Тестирование Сетевой Безопасности
DESCRIPTION
SQA Days 11. День 2. Cекция C Руфина СарвароваFujitsuКазань, РоссияTRANSCRIPT
Тестирование Сетевой Безопасности
Сарварова Руфина. Fujitsu
Казань
• Сбор информации • Сканирование• Атаки:
– Фрагментация данных– Ping/Syn Flooding– Land– Нестандартные протоколы, инкапсулированные в IP– Атака smurf– Атака IP spoofing– Навязывание пакетов– Навязывание хосту ложного маршрута с помощью
протокола ICMP– Sniffing– Человек посередине
Agenda
Anonymous
•Операция «Расплата»
28 ноября 2010 года
•«Правительство отключило Megaupload? Через 15 минут группа Anonymous отключит правительственные сайты и сайты звукозаписывающих компаний»
19 января 2012 года
•на сайт Европарламента обрушилась мощная DDoS-атака Anonymous после подписания Польшей Торгового соглашения по борьбе с контрафакцией
6 января 2012 года
•«Анонимус» перехватили телеконференцию ФБР и Скотланд-Ярда, участники которой обсуждали меры борьбы с хакерами.
3 февраля 2012
•Операция «Россия» (Op Russia)
Январь 2012
• Ping fujitsu.com
• Nslookup fujitsu.com
• Whois fujitsu.com
owner-organization: Fujitsu Limitedowner-name: Domain Administratorowner-street: 4-1-1 Kamikodanaka, Nakahara-kuowner-city: Kawasakiowner-state: Kanagawaowner-zip: 211-8588owner-country: JPowner-phone: +81.362522503owner-fax: +81.362522944owner-email: [email protected]
…
Сбор информации
• inetnum: 62.7.86.192 - 62.7.86.207netname: FUJITSUdescr: FTIP003151044 Fujitsu Ltdcountry: GBadmin-c: NB3291-RIPEtech-c: NB3291-RIPEstatus: ASSIGNED PAmnt-by: BTNET-MNTmnt-lower: BTNET-MNTmnt-routes: BTNET-MNTremarks: Please send abuse notification to [email protected]: Please send delisting issues to [email protected]: This range is statically assignedsource: RIPE #Filtered
Виды сканирования:
SYN-сканирование
TCP-сканирование
UDP-сканирование
ACK-сканирование
FIN-сканирование
• Xspider, MaxPatrol• Fping, tracerout• IP-Tools• Nessus • Burb Suite• LanSpy• Nmap
Инструменты сканирования
HTTPrint
HTTPrint
LanSpy
LanScope
• На компьютер-жертву передается несколько фрагментированных IP пакетов, которые при сборке образуют один пакет размером более 64К (максимальный размер IP пакета равен 64К минус длина заголовка).
Фрагментация данных
#nmap –f –sS –p 53 host1.local
tcpdump:
truncated-tcp 14 (frag 2301:14@0+)
host2.local > host1.local (frag 2301:6@14)
truncated-tcp 14 (frag 1321:14@0+)
Фрагменты заголовков
• Ping посылает ICMP-пакет типа ECHO REQUEST, выставляя в нем время и его идентификатор. Ядро машины-получателя отвечает на подобный запрос пакетом ICMP ECHO REPLY. Получив его, ping выдает скорость прохождения пакета.
Атака Ping flooding
• Затопление SYN-пакетами основано на переполнении очереди сервера, после чего сервер перестает отвечать на запросы пользователей.
Атака SYN flooding
• eic2
• Usage : eic -p -r -h -w
• -h | —host : Target host name or IP address-r | —protocol : IP protocol, value of TCP or UDP-p | —port : valid values 0 — 65535-w | —wait : Number of seconds to wait
Инструменты Syn Flooding
Атака Land
Передача на открытый порт компьютера-жертвы ТСР-пакета с установленным флагом SYN, причем исходный адрес и порт такого пакета соответственно равны адресу и порту атакуемого компьютера.
• Злоумышленники могут использовать нестандартное значение поля, определяющего протокол инкапсулированного пакета, для передачи данных, которые не будут фиксироваться стандартными средствами контроля информационных потоков
Нестандартные протоколы, инкапсулированные в IP
• Атака smurf заключается в передаче в сеть широковещательных ICMP запросов от имени компьютера-жертвы.
Атака smurf
• Передача на компьютер-жертву сообщения от имени другого компьютера внутренней сети
Атака IP spoofing
• Злоумышленник отправляет в сеть пакеты с ложным обратным адресом. С помощью этой атаки злоумышленник может переключать на свой компьютер соединения, установленные между другими компьютерами.
Навязывание пакетов
• Посылка ложного redirect-сообщения от имени маршрутизатора на атакуемый хост.
Навязывание хосту ложного маршрута с помощью протокола ICMP
• Рабочая станция может принимать пакеты, адресованные другим компьютерам того же сегмента сети.
Sniffing — прослушивание канала
• Aircrack-ng• tcpdump• Wireshark• Iris• Network General • LanGrabber • Observer• Fiddler• Packetyzer
Инструменты:
Man In The Middle
Обмен открытыми ключами
Внедрение вредоносного
кода
Downgrade Attack• SSH V1 вместо SSH V2• Ipsec• PPTP
• Dsniff• Cain and Abel• Karma
MITN инструменты
• arp-sk• AirJack• 4g8
Хакеры среди нас