Цель работы: необходимо сделать доклад об одной из компьютерных атак на выбор. Тема доклада не должна повторяться среди студентов одного потока. Доклад должен в себя включать подробное описание последовательности действий злоумышленника с примерами.
Основная часть
Компьютерная безопасность является важным фактором в нашем информационном мире с Интернетом и цифровыми материалами. За последние двадцать лет сетевая безопасность постоянно развивалась. Более безопасные реализации систем изобретаются для замены старых менее не безопасных реализаций. Кевин Митник смог взломать компьютер X-Terminal Цутому Шимомура из-за ранней реализации TCP - соединения, которое в то время не было действительно безопасным. С огромным желанием любопытства Митник сделал то, чего до него еще никто не делал. Он использовал доверительные отношения между двумя компьютерами, выполнив атаку «человек посередине» под поддельным именем. Его атака сделала его самым известным хакером в Соединенных Штатах Америки.
Кевин Митник (родился 6 октября 1963 г.) известен как «самый известный» хакер в Соединенных Штатах Америки. Он является экспертом в области социальной инженерии, что помогло ему получить много секретной информации, используемой для его хакерского хобби. В раннем возрасте он был в списке самых разыскиваемых киберпреступников ФБР. Он был схвачен ФБР с помощью Цутому и приговорен к 5 годам тюремного заключения. Сейчас он консультант по безопасности в собственной фирме Mitnick Security Consulting.
Трехстороннее рукопожатие
Если между двумя компьютерами (например, сервером и клиентом) существуют доверительные отношения, соединение может быть установлено с помощью трехэтапного рукопожатия. В атаке Митника трехстороннее
рукопожатие использовало порядковый номер TCP и IP-адрес в качестве доказательства личности и подписи. Трехстороннее рукопожатие состоит из трех шагов:
Шаг 1: запрос SYN
Компьютер A отправляет запрос SYN под своим IP-адресом со случайным порядковым номером TCP xA на компьютер B.
Шаг 2: ответ SYN/ACK
Компьютер B отправляет ответ ACK с номером (xA+1) и своим собственным случайным порядковым номером TCP xB обратно на компьютер A.
Шаг 3: ответ ACK или RESET
Если компьютер A хочет установить соединение, он отправляет ответ ACK с номером (xB+1) обратно компьютеру B. В противном случае он отправляет ответ RESET, чтобы отказаться от запроса на соединение.
Атака
Атака Митника состояла из пяти основных шагов:
Шаг 1: Сбор информации
Перед атакой Митник смог определить поведение генератора порядковых номеров TCP X-Terminal и доверительные отношения между X-Terminal и сервером.
Определение поведение генератора порядковых номеров TCP.
Митник отправил запрос SYN на X-терминал и получил ответ SYN/ACK. Затем он отправил ответ RESET, чтобы X-терминал не был заполнен. Он повторил это двадцать раз. Он обнаружил, что существует закономерность между двумя последовательными порядковыми номерами TCP. Оказалось, что числа были вовсе не случайными. Последнее число было больше предыдущего на 128000.
Определение доверительных отношения между X-терминалом и сервером. Перед нападением Митник взломал веб-сайт Шимомура. Он использовал команду finger и showmount, чтобы выяснить, есть ли у X-Terminal доверительные отношения с какими-либо другими компьютерами.
Шаг 2: Потоп
Митник отключил сервер, заполнив сервер полуоткрытыми запросами SYN с поддельного IP-адреса. Для создания полуоткрытых SYN-запросов он использовал маршрутизируемый, но не активный IP-адрес. Поскольку он не собирался завершать трехэтапное рукопожатие с Сервером, полуоткрытый SYN-запрос быстрее занимал память Сервера. В результате Сервер не смог ответить ни на какие другие запросы. Это тип атаки типа «отказ в обслуживании».
Шаг 3: Взлом доверенных отношений
Митник отправил запрос SYN на X-терминал с поддельным IP-адресом в качестве сервера. Он использовал произвольное число в качестве порядкового номера TCP Сервера. X-терминал отправил серверу ответ SYN/ACK. Поскольку сервер был отключен, он не получил ответ SYN/ACK. На этапе сбора информации, Митник смог сгенерировать порядковый номер TCP, созданный X-Terminal для сервера. Митник снова подделал свой IP-адрес под IP-адрес Сервера и отправил ответ ACK на X-Terminal, чтобы завершить трехстороннее рукопожатие. Поскольку возвращенный порядковый номер TCP был правильным, X-Terminal разрешил Митнику подключиться к нему. Связь была установлена. После завершения этого шага компьютер Шимомуры считался взломанным.
Шаг 4: Дистанционное управление насосом
Митник хотел создать бэкдор на компьютере Шимомура, чтобы он мог вернуться позже, не повторяя захват. Он перекачивал команды со своего компьютера на компьютер Шимомуры. Если быть точным, это были "echo + + >> /.rhosts". ++ позволял любым компьютерам подключаться к X-Terminal без проверки.
Шаг 5: Очистка
Митник отправил ответы RESET на сервер, чтобы отменить все его запросы SYN. Сервер был очищен.
В настоящее время атака Митника больше не актуальна, потому что безопасность в сети намного лучше, чем раньше. Однако предотвращение атак Митника — это наименьшее требование, которому система должна удовлетворять, чтобы считаться безопасной.
Рисунок 1 – Схема действий злоумышленника в виде орграфа
Вывод: в ходе лабораторной работы сделали доклад об одной из компьютерных атак «Ip-спуффинг».
Гордиенко
Л.В.
