Добавлен: 09.11.2023
Просмотров: 104
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
, злоумышленник - подставное лицо - может получить всю необходимую информацию, чтобы войти в ее компьютерную сеть.
3.Современные методы взлома интрасетей
Выделяют четыре вида наиболее часто используемых методов взлома интрасетей и НСД к секретной информации:
Обмен данными по протоколу Ethernet подразумевает посылку пакетов всем абонентам одного сегмента интрасети. Заголовок пакета содержит адрес узла-приемника. Предполагается, что только узел с соответствующим адресом может принять пакет. Однако, если какой-то ПК в интрасети принимает все проходящие пакеты, независимо от их заголовков, то говорят, что она находится в promiscuous mode (смешанном режиме). Для злоумышленника не сложно перевести один из ПК подсети в promiscuous mode (предварительно получив на ней права root) и, вытягивая и анализируя пакеты, проходящие по каналам связи, получить пароли к большинству компьютеров интрасети.
В одном из наиболее распространенных методов перехвата данных при их перемещении по линиям связи в интрасети используется средство — сетевой анализатор или средство инспекции потоков данных, называемое sniffer ("ищейка"). Даже если потенциальный злоумышленник не имеет доступа к некоторому компьютеру, он может перехватить данные, посылаемые ему, в момент их прохождения по кабелю, который подключает данный компьютер к сети. Компьютер, подключенный к сети, аналогичен телефонному аппарату, подключенному к общему номеру. Любой человек может поднять трубку и подслушать чужой разговор. В случае передачи данных любой компьютер, соединенный с сетью, способен принимать пакеты, посылаемые другой станции. Главная проблема sniffer заключается в том, чтобы он успевал перерабатывать весь трафик, который проходит через интерфейс. Также есть возможность запустить sniffer в режиме non-promiscuous, но тогда будет возможность перехватывать соединения только с тем ПК, на котором он запущен.
Для перехвата символов с клавиатуры существуют многочисленные утилиты, позволяющие контролировать все символьные строки, вводимые на выбранном злоумышленником в качестве жертвы компьютере. Некоторые из них встроены в утилиты контроля данных, посылаемых с хоста во время сеансов FТР или Теlnet, а другие буферизируют все символьные строки, вводимые с различных терминалов, связанных с хостом. Для ПК
имеются многочисленные программы, которые выполняют те же самые функции, наблюдая за вводом с клавиатуры и сохраняя символьные строки в файл. Есть такие программы, которые никак себя не проявляют на компьютере-жертве, однако сохраняют весь ввод клавиатуры в скрытом файле.
На многих ПК с ОС UNIX используется графический интерфейс, известный как X Window (иначе называемая X11). Он позволяет пользователю легко выполнять несколько приложений и переходить с одного на другое. Пользователь начинает Х-сессию, соединяясь с Х-сервером и указывая, что данные должны посылаться на определенный терминал. Это может быть как системная консоль, так и любой другой терминал, соединенный с сервером. Взаимодействие Х-клиента и Х-сервера происходит в рамках протокола прикладного уровня - Х-протокола. Х-сервер представляет собой отдельный UNIX-процесс. Он общается с программами-клиентами, посылая им или принимая от них пакеты данных. Если сервер и клиент находятся на разных ПК, то данные пересылаются по сети, а если на одном, то используется внутренний канал.
X Window обеспечивает два различных механизма аутентификации:
1) механизм аутентификации хостов позволяет определить, с какого компьютера приложения могут соединяться с Х-сервером, т.е. заранее определяется список доверенных ПК;
2) механизм аутентификации пользователей позволяет определить пользователей, имеющих доступ к Х-серверу.
По своей природе система X Window недостаточно защищена от перехвата данных. Имеется ряд проблем с X Window, включая возможности для нападающих блокировать доступ к серверу, выполнять на нем нежелательные команды и перехватывать ввод, сгенерированный на сервере. При помощи простой программы, доступной в хакерской среде, все нажатия клавиш в некоторой сессии X Window могут быть перехвачены и сохранены в файл. Предположим, что пользователь работает на рабочей станции-клиенте. В сети существует сервер, на котором этот пользователь хочет выполнять свои приложения вместо того, чтобы выполнять их на локальной рабочей станции. В X Window это легко сделать, задавая определенные параметры или устанавливая переменную среды DISPLAY. Для этого пользователь сначала должен разрешить приложениям, выполняющимся на сервере
, соединяться с его Х-сервером.
В прошлом модификации системных утилит ограничивались программой login, в которую нападающий мог запрограммировать некоторый свой пароль, предоставляющий ему неограниченный доступ к системе в любое время. Сегодня тот же метод применяется в отношении других утилит идентификации, существующих в Internet и интрасетях. Широкая доступность исходного текста утилит системы UNIX еще более упростила этот процесс, поскольку злоумышленник может легко найти текст нужной ему утилиты и модифицировать ее по своему усмотрению. Некоторые из лучших подделок даже компилируют до точного совпадения размера в байтах с исходной версией. Кроме традиционного "черного входа", многие подделки позволяют пользователю скрываться от программы учета процессов. Поскольку злоумышленник входит в систему через "черный вход", его присутствие не фиксируется в системных файлах регистрации.
В среде UNIX имеются многочисленные системные файлы регистрации, которые следят за событиями типа некорректных попыток входа в систему, нормальных входов в систему и выходов из нее, а также за выполняемыми командами. Файл UТМР следит за всеми пользователями, в текущий момент зарегистрированными в системе. WTMР или lastlog, следит за временем входа в систему и выхода из нее. Базы данных регистрации процессов, обычно называемые acct или pacct, следят за всеми командами, выполняемыми отдельными пользователями. Если модифицировать эти файлы, пользователь останется невидимым для команд типа who, last и lastcomm. Этот тип модификации, дополненный определенными утилитами, значительно затрудняет администратору системы установление факта атаки со стороны злоумышленника.
Много угроз несет с собой передача специальных пакетов, которые либо содержат неверную информацию, либо были преднамеренно искажены. Пакеты стандарта ТСР/IР имеют специфический порядок байтов, размер и строго определенные поля. В большинстве случаев неправильно составленный пакет будет игнорироваться и отрабатываться либо сетевым интерфейсом, либо маршрутизатором где-нибудь на пути от источника пакета к адресату.
Активные атаки можно разделить на две части. В первом случае злоумышленник предпринимает определенные шаги для перехвата и модификации сетевого потока или попыток "притвориться" другой системой. Во втором случае протокол ТСР/IР используется для того, чтобы привести систему-жертву в нерабочее состоянии. Обладая достаточными привилегиями в UNIX (или попросту используя DOS или Windows, не имеющие системы ограничений пользователей), злоумышленник может вручную формировать IP-пакеты и передавать их по сети. Поля заголовка пакета могут быть сформированы произвольным, образом. Получив такой пакет, невозможно
выяснить откуда реально он был получен, поскольку пакеты не содержат пути их прохождения.
Источники:
3.Современные методы взлома интрасетей
Выделяют четыре вида наиболее часто используемых методов взлома интрасетей и НСД к секретной информации:
-
перехват данных при их перемещении по каналам связи или при вводе с клавиатуры; -
мониторинг в системе X Window; -
подмена системных утилит; -
нападения с использованием сетевых протоколов.
-
Перехват данных при их перемещении по каналам связи или при вводе с клавиатуры:
Обмен данными по протоколу Ethernet подразумевает посылку пакетов всем абонентам одного сегмента интрасети. Заголовок пакета содержит адрес узла-приемника. Предполагается, что только узел с соответствующим адресом может принять пакет. Однако, если какой-то ПК в интрасети принимает все проходящие пакеты, независимо от их заголовков, то говорят, что она находится в promiscuous mode (смешанном режиме). Для злоумышленника не сложно перевести один из ПК подсети в promiscuous mode (предварительно получив на ней права root) и, вытягивая и анализируя пакеты, проходящие по каналам связи, получить пароли к большинству компьютеров интрасети.
В одном из наиболее распространенных методов перехвата данных при их перемещении по линиям связи в интрасети используется средство — сетевой анализатор или средство инспекции потоков данных, называемое sniffer ("ищейка"). Даже если потенциальный злоумышленник не имеет доступа к некоторому компьютеру, он может перехватить данные, посылаемые ему, в момент их прохождения по кабелю, который подключает данный компьютер к сети. Компьютер, подключенный к сети, аналогичен телефонному аппарату, подключенному к общему номеру. Любой человек может поднять трубку и подслушать чужой разговор. В случае передачи данных любой компьютер, соединенный с сетью, способен принимать пакеты, посылаемые другой станции. Главная проблема sniffer заключается в том, чтобы он успевал перерабатывать весь трафик, который проходит через интерфейс. Также есть возможность запустить sniffer в режиме non-promiscuous, но тогда будет возможность перехватывать соединения только с тем ПК, на котором он запущен.
Для перехвата символов с клавиатуры существуют многочисленные утилиты, позволяющие контролировать все символьные строки, вводимые на выбранном злоумышленником в качестве жертвы компьютере. Некоторые из них встроены в утилиты контроля данных, посылаемых с хоста во время сеансов FТР или Теlnet, а другие буферизируют все символьные строки, вводимые с различных терминалов, связанных с хостом. Для ПК
имеются многочисленные программы, которые выполняют те же самые функции, наблюдая за вводом с клавиатуры и сохраняя символьные строки в файл. Есть такие программы, которые никак себя не проявляют на компьютере-жертве, однако сохраняют весь ввод клавиатуры в скрытом файле.
-
Мониторинг в системе:
На многих ПК с ОС UNIX используется графический интерфейс, известный как X Window (иначе называемая X11). Он позволяет пользователю легко выполнять несколько приложений и переходить с одного на другое. Пользователь начинает Х-сессию, соединяясь с Х-сервером и указывая, что данные должны посылаться на определенный терминал. Это может быть как системная консоль, так и любой другой терминал, соединенный с сервером. Взаимодействие Х-клиента и Х-сервера происходит в рамках протокола прикладного уровня - Х-протокола. Х-сервер представляет собой отдельный UNIX-процесс. Он общается с программами-клиентами, посылая им или принимая от них пакеты данных. Если сервер и клиент находятся на разных ПК, то данные пересылаются по сети, а если на одном, то используется внутренний канал.
X Window обеспечивает два различных механизма аутентификации:
1) механизм аутентификации хостов позволяет определить, с какого компьютера приложения могут соединяться с Х-сервером, т.е. заранее определяется список доверенных ПК;
2) механизм аутентификации пользователей позволяет определить пользователей, имеющих доступ к Х-серверу.
По своей природе система X Window недостаточно защищена от перехвата данных. Имеется ряд проблем с X Window, включая возможности для нападающих блокировать доступ к серверу, выполнять на нем нежелательные команды и перехватывать ввод, сгенерированный на сервере. При помощи простой программы, доступной в хакерской среде, все нажатия клавиш в некоторой сессии X Window могут быть перехвачены и сохранены в файл. Предположим, что пользователь работает на рабочей станции-клиенте. В сети существует сервер, на котором этот пользователь хочет выполнять свои приложения вместо того, чтобы выполнять их на локальной рабочей станции. В X Window это легко сделать, задавая определенные параметры или устанавливая переменную среды DISPLAY. Для этого пользователь сначала должен разрешить приложениям, выполняющимся на сервере
, соединяться с его Х-сервером.
-
Подмена системных утилит:
В прошлом модификации системных утилит ограничивались программой login, в которую нападающий мог запрограммировать некоторый свой пароль, предоставляющий ему неограниченный доступ к системе в любое время. Сегодня тот же метод применяется в отношении других утилит идентификации, существующих в Internet и интрасетях. Широкая доступность исходного текста утилит системы UNIX еще более упростила этот процесс, поскольку злоумышленник может легко найти текст нужной ему утилиты и модифицировать ее по своему усмотрению. Некоторые из лучших подделок даже компилируют до точного совпадения размера в байтах с исходной версией. Кроме традиционного "черного входа", многие подделки позволяют пользователю скрываться от программы учета процессов. Поскольку злоумышленник входит в систему через "черный вход", его присутствие не фиксируется в системных файлах регистрации.
В среде UNIX имеются многочисленные системные файлы регистрации, которые следят за событиями типа некорректных попыток входа в систему, нормальных входов в систему и выходов из нее, а также за выполняемыми командами. Файл UТМР следит за всеми пользователями, в текущий момент зарегистрированными в системе. WTMР или lastlog, следит за временем входа в систему и выхода из нее. Базы данных регистрации процессов, обычно называемые acct или pacct, следят за всеми командами, выполняемыми отдельными пользователями. Если модифицировать эти файлы, пользователь останется невидимым для команд типа who, last и lastcomm. Этот тип модификации, дополненный определенными утилитами, значительно затрудняет администратору системы установление факта атаки со стороны злоумышленника.
-
Нападение и использованием сетевых протоколов:
Много угроз несет с собой передача специальных пакетов, которые либо содержат неверную информацию, либо были преднамеренно искажены. Пакеты стандарта ТСР/IР имеют специфический порядок байтов, размер и строго определенные поля. В большинстве случаев неправильно составленный пакет будет игнорироваться и отрабатываться либо сетевым интерфейсом, либо маршрутизатором где-нибудь на пути от источника пакета к адресату.
Активные атаки можно разделить на две части. В первом случае злоумышленник предпринимает определенные шаги для перехвата и модификации сетевого потока или попыток "притвориться" другой системой. Во втором случае протокол ТСР/IР используется для того, чтобы привести систему-жертву в нерабочее состоянии. Обладая достаточными привилегиями в UNIX (или попросту используя DOS или Windows, не имеющие системы ограничений пользователей), злоумышленник может вручную формировать IP-пакеты и передавать их по сети. Поля заголовка пакета могут быть сформированы произвольным, образом. Получив такой пакет, невозможно
выяснить откуда реально он был получен, поскольку пакеты не содержат пути их прохождения.
Источники:
-
https://moluch.ru/conf/tech/archive/5/1115/ -
https://studfile.net/preview/9124450/page:182/ -
https://studfile.net/preview/9124450/page:180/ -
https://studfile.net/preview/9124450/page:183/ -
https://www.internet-technologies.ru/articles/newbie/klassifikaciya-setevyh-atak.html