomocą filtrowania pakietów
Drugą metodą ochrony przed atakiem Teardrop jest odpowiednia filtracja pakietów.
W celu zabezpieczenia się przed tym atakiem należy odrzucić wszystkie przychodzą-
ce do naszej sieci lub komputera pofragmentowane datagramy UDP. Odpowiednią
regułę zapory sieciowej zabezpieczającą przechodzenie przez bramę do internetu po-
fragmentowanych datagramów UDP zaprezentowano na rysunku 3.4.
Rys nek 3.4.
Reguła zapory
sieciowej
zabezpieczająca
przed atakiem
teardrop
Atak SYN-flood
Atak SYN-flood wykorzystuje moment nawiązania połączenia TCP między dwoma
hostami. Kiedy klient w sieci z implementowanym stosem TCP/IP chce nawiązać
połączenie z serwerem, następuje tzw. three-way-handshake. Składa się on z trzech faz:
1. Klient wysyła segment tcp z flagą SYN do serwera.
Rozdział 3. f& Metody obrony przed atakami DoS i DDoS 159
2. Serwer potwierdza odebranie segmentu SYN od klienta przez wysłanie
segmentu z ustawionymi flagami SYN i ACK.
3. Klient odpowiada serwerowi segmentem z ustawioną flagą ACK.
Wykonanie tych trzech kroków powoduje ustanowienie połączenia i od tej chwili da-
ne mogą być już wymieniane między nadawcą i odbiorcą. Każde wysłanie segmentu
z flagą SYN na otwarty port u odbiorcy wymusza na nim odpowiedz
przez odesłanie
SYN i ACK i oczekiwanie na potwierdzenie od nadawcy flagą ACK. SYN-flood po-
lega na zalewaniu systemu odbiorczego segmentami TCP z ustawiona flagą SYN
spod fałszywych adresów IP. W tym przypadku ostateczna odpowiedz
(ACK od
klienta) nigdy nie nadejdzie, ponieważ odbiorca wysyła segment z flagami SYN i ACK
pod fałszywy adres IP. Podczas gdy system odbiorcy czeka na potwierdzenie ACK,
które nigdy nie przyjdzie, zapisuje wszystkie segmenty SYN i ACK, na które nie od-
powiedział w swojej kolejce, zwykle dość małej. Po zapełnieniu tej kolejki system
odbiorcy będzie ignorował wszystkie nowe próby nawiązania połączenia SYN. Seg-
menty z flagami SYN-ACK opuszczają kolejkę w momencie, gdy zostanie odebrane
potwierdzenie ACK od nadawcy albo upłynie czas oczekiwania na to potwierdzenie
 timeout. Przez ten czas system nie pozwoli na nawiązywanie nowych połączeń.
Zabezpieczenie nr 42. Ochrona przed atakiem SYN-flood
wychodzącym z naszej sieci za pomocą zapory sieciowej
W celu przeciwdziałania tego typu atakom należy tak skonfigurować zaporę sieciową,
aby pakiety opuszczające ją i wychodzące z naszej wewnętrznej sieci zawierały adres
IP z
ródłowy pochodzący tylko z naszej wewnętrznej sieci. To spowoduje, że adresy
IP nie będą mogły być fałszowane (podmieniane). Aby zabezpieczyć się przed wy-
chodzeniem tego typu pakietów z wnętrza naszej sieci, przy założeniu, że w naszej
sieci są adresy publiczne z sieci 212.51.2.0/24, należy zastosować na routerze regułę
zapory sieciowej przedstawioną na rysunku 3.5.
Rys nek 3.5.
Reguła blokująca
wychodzenie
z naszej sieci
pakietów ze
zmienionymi
adresami
z
ródłowymi
Znak ( ) oznacza negację. W tym przypadku będą przepuszczane tylko pakiety z adresami
z
ródłowymi pochodzącymi z sieci 212.51.2.0/24, pozostałe będą odrzucane.
W przypadku sieci lokalnej z prywatną pulą adresów np. 10.13.0.0/16, która jest ukryta za
NAT-em, aby uchronić się przed atakiem SYN z wnętrza naszej sieci, należy dokonywać
translacji tylko dla adresów z naszej sieci lokalnej. Sposób dokonywania translacji adresu
z
ródłowego tylko dla adresów z naszej sieci przedstawiono na rysunku 3.6.
160 101 zabezpieczeń przed atakami w sieci komp terowej
Rys nek 3.6.
Translacja
adresów tylko
z prywatnej puli
W celu ograniczenia użytkownikom w sieci możliwość nawiązywania dużej liczby
połączeń (segmentów tcp z ustawioną flagą SYN) możemy użyć reguły, która spowo-
duje, że każdy użytkownik o danym adresie IP będzie mógł nawiązać z wnętrza na-
szej sieci tylko 9 połączeń w ciągu 1s.

Zabezpieczenie nr 43. Ochrona przed atakami SYN- flood i Naptha
na usługi w naszej sieci za pomocą iptables
Jeżeli chcemy ochronić nasze serwisy dostępne z internetu przed atakami SYN-flood
oraz Naptha, powinniśmy zastosować reguły filtrujące ograniczające liczbę możli-
wych połączeń w ciągu sekundy z naszymi serwerami. Na rysunku 3.7 pokazano re-
gułę pozwalającą na wykonanie 3 połączeń w ciągu sekundy.
Rys nek 3.7. Ograniczenie liczby połączeń z usługami do 3 na sekundę
Atak Land
Atak Land jest podobny do ataku SYN. Tak jak w przypadku ataku SYN, wysyłane są
do systemu odbiorcy segmenty z ustawioną flagą synchronizacji, jednak, podczas gdy
w ataku SYN adres IP nadawcy jest nieosiągalny lub jego komputer jest wyłączony,
atak Land podmienia adres z
ródłowy na taki sam, jak adres odbiorcy. Serwer odbie-
rając tak spreparowany pakiet wysyła potwierdzenie (pakiet z bitem ACK) na własny
adres i nawiązuje nieaktywne połączenie  zapętla swoje działanie. Likwidacja nie-
aktywnego połączenia następuje dopiero po upływie czasu ustalonego w systemie
operacyjnym serwera dla nieaktywnych połączeń.
Na rysunku 3.8 zaprezentowano sposób przeprowadzenia tego ataku.
Rozdział 3. f& Metody obrony przed atakami DoS i DDoS 161
Rys nek 3.8.
Przeprowadzenie
ataku Land
W wyniku przeprowadzenia ataku został wysłany charakterystyczny pakiet. Jak widać,
adres z
ródłowy i adres docelowy wskazują na ten sam komputer (rysunek 3.9).
Rys nek 3.9.
Pakiet generowany
podczas ataku Land
Zabezpieczenie nr 44. Ochrona przed atakiem Land
za pomocą programu Snort
Chociaż atak tego typu nie jest stary, większość systemów operacyjnych jest wyposa-
żona w łaty zabezpieczające przed nim. Jak w przypadku wszystkich ataków DoS,
należy pamiętać o instalowaniu zawsze odpowiednich łat bądz
o sprawdzeniu, czy sys-
tem nie jest już wyposażony w odpowiednie zabezpieczenie. Inną metodą obrony
przed atakiem Land jest ustawienie odpowiednich filtrów na zaporze sieciowej. Mają
one za zadanie odrzucenie wszystkich przychodzących datagramów IP z błędnymi ad-
resami IP, czyli przychodzących z zewnątrz do naszej zapory sieciowej datagramów,
których adres z
ródłowy wskazuje, że pochodzą z naszej wewnętrznej sieci lokalnej.
Zabezpieczeniem będzie więc odpowiednia filtracja pakietów. Wśród znanych z
ró-
dłowych adresów IP powinniśmy odfiltrowywać następujące:
10.0.0.0 to 10.255.255.255,
172.16.0.0 to 172.31.255.255,
192.168.0.0 to 192.168.255.255,
czyli adresy należące do sieci prywatnych oraz
127.0.0.0 to 127.255.255.255 (adresy pętli zwrotnej).
Przykładową regułę odrzucającą przychodzące z zewnątrz do naszej sieci pakiety
z prywatnymi adresami z klasy 10.0.0.0/8 przedstawiono na rysunku 3.10.
Rys nek 3.10.
Reguła zapory
sieciowej, która
nie wpuszcza
do wnętrza naszej
sieci pakietów
z adresami IP
z prywatnej sieci
10.0.0.0/8
162 101 zabezpieczeń przed atakami w sieci komp terowej
Zabezpieczenie nr 45. Ochrona przed atakiem Land
za pomocą programu Snort (reguła systemu IDS)
Aby chronić się przed atakiem Land, możemy też wykorzystać regułę systemu IDS.
Regułę tę pokazano poniżej:


Atak Naptha
Atak ten działa podobnie do ataku SYN-flood. Również wykorzystuje moment na-
wiązywania połączenia TCP między klientem i serwerem i, analogicznie do ataku
SYN-flood, jego zadaniem jest zajęcie całej kolejki połączeń serwera i uniemożliwie-
nie korzystania z danej usługi. Różnica w stosunku do zalewania segmentami SYN
polega na tym, że atakujący wysyła pakiety SYN na określony port komputera ofiary
i oczekuje na powracające pakiety SYN/ACK (w przypadku ataku SYN-flood ataku-
jący wysyła tylko pakiety SYN i nic więcej nie robi). Jeśli atakujący zauważy pakiety
powrotne SYN/ACK, wysyła do ofiary segment z ustawionymi flagami FIN/ACK.
Powoduje to przestawienie serwera w stan tzw. pasywnego zamknięcia. Wynika on
stąd, że serwer po odebraniu segmentu FIN/ACK odsyła pakiet FIN i czeka na pakiet
ACK, którego nigdy nie otrzymuje. Serwer przechodzi w stan LAST_ACK i oczekuje
na przyjście ostatniego segmentu ACK. W systemie Windows 98 stan ten utrzymy-
wany jest przez około dwie minuty. W tym czasie serwer odrzuca wszelkie próby na-
wiązania z nim połączenia sieciowego (dopóty będzie ignorował wszystkie pakiety
SYN, dopóki nie zwolni się miejsce w kolejce). Zalewając w ten sposób ofiarę sfał-
szowanymi segmentami SYN atakujący skutecznie blokuje możliwość korzystania
z danej usługi.
Ograniczeniem tego ataku jest fakt, że napastnik musi  generując fałszywe pakiety
SYN  podszywać się w nich pod adresy IP z własnej sieci. Jest to wymóg koniecz-
ny, aby powracające od zaatakowanej maszyny pakiety SYN/ACK mogły być zauwa-
żone przez napastnika i tym samym, by mógł on wysyłać poprawnie zbudowane pa-
kiety FIN/ACK. Napastnik musi w pakiecie SYN/ACK odczytać numer sekwencyjny
i na jego podstawie zbudować poprawny dla ofiary pakiet FIN/ACK. Wysyłanie pa-
kietów FIN/ACK z ustawionym niepoprawnym numerem sekwencyjnym zakończy
się niepowodzeniem, ponieważ port ofiary stwierdzi, że pakiety takie nie należą do
danego połączenia.
Na poniższym listingu pokazano sposób przeprowadzania ataku:



Systemy podatne na ten atak to:
Microsoft Windows 95,
Microsoft Windows 98,
Rozdział 3. f& Metody obrony przed atakami DoS i DDoS 163
Microsoft Windows 98SE,
Microsoft Windows Millennium,
Windows NT 4.0,
HP-UX 11,
IBM AIX 4.3,
Sun Solaris 7-8,
FreeBSD 4.0 wersja RELEASE,
RedHat Linux 6.1  7.0,
Systemy Linux oparte na jądrze z serii 2.0.
Na rysunku 3.11 przedstawiono stany połączeń na porcie 139. serwera po wykonaniu
ataku SYN-flood w systemie Windows 98. Na kolejnym (rysunek 3.12) dla porównania
widać stany połączeń, ale po wykonaniu ataku Naptha. Listę takich stanów uzyskano po
wydaniu polecenia .
Rys nek 3.11.
Stany połączeń
serwera
po wykonaniu
ataku SYN-flood
Rys nek 3.12.
Stany połączeń
serwera
po wykonaniu
ataku Naptha
Po wykonaniu ataku Naptha próba połączenia się z usługą na porcie 139. zakończy
się niepowodzeniem (rysunek 3.13).
164 101 zabezpieczeń przed atakami w sieci komp terowej
Rys nek 3.13.
Próba
ustanowienia
połączenia
z portem 139
ofiary po
wykonaniu
ataku naptha


Wyszukiwarka

Podobne podstrony:
ABC ochrony komputerami przed atakami hackera
Sieci komputerowe wyklady dr Furtak
4 Sieci komputerowe 04 11 05 2013 [tryb zgodności]
Sieci komputerowe cw 1
Sieci komputerowe
ABC sieci komputerowych
Sieci komputerowe I ACL NAT v2
,sieci komputerowe,Zestaw protokołów TCP IP (2)

więcej podobnych podstron