Nабо знаходимось на маршруті проходження пакета,

nабо знаходимось в тому ж сегменті мережі, що й хост, від імені якого ми виступаємо, причому в цьому сегменті всі пакети надходять всім хостам (логічна топологія спільна шина),

Nабо ми вже здійснили відповідну атаку на маршрутизатор, комутатор чи точку доступу бездротового зв’язку

¨Вгадати випадкове 32-розрядне значення ISSb за прийнятний час теоретично неможливо

Nякщо алгоритм генерування ISSb не забезпечує випадковість цього числа, у порушника є можливість таку атаку здійснити

NДодатковий захист забезпечується тим, що за стандартом при отриманні неочікуваного пакета хост повинен відправити пакет з прапором RST, і цей пакет розриває з’єднання

¨Зокрема, такий пакет відправляє хост, який не надсилав SYN-пакет і несподівано отримав SYN-ACK-пакет

NТаким чином, прийнята 3-стадійна процедура рукостискання здатна суттєво обмежити можливості порушників у встановленні з’єднань від чужого імені

Атака SYN-Flood

NКожне окреме з’єднання вимагає певних ресурсів системи

¨На кожний отриманий TCP-запит на створення з’єднання операційна система хосту повинна згенерувати початкове значення ISN та відіслати його у відповідь на хост, що ініціює з’єднання

¨Для того, щоби в подальшому підтримувати TCP-з’єднання, ОС хосту має виділити буфер у пам’яті для тимчасового зберігання отриманих пакетів і підтверджень на надіслані пакети

NЦе означає, що існує принципова можливість ці ресурси вичерпати, змусивши систему припинити обслуговування нових з’єднань.

NЯкщо від хосту порушника надходить запит на встановлення з’єднання, то атакований хост виділяє на обробку цього з’єднання певні ресурси, відправляє SYN-ACK-пакет і чекає на пакет, що завершує процедуру рукостискання

¨Такий стан називається напіввідкрите з’єднання

¨При цьому протягом виділеного тайм-ауту ресурси атакованого хосту продовжують бути зайнятими, в той час як хост порушника жодних ресурсів не резервує

NДля успішної DoS-атаки порушнику достатньо ініціювати значну кількість напіввідкритих з’єднань

NВаріант цієї DoS-атаки спрямований на певний TCP-порт, тобто, на певну мережну службу

¨Він полягає в тому, що на атакований хост передають кілька десятків (можливо, сотень) запитів на підключення до однієї служби (наприклад, до FTP-сервера)

¨Деякі мережні ОС влаштовані так, що виділяють ресурси кожній службі окремо, і не перерозподіляють їх. На практиці це означає, що черга запитів до кожної мережної служби досить чітко обмежена

Захист від атаки SYN-Flood

NЗа термінологією CERT (Computer Emergency Response Team) ця атака має назву TCP SYN Flooding and IP Spoofing Attack — затоплення TCP-запитами з несправжніх IP-адрес.

NМожливість цієї атаки є прямим наслідком недоліків мережних протоколів IPv4 та TCP. Сервери принципово не можуть бути абсолютно захищені від такої атаки.

nЗаходами захисту від цієї атаки є:

¨підвищення продуктивності сервера;

¨обмеження пропускної здатності каналу зв’язку;

¨збільшення обсягів пам’яті сервера, подовження черг запитів до кожного окремого порту;

¨максимальне скорочення тайм-аутів.

nКожна з цих рекомендацій має свої обмеження:

¨або суто економічні (підвищення продуктивності, збільшення обсягів пам’яті),

¨або з міркувань доступності сервера для звичайних користувачів (обмеження пропускної здатності каналу, скорочення тайм-аутів).

NУ минулому більш стійкими до такого типу атак показували себе суто клієнтські системи (наприклад, Windows 9x)

¨Відсутність серверів дозволяла цим системам миттєво поновлювати працездатність після припинення атаки

¨В наш час таких суто клієнтських систем практично не існує

¨Однією з важливих задач адміністрування є відключення всіх служб, які не повинні бути задіяні на конкретній машині

Можливість підміни суб’єкта з’єднання

NПакет буде прийнятий як коректний черговий пакет в певному TCP-з’єднанні, якщо в ньому будуть вірні значення

¨IP-адрес джерела і призначення

¨TCP-портів джерела і призначення

¨Sequence Number та Acknowledgment Number (ISSa та ISSb)

NПорушнику треба знати або вгадати усі зазначені параметри

¨Будемо вважати, що IP-адреси йому відомі

¨Напевно, порушнику відомий номер порту сервера, який тісно пов’язаний із службою, до якої він звертається

¨Номер порту клієнта і два 32-розрядних номера послідовностей треба або знати, або вгадати

nЯкщо це вдасться, порушник може надіслати пакет з будь-якого хосту в мережі Інтернету від імені одного з учасників з’єднання (наприклад, від імені клієнта), і цей пакет буде прийнятий як правильний

NЯкщо можливе прослуховування трафіка, то протокол TCP не дозволяє захистити з’єднання

Можливість підміни суб’єкта з’єднання без прослуховування _(1/2)

NІснує принципова можливість атаки і в тому випадку, коли порушник не має можливості прослуховування

¨Для підміни суб’єкта вже встановленого з’єднання без аналізу трафіка, навіть за умови знання номеру порту клієнта, порушник має вгадати два 32-розрядні числа

¨Для цього необхідні 264 спроби, що за прийнятний час є абсолютно неможливим

NІнша ситуація виникає тоді, коли порушник намагається встановити з’єднання від імені іншого хосту

¨Така атака може бути корисною у випадках, коли порушник намагається здійснити проникнення через брандмауер, або у випадках, коли між хостами існують довірчі відносини

¨Порушнику необхідно вгадати лише одне 32-розрядне значення — початковий номер послідовності ISN, згенерований хостом, до якого здійснюється підключення

¨Якби це значення було випадковим, то вгадати його за прийнятний час було б неможливо. Але насправді і розробники протоколу TCP (автори RFC 793), і розробники мережних функцій ядер різних операційних систем ставились до процедури генерування початкових значень номерів послідовностей без належної уваги

NВ RFC 793 рекомендується збільшувати значення цього 32-розрядного лічильника на 1 кожні 4 мікросекунди

NВ ранніх Berkeley-сумісних ядрах ОС UNIX значення цього лічильника збільшувалося на 128 кожної секунди і на 64 для кожного нового з’єднання

nВ старих ядрах ОС Linux значення ISN обчислювалось в залежності від часу за формулою:

nISN = µsec + 1000000×sec,

nде µsec — час у мікросекундах; sec — поточний час в секундах (відлік ведеться від 1970-го р.)

NВ ОС Windows NT 4.0 значення ISN збільшувалось на 10 приблизно кожну мілісекунду, тобто

nISN = 10×msec,

Nде msec — поточний час у мілісекундах

Можливість підміни суб’єкта з’єднання без прослуховування

NЯкщо в ОС використовується часозалежний алгоритм генерування початкового значення ідентифікатора TCP-з’єднання, то порушник має можливість заздалегідь дослідити цей алгоритм і в процесі спроби встановлення з’єднання приблизно визначити значення ISN

nНа практиці точне значення ISN визначити не вдається (наприклад, поточне значення лічильника мікросекунд є практично випадковим числом в діапазоні 0...10⁶-1)

NАле діапазон, в якому знаходиться необхідне значення, є достатньо вузьким для того, щоби успішно здійснити підбирання ISN шляхом перебору

¨Порушник спочатку намагається встановити з’єднання з будь-якою дозволеною службою атакованого комп’ютера і, аналізуючи заголовок пакета-відповіді, визначає приблизний час доставки пакета, поточний час на віддаленому комп’ютері і поточне значення ISN

¨Далі, використовуючи заздалегідь визначену ним функцію залежності ISN від часу, порушник здатен з певною точністю математично передбачити значення ISN, що буде згенероване у відповідь на його спробу підключення від імені іншого комп’ютера

nТака атака отримала назву передбачення номера послідовності TCP (TCP Sequence Number Prediction)

Схема атаки Мітника

Безпека протоколу Telnet

nЗ погляду безпеки стандартний протокол Telnet має такі суттєві вади:

¨протокол не передбачає ідентифікації й автентифікації, а також контролю послідовності переданих даних, у цьому він цілком покладається на протокол TCP

¨у всіх режимах, крім лінійного, не передбачене шифрування (нагадаємо, що протокол Telnet на практиці дуже часто використовується для віддаленого адміністрування серверів і мережного обладнання, отже, ймовірною є передача конфіденційних даних, зокрема паролів)