Angrep. Sniffing ( eavesdropping )

Transkript

1 Angrep Sniffing ( eavesdropping )

2 Host with TCP Services Klient Tjener Angriper

3 Ethernet og passord Ethernet aldri sikkert mot avlytting Sniffing verktøy er vanlig Avlytter ulike protokoller Kan formatere pene utskrifter med brukernavn/pasord ++ Finns hos de fleste hackere Spiller ingen rolle hvor godt et passord er dersom det kan sniffes!

4 IP adresse juks (spoofing) Omgår adressebasert autentisering F.eks. tcp wrappers (inetd, xinetd), Intranets, webtjenere Verktøy tilgjengelig Må ikke være TCP/IP eksperter Benyttet av Kevin Mitnick mot Tsutomu Shimomura s systemer i Takedown. ( ) Robert Morris Jr. skrev artikkel om dette i 1984 Steve Bellovin utgav denne på nytt i 1989 Første kjente tilfelle 1994

5 Normal TCP forbindelse handshake Klient SYN,SEQ 0 Tjener Oppsett av TCP forbindelse er en tre-delt prosess. Klient og tjener har hver sine sekvensnummer for TCP pakker. 1. Klienten sender SYN pakke med sekvensnummer SEQ 0

6 TCP forbindelse halv åpen Klient SYN,SEQ 0 Tjener SYN,ACK, SEQ 0 +1,SEQ 0 Tjener svarer med SYN og ACK på SEQ 0 +1 og eget sekvensnummer SEQ 0

7 Klient fullfører handshake, TCP forbindelsen er nå åpen Klient SYN,SEQ 0 SYN,ACK, SEQ 0 +1,SEQ 0 ACK, SEQ 0 +1,SEQ 0 +1 Tjener Klienten svarer med ACK på SEQ 0 +1 og sender eget sekvensnummer SEQ 0 +1

8 IP juks av tiltrodd klient Må gjette SEQ 0 Klient Tjener Angriper

9 IP juks av tiltrodd klient Stopp tiltrodd klient Klient Tjener killer packet or SYN attack Angriper

10 IP juks av tiltrodd klient Stopp tiltrodd klient Klient Tjener Angriper

11 Angriper åpner forbindelse fra tiltrodd klient Klient Tjener SYN,SEQ 0 Angriper

12 Open ser ut til å komme fra tiltrodd klient Klient Tjener SYN,SEQ 0 Angriper

13 IP juks av tiltrodd klient Server svarer tiltrodd klient Klient Tjener SYN,ACK, SEQ 0 +1,SEQ 0 Angriper

14 IP juks av tiltrodd klient Juks siste åpningsmelding Klient Tjener ACK, SEQ 0 +1,SEQ 0 +1 Angriper Angriper må gjette SEQ 0 +1

15 IP Spoof av tiltrodd klient Open er ferdig Klient Tjener Angriper

16 IP juks av tiltrodd klient Åpner tjener for aksess utenfra Klient Tjener evil trusted command Angriper

17 Hindring av IP adressejuks IP adressejuks (spoofing) kan stoppes av ytre forsvarsverk brannmur Ingen interne adresser aksepteres utenfra Ikke tiltrodde systemer på eksterne nettverk Adressebasert autentisering er INGEN GOD IDE!

18 TCP hijacking Tar over en eksisterende, autentisert forbindelse Må ha aksess til pakke flyt Verktøy tilgjengelige Kryptografisk signatur av pakker kan forhindre dette

19 Angriper overvåker en eksisterende forbindelse Klient Tjener Angriper

20 Stopper klient forbindelsen Klient Tjener killer packet Angriper

21 og fortsetter forbindelsen Klient Tjener Angriper

22 Angrep Denial of Service

23 Målet er et system med TCP tjenester Klient Tjener Angriper

24 Denial-of-service angrep Rett i ansiktet! Ikke som et tradisjonelt angrep. Tilfeldige pakker som er vanskelig å spore Kan vare i ukesvis Angriper kan utnytte dårlig lokal programvare/konfigurasjon eller Oversvømme systemet/nettverket med innkommende pakker Denne type angrep er alltid mulig på en åpen tilgjengelig tjeneste

25 Angrep Denial of Service: SYN pakke angrep

26 Normal TCP åpen Klient SYN,SEQ 0 SYN,ACK, SEQ 0 +1,SEQ 0 ACK, SEQ 0 +1,SEQ 0 +1 Tjener

27 Normal TCP åpen Klient halvåpen <300ms

28 SYN Angrep Først sett i Panix.com høsten 1996 Halv-åpen prosessering var dårlig implementert i TCP/IP programvaren Egen tabell for halv-åpne forbindelser, når denne var full ble alle nye oppkoblinger avvist Nytt tilfelle høsten 1997 SYN med samme sender og mottaker adresse vil ta livet av noen TCP/IP implementasjoner Forventes flere angrep og svakheter avdekket i ulike TCP/IP implementasjoner Masse kode involvert Vanskelig å teste kjernemodus kode

29 Angrep Denial of Service Ping flood (smurf)

30 Identifiser ping mellommenn som skal generere trafikken G G G G G target G

31 Sender pakker med falsk avsenderadresse G G G G G target G packet cannon

32 Mål blir bombardert med svar fra mellommenn G G G G G target G packet cannon

33 Traceback Mål systemet kan ikke fortelle hvor angrepet kommer i fra Mellommennene angriperne vet ikke nødvendigvis at de er utnyttet Kringkastings stormer kan generere mere trafikk Kringaster til mange IP adresser

34 CodeRed - DDos En av angrepsmålene for CodeRed var å sende 100 Kb mot port 80 ( Alle infiserte systemer gjorde dette i tidsrommet i hver måned Et ekte DDos Distribuert Denial of Service angrep

35 Angrep Social Engineering (a.k.a. spying)

36 Social Engineering ``Hello, this is Dennis Ritchie calling. I m in Israel now and I have forgotten my password. ``Hello, <admin-name>, I ve just started work here. <Boss-name> said I should have an account on <target-host>

37 Phishing Klient lokkes/ledes til falsk nettside Nettstedet gir seg ut for å være en offisiell side, for eksempel en bank, butikk eller lignende Prøver stjele sensitiv informasjon fra klienten slik som passord, kontonummer, PIN kode og lignende Vanlige metoder for å lokke til seg klienter er epost og falske nettportaler URL som peker til forfalsker er ofte være svært likt opprinnelig navn, inneholder typisk en skrivefeil

38 Phishing PayPal mail phishing forsøk Adressen peker til falsk nettsted

39 Phishing Falskt nettsted for PayPal

40 Phishing Firefox phishing filter

41 Phishing IE phishing filter

42 Metasploit Exploit rammeverk for utvikling og bruk av modulære exploits Forenkler utviklingen av nye exploits Innholder > 100 exploits De fleste utnytter buffer overflow svakheter Stort antall payloads Reverse shell - shell aksess for angriper initiert fra offer The Meterpreter - shell som kjører i prosess som er kapret Pluss mange flere...

43 Metasploit