Angrep Sniffing ( eavesdropping )
Host with TCP Services Klient Tjener Angriper
Ethernet og passord Ethernet aldri sikkert mot avlytting Sniffing verktøy er vanlig Avlytter ulike protokoller Kan formatere pene utskrifter med brukernavn/pasord ++ Finns hos de fleste hackere Spiller ingen rolle hvor godt et passord er dersom det kan sniffes!
IP adresse juks (spoofing) Omgår adressebasert autentisering F.eks. tcp wrappers (inetd, xinetd), Intranets, webtjenere Verktøy tilgjengelig Må ikke være TCP/IP eksperter Benyttet av Kevin Mitnick mot Tsutomu Shimomura s systemer i Takedown. (http://www.takedown.com/ ) Robert Morris Jr. skrev artikkel om dette i 1984 Steve Bellovin utgav denne på nytt i 1989 Første kjente tilfelle 1994
Normal TCP forbindelse handshake Klient SYN,SEQ 0 Tjener Oppsett av TCP forbindelse er en tre-delt prosess. Klient og tjener har hver sine sekvensnummer for TCP pakker. 1. Klienten sender SYN pakke med sekvensnummer SEQ 0
TCP forbindelse halv åpen Klient SYN,SEQ 0 Tjener SYN,ACK, SEQ 0 +1,SEQ 0 Tjener svarer med SYN og ACK på SEQ 0 +1 og eget sekvensnummer SEQ 0
Klient fullfører handshake, TCP forbindelsen er nå åpen Klient SYN,SEQ 0 SYN,ACK, SEQ 0 +1,SEQ 0 ACK, SEQ 0 +1,SEQ 0 +1 Tjener Klienten svarer med ACK på SEQ 0 +1 og sender eget sekvensnummer SEQ 0 +1
IP juks av tiltrodd klient Må gjette SEQ 0 Klient Tjener Angriper
IP juks av tiltrodd klient Stopp tiltrodd klient Klient Tjener killer packet or SYN attack Angriper
IP juks av tiltrodd klient Stopp tiltrodd klient Klient Tjener Angriper
Angriper åpner forbindelse fra tiltrodd klient Klient Tjener SYN,SEQ 0 Angriper
Open ser ut til å komme fra tiltrodd klient Klient Tjener SYN,SEQ 0 Angriper
IP juks av tiltrodd klient Server svarer tiltrodd klient Klient Tjener SYN,ACK, SEQ 0 +1,SEQ 0 Angriper
IP juks av tiltrodd klient Juks siste åpningsmelding Klient Tjener ACK, SEQ 0 +1,SEQ 0 +1 Angriper Angriper må gjette SEQ 0 +1
IP Spoof av tiltrodd klient Open er ferdig Klient Tjener Angriper
IP juks av tiltrodd klient Åpner tjener for aksess utenfra Klient Tjener evil trusted command Angriper
Hindring av IP adressejuks IP adressejuks (spoofing) kan stoppes av ytre forsvarsverk brannmur Ingen interne adresser aksepteres utenfra Ikke tiltrodde systemer på eksterne nettverk Adressebasert autentisering er INGEN GOD IDE!
TCP hijacking Tar over en eksisterende, autentisert forbindelse Må ha aksess til pakke flyt Verktøy tilgjengelige Kryptografisk signatur av pakker kan forhindre dette
Angriper overvåker en eksisterende forbindelse Klient Tjener Angriper
Stopper klient forbindelsen Klient Tjener killer packet Angriper
og fortsetter forbindelsen Klient Tjener Angriper
Angrep Denial of Service
Målet er et system med TCP tjenester Klient Tjener Angriper
Denial-of-service angrep Rett i ansiktet! Ikke som et tradisjonelt angrep. Tilfeldige pakker som er vanskelig å spore Kan vare i ukesvis Angriper kan utnytte dårlig lokal programvare/konfigurasjon eller Oversvømme systemet/nettverket med innkommende pakker Denne type angrep er alltid mulig på en åpen tilgjengelig tjeneste
Angrep Denial of Service: SYN pakke angrep
Normal TCP åpen Klient SYN,SEQ 0 SYN,ACK, SEQ 0 +1,SEQ 0 ACK, SEQ 0 +1,SEQ 0 +1 Tjener
Normal TCP åpen Klient halvåpen <300ms
SYN Angrep Først sett i Panix.com høsten 1996 Halv-åpen prosessering var dårlig implementert i TCP/IP programvaren Egen tabell for halv-åpne forbindelser, når denne var full ble alle nye oppkoblinger avvist Nytt tilfelle høsten 1997 SYN med samme sender og mottaker adresse vil ta livet av noen TCP/IP implementasjoner Forventes flere angrep og svakheter avdekket i ulike TCP/IP implementasjoner Masse kode involvert Vanskelig å teste kjernemodus kode
Angrep Denial of Service Ping flood (smurf)
Identifiser ping mellommenn som skal generere trafikken G G G G G target G
Sender pakker med falsk avsenderadresse G G G G G target G packet cannon
Mål blir bombardert med svar fra mellommenn G G G G G target G packet cannon
Traceback Mål systemet kan ikke fortelle hvor angrepet kommer i fra Mellommennene angriperne vet ikke nødvendigvis at de er utnyttet Kringkastings stormer kan generere mere trafikk Kringaster til mange IP adresser
CodeRed - DDos En av angrepsmålene for CodeRed var å sende 100 Kb mot 198.137.240.91 port 80 (www.whitehouse.gov) Alle infiserte systemer gjorde dette i tidsrommet 20-28 i hver måned Et ekte DDos Distribuert Denial of Service angrep
Angrep Social Engineering (a.k.a. spying)
Social Engineering ``Hello, this is Dennis Ritchie calling. I m in Israel now and I have forgotten my password. ``Hello, <admin-name>, I ve just started work here. <Boss-name> said I should have an account on <target-host>
Phishing Klient lokkes/ledes til falsk nettside Nettstedet gir seg ut for å være en offisiell side, for eksempel en bank, butikk eller lignende Prøver stjele sensitiv informasjon fra klienten slik som passord, kontonummer, PIN kode og lignende Vanlige metoder for å lokke til seg klienter er epost og falske nettportaler URL som peker til forfalsker er ofte være svært likt opprinnelig navn, inneholder typisk en skrivefeil
Phishing PayPal mail phishing forsøk Adressen peker til falsk nettsted
Phishing Falskt nettsted for PayPal
Phishing Firefox phishing filter
Phishing IE phishing filter
Metasploit Exploit rammeverk for utvikling og bruk av modulære exploits Forenkler utviklingen av nye exploits Innholder > 100 exploits De fleste utnytter buffer overflow svakheter Stort antall payloads Reverse shell - shell aksess for angriper initiert fra offer The Meterpreter - shell som kjører i prosess som er kapret Pluss mange flere...
Metasploit