[ Pobierz całość w formacie PDF ]

Ataki na systemy komputerowe
administratorom.
Wykrywanie snifferów w sieci jest zadaniem trudnym, bowiem programy
tego typu działają pasywnie i nie zostawiają żadnych śladów w logach
systemowych. Do znalezienia sniffera na lokalnym komputerze można użyć sum
kontrolnych MD5, oczywiście pod warunkiem, że sam pakiet MD5 został
zainstalowany dostatecznie wcześnie, najlepiej zaraz po instalacji systemu,
a sama baza oryginalnych sum kontrolnych jest fizycznie niedostępna dla hakera
(np. na nośniku MO przechowywanym w bezpiecznym miejscu).
Inaczej sprawa wygląda, gdy haker podpiął się bezpośrednio do medium
transmisyjnego. W tym celu należy sprawdzić każdy centymetr kabla sieciowego,
bądz też zastosować narzędzia służące do mapowania topologii sieci. Użycie
urządzeń typu TDR (Time Domain Reflectometr) mierzącego propagację
i fluktuację fal elektromagnetycznych w medium może pozwolić na wykrycie
nielegalnego podłączenia do naszej sieci. Tylko zapobiegliwy administrator
przyczyni się do minimalizacji szkód powstałych w wyniku działania snifferów.
Sniffery przechwytują pakiety wędrujące po medium transmisyjnym, do
którego są podpięte. W związku z tym, podział sieci na mniejsze podsieci zmniejsza
ilość informacji, które mogą być przechwycone. Sniffery nie potrafią przejść takich
urządzeń jak bridge, switche czy routery. Niestety jest to bardzo kosztowne
rozwiązanie. Idealnym wydaje się więc szyfrowanie danych. Nawet jeśli haker
przechwyci pakiety, to zakodowane informacje w nich zawarte będą dla niego
bezużyteczne. Można tu napotkać problem, czy metoda szyfrowanej komunikacji
jest wspierana przez wszystkie strony biorące w niej udział, ponieważ szyfrowanie
sesji między-platformowych jest zjawiskiem dość rzadkim. Jeśli nie mamy do
dyspozycji szyfrowania sesji, należy korzystać z aplikacji, które oferują silne
dwukierunkowe szyfrowanie danych. Przykładem może być Secure Shell (SSH),
który zastępując standardowego telneta, przy negocjacji połączenia stosuje algorytm
RSA, a po autoryzacji transmisja kodowana jest algorytmem IDEA.
BEZPIECZECSTWO SYSTEMW KOMPUTEROWYCH 51
Ataki na systemy komputerowe
Sniffery pierwotnie używane były przez administratorów w celu identyfikacji
potencjalnych problemów, jednakże z czasem zostały zaadaptowane przez hakerów,
ponieważ świetnie nadają się do przechwytywania cennych danych.
BEZPIECZECSTWO SYSTEMW KOMPUTEROWYCH 52
Ataki na systemy komputerowe
3. Ataki aktywne
3.1. Spoofing
Terminem tym określa się podszywanie jednego komputera pod inny,
upoważniony do nawiązywania połączenia. Istnieje wiele różnych odmian
podszywania, jednak najpopularniejsze to IP-spoofing i DNS-spoofing.
IP-spoofing
Metoda ta polega na podsłuchiwaniu przez sniffer połączenia pomiędzy klientem
a serwerem i wyłapywaniu wysyłanych numerów sekwencji. Po znalezieniu
algorytmu jakim są one tworzone haker doprowadza do niestabilności połączenia,
np. poprzez atak SYN Flood na stacje klienta, zmienia numer IP na numer klienta
i przewidując numery sekwencji korzysta z istniejącego połączenia jako
autoryzowany użytkownik.
komputer komputer
hakera klienta
192.168.1.2 192.168.1.1
serwer
192.168.1.1
Rys. 10. Zasada działania IP-spoofingu.
BEZPIECZECSTWO SYSTEMW KOMPUTEROWYCH 53
Ataki na systemy komputerowe
DNS-spoofing
Jest to atak na serwer DNS, który posiada bazę danych przechowującą numery IP
dla poszczególnym adresów mnemonicznych. Atak DNS-spoofing polega na
ingerencji w tablicę DNS i modyfikacji poszczególnych wpisów tak, aby klient
zamiast do komputera docelowego kierowany był do komputera hakera.
stef.pl = 192.168.1.1
stef.pl = 192.168.1.2
192.168.1.1 stef.pl
stef.pl
komputer komputer
docelowy klienta
serwer DNS
komputer
hakera
Rys. 11. Zasada działania ataku DNS-spoofing. Modyfikacje przeprowadzone
w serwerze DNS (kolor czerwony) kierują klienta do maszyny hakera.
2
.
1
.
8
6
1
.
2
9
1
BEZPIECZECSTWO SYSTEMW KOMPUTEROWYCH 54
Ataki na systemy komputerowe
3.2. Hijacking
Jednym z najbardziej niebezpiecznych ataków na system komputerowy jest
atak polegający na przechwyceniu sesji w protokole TCP (ang. hijacking). Technika
polega na tym, że haker powoduje przerwanie połączenia zestawionego pomiędzy
klientem a serwerem, następnie podszywa się pod klienta i podsyła serwerowi
własne numery sekwencji. Aby mieć możliwość wglądu w przesyłane pakiety,
konieczne jest korzystanie ze sniffera, co w tym przypadku oznacza, że haker musi [ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • markom.htw.pl