Обман IDS: модель для сборки №1

//05.12.2005 | -=Jul=-

В этой статье мы рассмотрим некоторые методы обхода IDS. Начнем мы с атак, основанных на фрагментации, затем пойдем дальше и посмотрим как различные операционные системы собирают пакеты и чем это может быть полезным для обмана Систем Обнаружения Вторжения. Ну и закончим атаками, основанными на TTL, обратим внимание на одну из самых популярных NIDS за именем Snort и посмотрим как он с ними может справляться и что надо сделать с настройками что бы воспрепятствовать проникновению взломщика.

Введение

Статья "Insertion, Evasion and Denial Of Service: Eluding NIDS" положила начало исследованию способов обхода IDS. Большинство систем обнаружения вторжения поддерживают сборку TCP пакетов и способны отслеживать сессии. Некоторые DoS атаки обходят системы защиты переполняя потоковый буфер IDS, так что наблюдение за потоком нарушается. С другой стороны неплохой способ обхода заключается в предоставлении жертве и целевой системе разных пакетов -в одном случае определенные пакеты могут отвергаться целью нападения, а IDS будет думать, что поток непрерывен, а в другом IDS может отбрасывать неправильные по ее мнению данные в то время как жертвой они все будут благополучно восприниматься. Для работы с такими видами нападения хакеры используют фрагментацию пакетов, где поток нападения разбивается на отдельные части. Опишем некоторые техники взлома.

Давайте начнем с определений:

1. Фрагментация. Если пакет слишком велик для передачи по сети, он может быть разделен любым роутером (если это специально не запрещено) на множество фрагментов. Этот процесс называют фрагментацией. Система должна хранить поступающие фрагменты, ожидать будущих и собирать их в правильном порядке. Фрагменты/пакеты должны иметь значение TTL больше 1 для того, что бы проходить через роутер. Если роутер получает пакет или фрагмент со временем жизни равным 1 он уменьшает его на единицу, TTL становится равным 0 и пакет уже не идет дальше, а отправителю отсылается ICMP сообщение "Time Exceeded In Transit".
2. Таймаут сборки фрагментов (IP Fragment Reassembly Timeout). Это значение указывает нам на время, сколько фрагмент будет храниться несобранным, по его истечению он будет уничтожен. Это значение разнится для операционных систем и, например, используется для определения вида системы (OS fingerprint). Системы обнаружения вторжения так же собирают фрагменты воедино и потому так же имеют такой таймаут. Например, в Snort по умолчанию оно составляет 60 секунд, после чего начальный пакет потока будет уничтожен и поток сброшен.
3. ICMP сообщение о истечении времени сборки (ICMP Fragment Reassembly Time Exceeded message). Согласно RFC-792, если хост не может собрать фрагменты воедино в отведенное время из-за потерь, он должен выслать Сообщение об истечении времени (ICMP type=11, code=1). Если первый фрагмент недоступен, то и посылать сообщение не требуется.

Теперь уже можно перейти к сладкому и рассмотреть некоторые виды атак.