Илья Медведовский - Атака на Internet
- Название:Атака на Internet
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Илья Медведовский - Атака на Internet краткое содержание
Эта книга является одним из первых специализированных изданий, написанных отечественными авторами, которое посвящено обстоятельному анализу безопасности сети Internet. В книге предлагаются и подробно описываются механизмы реализации основных видов удаленных атак как на протоколы TCP/IP и инфраструктуру Сети, так и на многие популярные сетевые операционные системы и приложения.
Особое внимание авторы уделили причинам возникновения и успеха удаленных атак, а также их классификации. Были также рассмотрены основные способы и методы защиты от удаленных атак.
Издание предназначено для сетевых администраторов и пользователей Internet, администраторов безопасности, разработчиков систем защит, системных сетевых программистов, студентов и аспирантов вузов, а также для всех интересующихся вопросами нарушения и обеспечения информационной безопасности компьютерных сетей.
Атака на Internet - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Моя конфигурация:
server = SPARC с ОС Solaris 1, обслуживающий х-terminal;
х-terminal = бездисковая рабочая станция SPARC с ОС Solaris 1;
target = основная цель атаки.
Атака началась 25 декабря 1994 года в 14:09:32. Первые попытки зондирования осуществлялись с хоста toad.com (информация взята из log-файла).
14:09:32 toad.com# finger -l @target
14:10:21 toad.com# finger -l @server
14:10:50 toad.com# finger -l root@server
14:11:07 toad.com# finger -l @x-terminal
14:11:38 toad.com# showmount -e x-terminal
14:11:49 toad.com# rpcinfo -p x-terminal
14:12:05 toad.com# finger -l root@x-terminalЗондирование системы позволило определить, есть ли у нее другие доверенные системы для дальнейшей атаки. То, что атакующий смог запустить программы showmount и rpcinfo, означало, что он является пользователем root на хосте toad.com.
Через шесть минут мы видим шторм TCP-запросов на создание соединения с адреса 130.92.6.97 на 513-й порт (login) хоста server. При этом основная цель атакующего – этими однонаправленными TCP-запросами переполнить очередь на 513-ом порту сервера так, чтобы он не смог отвечать на новые запросы на создание соединения. Особенно важно, чтобы сервер не смог сгенерировать TCP-пакет с битом RST в ответ на неожиданно пришедший TCP-пакет с битами SYN и ACK.
Так как порт 513 является привилегированным портом, то теперь IP-адрес хоста server.login может быть свободно использован атакующим для атаки с использованием подмены адреса на r-службы UNIX-систем (rsh, rlogin).Шимомура здесь и далее после имени или IP-адреса хоста через точку указывает порт назначения. Поэтому запись server.login означает хост server и порт login (513). Соответственно, например, первая из распечатки log-файла запись 130.92.6.97.600 означает, что пакет передается с IP-адреса 130.92.6.97 с 600-го порта.
IP-адрес 130.92.6.97 атакующий выбрал случайным образом из неиспользуемых адресов (ему не нужно получать пакеты, передаваемые на этот адрес).
14:18:22.516699130.92.6.97.600 > server.login: S 1382726960:1382726960(0) win 4096
14:18:22.566069130.92.6.97.601 > server.login: S 1382726961:1382726961(0) win 4096
14:18:22.744477130.92.6.97.602 > server.login: S 1382726962:1382726962(0) win 4096
14:18:22.830111130.92.6.97.603 > server.login: S 1382726963:1382726963(0) win 4096
14:18:22.886128130.92.6.97.604 > server.login: S 1382726964:1382726964(0) win 4096
14:18:22.943514130.92.6.97.605 > server.login: S 1382726965:1382726965(0) win 4096
14:18:23.002715130.92.6.97.606 > server.login: S 1382726966:1382726966(0) win 4096
14:18:23.103275130.92.6.97.607 > server.login: S 1382726967:1382726967(0) win 4096
14:18:23.162781130.92.6.97.608 > server.login: S 1382726968:1382726968(0) win 4096
14:18:23.225384130.92.6.97.609 > server.login: S 1382726969:1382726969(0) win 4096
14:18:23.282625130.92.6.97.610 > server.login: S 1382726970:1382726970(0) win 4096
14:18:23.342657130.92.6.97.611 > server.login: S 1382726971:1382726971(0) win 4096
14:18:23.403083130.92.6.97.612 > server.login: S 1382726972:1382726972(0) win 4096
14:18:23.903700130.92.6.97.613 > server.login: S 1382726973:1382726973(0) win 4096
14:18:24.003252130.92.6.97.614 > server.login: S 1382726974:1382726974(0) win 4096
14:18:24.084827130.92.6.97.615 > server.login: S 1382726975:1382726975(0) win 4096
14:18:24.142774130.92.6.97.616 > server.login: S 1382726976:1382726976(0) win 4096
14:18:24.203195130.92.6.97.617 > server.login: S 1382726977:1382726977(0) win 4096
14:18:24.294773130.92.6.97.618 > server.login: S 1382726978:1382726978(0) win 4096
14:18:24.382841130.92.6.97.619 > server.login: S 1382726979:1382726979(0) win 4096
14:18:24.443309130.92.6.97.620 > server.login: S 1382726980:1382726980(0) win 4096
14:18:24.643249130.92.6.97.621 > server.login: S 1382726981:1382726981(0) win 4096
14:18:24.906546130.92.6.97.622 > server.login: S 1382726982:1382726982(0) win 4096
14:18:24.963768130.92.6.97.623 > server.login: S 1382726983:1382726983(0) win 4096
14:18:25.022853130.92.6.97.624 > server.login: S 1382726984:1382726984(0) win 4096
14:18:25.153536130.92.6.97.625 > server.login: S 1382726985:1382726985(0) win 4096
14:18:25.400869130.92.6.97.626 > server.login: S 1382726986:1382726986(0) win 4096
14:18:25.483127130.92.6.97.627 > server.login: S 1382726987:1382726987(0) win 4096
14:18:25.599582130.92.6.97.628 > server.login: S 1382726988:1382726988(0) win 4096
14:18:25.653131130.92.6.97.629 > server.login: S 1382726989:1382726989(0) win 4096Хост server на первые восемь запросов генерирует соответственно восемь ответов, после чего очередь переполняется. Хост server периодически будет посылать эти ответы, но так и не дождется на них никакой реакции.
Кстати, наши эксперименты, описанные в разделе «Направленный шторм ложных TCP-запросов на создание соединения», это подтвердили.
Далее мы видим 20 попыток создания соединения с хоста apollo.it.luc.edu на x-terminal.shell. Основная цель этих запросов – определить закон изменения начального значения идентификатора TCP-соединения на хосте x-terminal. Так как значение ISN увеличивается на единицу с каждым вновь посылаемым запросом, следовательно, эти запросы генерирует не ядро сетевой ОС. При этом очередь запросов на хосте x-terminal не переполняется, так как атакующий после каждого запроса передает пакет с битом RST, что означает «закрыть соединение».
14:18:25.906002apollo.it.luc.edu.1000 > x-terminal.shell: S 1382726990:1382726990(0) win 4096
14:18:26.094731x-terminal.shell > apollo.it.luc.edu.1000: S 2021824000:2021824000(0) ack 1382726991 win 4096
14:18:26.172394apollo.it.luc.edu.1000 > x-terminal.shell: R 1382726991:1382726991(0) win 0
14:18:26.507560apollo.it.luc.edu.999 > x-terminal.shell: S 1382726991:1382726991(0) win 4096
14:18:26.694691x-terminal.shell > apollo.it.luc.edu.999: S 2021952000:2021952000(0) ack 1382726992 win 4096
14:18:26.775037apollo.it.luc.edu.999 > x-terminal.shell: R 1382726992:1382726992(0) win 0
14:18:26.775395apollo.it.luc.edu.999 > x-terminal.shell: R 1382726992:1382726992(0) win 0
14:18:27.014050apollo.it.luc.edu.998 > x-terminal.shell: S 1382726992:1382726992(0) win 4096
14:18:27.174846x-terminal.shell > apollo.it.luc.edu.998: S 2022080000:2022080000(0) ack 1382726993 win 4096
14:18:27.251840apollo.it.luc.edu.998 > x-terminal.shell: R 1382726993:1382726993(0) win 0
14:18:27.544069apollo.it.luc.edu.997 > x-terminal.shell: S 1382726993:1382726993(0) win 4096
14:18:27.714932x-terminal.shell > apollo.it.luc.edu.997: S 2022208000:2022208000(0) ack 1382726994 win 4096
14:18:27.794456apollo.it.luc.edu.997 > x-terminal.shell: R 1382726994:1382726994(0) win 0
14:18:28.054114apollo.it.luc.edu.996 > x-terminal.shell: S 1382726994:1382726994(0) win 4096
14:18:28.224935x-terminal.shell > apollo.it.luc.edu.996: S 2022336000:2022336000(0) ack 1382726995 win 4096
14:18:28.305578apollo.it.luc.edu.996 > x-terminal.shell: R 1382726995:1382726995(0) win 0
14:18:28.564333apollo.it.luc.edu.995 > x-terminal.shell: S 1382726995:1382726995(0) win 4096
14:18:28.734953x-terminal.shell > apollo.it.luc.edu.995: S 2022464000:2022464000(0) ack 1382726996 win 4096
14:18:28.811591apollo.it.luc.edu.995 > x-terminal.shell: R 1382726996:1382726996(0) win 0
14:18:29.074990apollo.it.luc.edu.994 > x-terminal.shell: S 1382726996:1382726996(0) win 4096
14:18:29.274572x-terminal.shell > apollo.it.luc.edu.994: S 2022592000:2022592000(0) ack 1382726997 win 4096
14:18:29.354139apollo.it.luc.edu.994 > x-terminal.shell: R 1382726997:1382726997(0) win 0
14:18:29.354616apollo.it.luc.edu.994 > x-terminal.shell: R 1382726997:1382726997(0) win 0
14:18:29.584705apollo.it.luc.edu.993 > x-terminal.shell: S 1382726997:1382726997(0) win 4096
14:18:29.755054x-terminal.shell > apollo.it.luc.edu.993: S 2022720000:2022720000(0) ack 1382726998 win 4096
14:18:29.840372apollo.it.luc.edu.993 > x-terminal.shell: R 1382726998:1382726998(0) win 0
14:18:30.094299apollo.it.luc.edu.992 > x-terminal.shell: S 1382726998:1382726998(0) win 4096
14:18:30.265684x-terminal.shell > apollo.it.luc.edu.992: S 2022848000:2022848000(0) ack 1382726999 win 4096
14:18:30.342506apollo.it.luc.edu.992 > x-terminal.shell: R 1382726999:1382726999(0) win 0
14:18:30.604547apollo.it.luc.edu.991 > x-terminal.shell: S 1382726999:1382726999(0) win 4096
14:18:30.775232x-terminal.shell > apollo.it.luc.edu.991: S 2022976000:2022976000(0) ack 1382727000 win 4096
Читать дальшеИнтервал:
Закладка:
