Коллектив авторов - Защита от хакеров корпоративных сетей

Кроме того, полезными могут оказаться такие машины поиска в сети Интернет (инструментальные средства, предназначенные для отсеивания информации, не относящейся к теме запроса), или, другими словами, поисковики, как, например, astalavistabox.sk и securityfocus.com. Они содержат множество ссылок на новейшие сайты. Эти сайты имеют тенденцию постоянно перемещаться, что объясняется расположенной на них информацией. Поэтому ссылки на них должны все время обновляться.

Атаки на протокол разрешения адресов ARP

Другим способом удостовериться злоумышленнику в том, что все пакеты атакованной машины проходят через его машину, является модификация ARP таблицы на машине жертвы (машинах жертв). ARP-таблицы обеспечивают преобразование MAC-адресов (MAC – Media Access Control, протокол управления доступом к передающей среде. Подуровень канального уровня, задающий методы доступа к среде, формат кадров, способ адресации) в IP-адреса на каждой машине. ARP разработан как динамический протокол, поэтому при добавлении новых машин к сети или при присваивании машинам по разным причинам новых MAC-адресов адреса машин в сети обновляются автоматически в течение сравнительно короткого периода времени. В этом протоколе не предусмотрено никакой аутентификации.

Когда машина жертвы выдает широковещательный запрос (передает одно сообщение сразу всем станциям сети) определения MAC-адреса, соответствующего какому-либо IP-адресу (возможно, это IP-адрес шлюза по умолчанию на машине жертвы), все, что нужно сделать злоумышленнику, – это успеть ответить на него до того, как ответит настоящая машина. Это – классическое состояние гонок. Злоумышленник может повысить свои шансы на успех, загрузив истинный шлюз дополнительной работой, чтобы он не смог слишком быстро ответить.

До тех пор, пока злоумышленник будет правильно транслировать трафик машины жертвы (или успешно фальсифицировать факсимиле сервера, с которым пытается общаться жертва), жертва вряд ли заметит какие-либо изменения. Безусловно, если акцентировать внимание, то можно найти определенные различия. Например, после такой атаки каждый пакет проходит один и тот же сегмент локальной сети дважды, что слегка повышает объем пересылаемых по сети данных и само по себе является подозрительным. Но главный недостаток заключается в изменении на машине жертвы ARP-кэша. Это достаточно просто отследить, если заранее подготовиться к этому. Одним из инструментальных средств отслеживания подобных изменения является программа arpwatch, которую можно найти по адресу: ftp:// ee.lbl.gov/arpwatch.tar.gz.

Инструментарием проведения ARP-атак является программа grat_arp, которая из-за отсутствия официального имени так и называется. Программа grat_arp была написана Мудге (Mudge) и некоторыми его неизвестными друзьями, как он сам это утверждает. Ее можно найти в разных местах, например по адресу www.securityfocus.com/archive/82/28493. Хорошая статья на данную тему (вместе с прилагаемой программой send_arp.c) расположена по адресу www.securityfocus.com/archive/1/7665.

В дополнение к вышесказанному может быть использована упоминавшаяся в главе 10 программа arpspoof. Она является частью инструментального средства dsniff, доступного на www.monkey.org/~dugsong/dsniff. Программа arpspoof выполняет большую часть работы в автоматическом режиме.

Некоторые из упомянутых выше функциональных возможностей встроены в программу Hunt, которая будет описана ниже в этой главе, в специально посвященном ей пункте.

Заметьте, что ухищрения с протоколом ARP хороши не только для злоумышленника, позволяя ему перенаправлять трафик через свою машину. Их можно использовать для мониторинга всего трафика при переключении конфигурации сети. Обычно когда между машиной злоумышленника и машиной жертвы расположен коммутатор (или любой из мостов уровня канала передачи данных), злоумышленник не может наблюдать за трафиком машины жертвы. Эксперименты с протоколом ARP – один из путей решения этой проблемы. Подробнее об этом рассказано в главе 10.

Перехват пользовательского протокола данных UDP

После рассмотрения основных сведений о перехвате сеанса TCP остальное будет несложно. Проблемы, с которыми злоумышленник сталкивается при перехвате сеанса TCP, обусловлены встроенными защитными механизмами, повышающими надежность его работы. Если бы не было последовательных номеров, механизма уведомления ASK и других вещей, используемых протоколом TCP для повышения надежности доставки пакетов адресату, злоумышленнику было бы гораздо проще жить. Догадываетесь, куда клонит автор? У пользовательского протокола данных UDP нет этих защитных механизмов. По крайней мере, даже если они и есть, то они не реализованы в той степени, как в протоколе TCP. Тем не менее разработчик протокола может реализовать необходимые ему защитные механизмы протокола TCP поверх протокола UDP. Известно об очень немногих попытках реализации даже малой части защитных механизмов протокола TCP. В сетевой файловой системе NFS реализовано что-то похожее на последовательные номера и возможности ретрансляции, но гораздо проще, чем в протоколе TCP.

Поэтому чаще всего похищение UDP-сессий сводится к состоянию гонок: кто быстрее сможет получить отклик в виде соответствующего пакета – злоумышленник или легитимный сервер с клиентом? Чаще всего в гонке выигрывает злоумышленник, поскольку у него всегда есть возможность подготовиться к атаке. Злоумышленнику необходимы инструментальные средства, с помощью которых он мог бы наблюдать за запросами, генерировать фальсифицированный ответ настолько быстро, насколько это возможно, а затем вбрасывать его в сеть.

Например, для перехвата очень привлекательна служба имен доменов DNS. Допустим, что атакующая машина злоумышленника находится ближе к клиенту, чем DNS-сервер. Тогда последовательность действий злоумышленника может быть следующей:

• злоумышленник претендует на роль какого-либо Web-сервера, например securityfocus.com;

• злоумышленник настраивает и оснащает свою машину таким образом, чтобы она отслеживала запросы, предназначенные для securityfocus.com, и сохраняла копию пакета;

• злоумышленник извлекает из запроса идентификатор запроса (request ID), а затем использует его для завершения формирования и отправки ответного пакета, приготовленного заранее и указывающего на IP-адрес злоумышленника;

• после этого клиент соединяется с машиной злоумышленника вместо securityfocus.com;

• в результате к клиенту приходит сообщение об установке соединения с securityfocus.com: «SecurityFocus has been 0wned».

Конечно, в данном случае соединение с сервером на самом деле не было установлено, но клиент об этом не знает до тех пор, пока он не додумается проверить IP-адрес securityfocus.com. В качестве альтернативы злоумышленник может сделать свой Web-сервер идентичным серверу securityfocus.com, но все загружаемые с него программы безопасности будут превращены в Троянских коней. Другая часть пакета dsniff — утилита dnsspoof – помогает реализовать подобные атаки.

Популярные инструментальные средства перехвата сеанса

На сегодняшний день широко известен ряд инструментальных средств, существенно облегчающих перехват сеансов. В некоторых случаях они работают в автоматическом режиме. Инструментарии подобного типа являются важнейшей частью любой инструментальной панели безопасности. Для обсуждения их возможностей были выбраны некоторые из них, наиболее функциональные и популярные.

Программа Juggernaut

Программа Jaggernaut была написана редактором журнала «Phrack». Он посвятил программе статью в своем журнале, которую можно найти по адресу: http://staff.washington.edu/dittrich/talks/qsm-sec/P50-06.txt.

Демонстрационная версия программы 1.0 была представлена на суд общественности во время презентации на первой конференции по вопросам безопасности «Black Hat Briefings». В следующем выпуске журнала «Phrack» читателям был представлен файл исправлений. Исправленная с его помощью версия программы Jaggernaut стала известна как версия 1.2. Этот файл можно найти по адресу: http://staff.washington.edu/dittrich/talks/qsm-sec/P51-07.txt.

Будьте осторожны. Опубликованный файл исправлений немного подпорчен. При попытке воспользоваться им сразу станет видно, где конкретно он был изменен. Автор обошел эту проблему, удалив измененные части исправлений и вручную добавив несколько строк. Будьте также осторожны при загрузке файлов: они не в формате HTML-файлов, а текстовые. Поэтому при вырезке или вставке фрагментов файлов с Web-сайта в редактор Notepad или во что-нибудь еще вполне возможно, что вы столкнетесь с пропуском некоторых символов, которые Web-браузер попытался проинтерпретировать. Поэтому лучше выполнить команду «Сохранить как…» или облегчить себе жизнь, получив работающую версию на packetstormsecurity.org/new-exploits/1.2.tar.gz.

В процессе тестирования программа Jaggernaut не «видела» соединений до тех пор, пока не была включена опция GREED в сборочном файле проекта make-файл. В инсталляционном файле описано, как это сделать.