Métodos comunes de ataque de red y técnicas de defensa

Tipos de ataques a la red

Ataques de reconocimiento:

Recopilar debilidades en la red para atacar más a fondo la red. Dividido en ataques de escaneo y monitoreo de red.

Ataques de escaneo: escaneo de puertos, escaneo de host, escaneo de vulnerabilidades.

Monitoreo de red: se refiere principalmente a configurar el modo de la tarjeta de red de la computadora del usuario en modo promiscuo solo a través de software, visualizando así información importante en texto sin formato que pasa a través de la red.

Escaneo de puertos:

De acuerdo con la especificación del protocolo TCP, cuando una computadora recibe un mensaje de solicitud de establecimiento de conexión TCP (TCP SYN), realiza el siguiente procesamiento:

1. Si el puerto TCP solicitado está abierto, responda con un mensaje TCP ACK y establezca una estructura de control de conexión TCP (TCB).

2. un mensaje TCP RST (el indicador RST en el encabezado TCP está establecido en 1), que le indica a la computadora iniciadora que el puerto no está abierto.

En consecuencia, si la pila de protocolos IP recibe un mensaje UDP, realizará el siguiente procesamiento:

1. Si el puerto de destino del mensaje está abierto, envíe el mensaje UDP a. El protocolo de capa superior (UDP) procesa y no responde a ningún mensaje (excepto los mensajes a los que el protocolo de capa superior responde en función de los resultados del procesamiento);

2. abrir, responder al iniciador Un mensaje ICMP inalcanzable le dice a la computadora iniciadora que el puerto del mensaje UDP es inalcanzable.

Utilizando este principio, la computadora del atacante puede determinar qué puertos TC o UDP de la computadora objetivo están abiertos enviando los mensajes apropiados.

El proceso es el siguiente:

1. Envíe mensajes TCP SYN o UDP con números de puerto que aumentan secuencialmente comenzando desde 0 (el número de puerto es un número de 16 bits, por lo que el número máximo es 65535, el número es muy limitado);

2. Si se recibe un mensaje RST para este mensaje TCP o un mensaje ICMP inalcanzable para este mensaje UDP, significa que el puerto no está abierto;

3 Por el contrario, si se recibe un mensaje ACK para este mensaje TCP SYN, o no se recibe ningún mensaje ICMP para este mensaje UDP, significa que el puerto TCP está abierto y el puerto UDP puede estar. abierto (porque es posible que algunas implementaciones no respondan a mensajes ICMP inalcanzables, incluso si el puerto UDP no está abierto).

Si continúa así, podrá determinar fácilmente qué puertos TCP o UDP están abiertos en la computadora de destino y luego llevar a cabo el siguiente ataque según el número específico del puerto. llamado ataque de escaneo de puertos.

El escaneo de hosts utiliza el principio ICMP para buscar hosts supervivientes en la red.

Footprinting

El atacante recopila la información del objetivo con antelación, normalmente utilizando herramientas como whois y Finger y protocolos como DNS y LDAP para obtener parte de la información del objetivo, como el dominio. nombre y dirección IP, topología de la red, información de usuario relacionada, etc. Este suele ser el primer paso antes de que los piratas informáticos invadan.

Ataques de escaneo

Los ataques de escaneo incluyen escaneo de direcciones y escaneo de puertos. Generalmente, el comando ping y varias herramientas de escaneo de puertos se utilizan para obtener información útil sobre la computadora de destino, como la apertura. archivos en la máquina. Qué puertos están abiertos, para saber qué servicios están abiertos, sentando así las bases para futuras intrusiones.

Huella digital de protocolo

Los piratas informáticos envían paquetes de detección al host de destino, ya que existen muchas diferencias sutiles entre las implementaciones de la pila de protocolos IP de los diferentes fabricantes de sistemas operativos (es decir, de cada fabricante). (La pila de protocolos TCP/IP generalmente interpreta las pautas RFC específicas de manera diferente), por lo que cada sistema operativo tiene su propio método de respuesta único y los piratas informáticos a menudo pueden determinar el sistema operativo que está ejecutando el host de destino.

Algunas huellas digitales de la pila de protocolos que a menudo se explotan incluyen: valor TTL, tamaño de ventana TCP, indicador DF, TOS, procesamiento de fragmentación de IP, procesamiento ICMP, procesamiento de opciones TCP, etc.

Monitoreo del flujo de información

Este es el método más utilizado en un entorno LAN compartido.

Dado que los paquetes de datos pasarán a través de cada nodo de red en una red con medios compartidos, la tarjeta de red generalmente solo aceptará paquetes enviados a la dirección local o a la dirección de transmisión (o multidifusión) de la máquina local. , pero si la tarjeta de red está configurada en modo promiscuo (Promiscuo), la tarjeta de red aceptará todos los paquetes de datos que pasen.

Basándose en este principio, los piratas informáticos utilizan un dispositivo rastreador llamado sniffer (que puede ser software o hardware) para monitorear el flujo de información de la red y obtener el contenido que les interesa. Como contraseñas y otros información secreta.

Ataque de acceso

Ataque de contraseña: adivinación de contraseña por fuerza bruta, programa troyano, rastreo de paquetes, etc. Ataque de intermediario: intercepta datos, escucha a escondidas el contenido de los datos, introduce nueva información en la sesión, secuestro de sesión (secuestro de sesión) aprovecha las deficiencias del protocolo TCP en sí. Una vez que se establece una conexión de comunicación legítima, el El atacante puede apoderarse de la comunicación ya establecida bloqueando o destruyendo una de las partes. La conexión se establece mediante autenticación, haciéndose pasar por la parte asumida y comunicándose con la otra parte.

Ataque de denegación de servicio

Disfrazar una gran cantidad de solicitudes de servicio razonables para ocupar recursos de servicio excesivos, evitando así que los usuarios legítimos reciban respuestas de servicio.

Para evitar ataques DoS al sistema, desde los dos primeros puntos, los administradores de red deben mantener activa y cuidadosamente todo el sistema para garantizar que no existan riesgos ni vulnerabilidades de seguridad.

Como; para el cuarto punto El quinto método de ataque malicioso requiere la instalación de dispositivos de seguridad, como firewalls, para filtrar los ataques DoS. También se recomienda encarecidamente que los administradores de red verifiquen periódicamente los registros de los dispositivos de seguridad para descubrir rápidamente comportamientos que representen amenazas a la seguridad del sistema.

Características comunes del comportamiento de los ataques de denegación de servicio y métodos de defensa

El ataque de denegación de servicio es el tipo más común de ataque a la red.

Bajo este principio de ataque, se han derivado muchos métodos de ataque diferentes.

Con una comprensión correcta de estos diferentes métodos de denegación de ataques, podrá implementar correcta y sistemáticamente un sistema completo de protección de seguridad para su empresa.

El método más básico de detección de intrusiones es utilizar la coincidencia de patrones para descubrir ataques de intrusión.

Para llevar a cabo contraataques de forma eficaz, primero debes comprender los principios y mecanismos de funcionamiento de las intrusiones. Sólo así podrás conocerte a ti mismo y al enemigo, evitando así eficazmente la aparición de ataques de intrusión.

A continuación analizamos brevemente varios principios típicos de los ataques de denegación de servicio y proponemos las contramedidas correspondientes.

Ataque de ping de la muerte

Debido a que en las primeras etapas, los enrutadores limitaban el tamaño máximo de los paquetes, muchas pilas TCP/IP del sistema operativo especificaban paquetes ICMP El tamaño está limitado a 64 KB.

Después de leer el encabezado del paquete ICMP, se genera un búfer para la carga útil en función de la información contenida en el encabezado.

Cuando el tamaño de un paquete ICMP supera los 64 KB, se producirá un error de asignación de memoria, lo que provocará que la pila TCP/IP falle y que el ordenador destinatario falle.

Así funciona este ataque "Ping de la Muerte".

De acuerdo con este principio de ataque, los piratas informáticos solo necesitan enviar continuamente paquetes de datos que superen los 64 KB al objetivo del ataque a través del comando Ping, lo que puede provocar que la pila TCP/IP de la computadora objetivo colapse y provoque que el destinatario estrellarse.

Métodos de defensa:

Todos los protocolos TCP/IP estándar ahora tienen la capacidad de manejar paquetes de datos que superan los 64 KB, y la mayoría de los firewalls pueden pasar la información de los paquetes de datos y realizar análisis de intervalos de tiempo. para filtrar automáticamente estos ataques.

Windows 98, Windows NT 4.0 (después de SP3), Windows 2000/XP/Server 2003, Linux, Solaris y Mac OS y otros sistemas tienen la capacidad de resistir ataques generales de denegación de servicio tipo "Ping of death" .

Además, configurar el firewall para bloquear ICMP y cualquier paquete de protocolo desconocido puede evitar que se produzcan este tipo de ataques.

Ataque en forma de lágrima

Para algunos paquetes de datos IP grandes, a menudo es necesario dividirlos para la transmisión, esto es para atender la MTU (Unidad de transmisión máxima) de la capa de enlace. ) requisitos.

Por ejemplo, cuando un paquete IP de 6000 bytes se transmite en un enlace con una MTU de 2000, es necesario dividirlo en tres paquetes IP.

En el encabezado IP hay un campo de desplazamiento y una bandera de división (MF).

Si el indicador MF se establece en 1, indica que este paquete IP es un fragmento de un paquete IP grande, y el campo de desplazamiento indica la posición de este fragmento en todo el paquete IP.

Por ejemplo, si se divide un paquete IP de 6000 bytes (MTU es 2000), los valores de los campos de desplazamiento en los tres fragmentos son: 0, 2000, 4000.

De esta manera, después de que el extremo receptor recibe todos los paquetes de datos IP, puede volver a ensamblar los valores incorrectos en función de esta información, de modo que el extremo receptor no pueda presionar los datos en el paquete de datos después de recibirlos. estos paquetes de datos divididos El valor del campo de compensación se superpone correctamente a estos paquetes divididos, pero el extremo receptor continuará intentándolo, lo que puede provocar que el sistema operativo de la computadora de destino falle debido al agotamiento de los recursos.

El ataque en forma de lágrima implementa su ataque modificando la información contenida en el encabezado del paquete en el fragmento de IP confiable implementado en la pila TCP/IP.

El segmento IP contiene información que indica qué segmento del paquete original contiene. TCP/IP en algunos sistemas operativos (como Windows NT 4.0 anterior a SP4) recibe paquetes que contienen parciales superpuestos. Se bloqueará al moverse. segmentos falsos, pero los nuevos sistemas operativos son básicamente resistentes a este ataque por sí solos.

Método de defensa:

Utilice el sistema operativo más reciente tanto como sea posible o configure la función de segmentación y reensamblaje en el firewall, de modo que el firewall reciba primero todos los paquetes de datos divididos en el mismo paquete original y luego complete el trabajo de reorganización en lugar de reenviarlo directamente.

Porque el firewall puede establecer reglas que se deben tomar cuando aparecen campos superpuestos.

Ataque TCP SYN Flood

La pila TCP/IP solo puede esperar un número limitado de mensajes ACK (respuesta) porque cada computadora utiliza los buffers de memoria que son muy limitados.

Si este búfer se llena con información inicial esperando una respuesta, la computadora dejará de responder a conexiones posteriores hasta que se agote el tiempo de espera de la conexión en el búfer.

El ataque de inundación TCP SYN aprovecha esta vulnerabilidad del sistema para llevar a cabo el ataque.

El atacante utiliza direcciones IP falsificadas para emitir múltiples solicitudes de conexión (SYN) al objetivo.

El sistema de destino envía un mensaje de confirmación después de recibir la solicitud y espera una respuesta.

Dado que la dirección IP enviada por los piratas informáticos es falsificada, el mensaje de confirmación no llegará a ningún ordenador y, por supuesto, ningún ordenador responderá al mensaje de confirmación.

Antes de recibir una respuesta, el sistema informático de destino no se rendirá por iniciativa propia y continuará manteniendo la información de conexión correspondiente en el búfer y esperando.

Cuando se alcanza un cierto número de conexiones en espera, los recursos de la memoria caché se agotan y comienza a negarse a aceptar cualquier otra solicitud de conexión, incluidas, por supuesto, las solicitudes que originalmente pertenecen a aplicaciones normales. Esto es lo último. objetivo de los piratas informáticos.

Método de defensa:

Filtrar conexiones posteriores desde el mismo host en el firewall.

Sin embargo, los "ataques de inundación SYN" siguen siendo muy preocupantes. Dado que este tipo de ataque no busca una respuesta, no se puede identificar a partir de una simple transmisión de gran volumen.

Los métodos específicos del firewall para resistir ataques de inundación TCP SYN se describen en detalle en el manual del firewall.

Ataque terrestre

La dirección de origen y la dirección de destino del paquete de datos en este tipo de ataque son las mismas. Cuando el sistema operativo recibe este tipo de paquete de datos, no lo sabe. cómo procesarlo, o Enviar y recibir cíclicamente el paquete de datos consume una gran cantidad de recursos del sistema, lo que puede provocar que el sistema falle o se congele.

Método de defensa:

El método de detección de este tipo de ataque es relativamente fácil porque puede determinar directamente si la dirección de origen y la dirección de destino del paquete de datos de la red son las mismas. Comportamiento agresivo.

El método antiataque consiste, por supuesto, en configurar correctamente las reglas de filtrado de paquetes del dispositivo cortafuegos o del enrutador de filtrado de paquetes.

Y audite este ataque, registre la hora en que ocurrió el evento, la dirección MAC y la dirección IP del host de origen y del host de destino, para que el origen del atacante pueda analizarse y rastrearse de manera efectiva.

Ataque pitufo

Se trata de un ataque de denegación de servicio que lleva el nombre del divertido personaje de dibujos animados.

Los ataques Smurf aprovechan la función de la mayoría de los enrutadores que transmite solicitudes a muchas computadoras al mismo tiempo.

El atacante falsifica una dirección IP legítima y luego todos los enrutadores de la red transmiten solicitudes de respuestas a la dirección de la computadora atacada.

Debido a que estos paquetes parecen ser solicitudes legítimas de una dirección conocida, todos los sistemas en la red responden a esta dirección, lo que finalmente resulta en que todos los hosts en la red respondan a este ICMP. La solicitud es respondida, lo que provoca que la red congestión, que logra el objetivo perseguido por los piratas informáticos.

Este tipo de ataque de los Pitufos tiene uno o dos órdenes de magnitud más de tráfico que la inundación "Ping of Death" introducida anteriormente, lo que facilita que el ataque tenga éxito.

También hay algunos ataques nuevos de los Pitufos que cambian la dirección de origen a una víctima de terceros (ya no utilizan una dirección IP disfrazada), lo que eventualmente conduce a una avalancha de terceros.

Método de defensa:

Desactive la función de dirección de transmisión del enrutador o firewall externo y establezca reglas en el firewall para descartar paquetes de tipo de protocolo ICMP.

Ataque Fraggle

El ataque Fraggle es solo una simple modificación del ataque Smurf, utilizando el mensaje de respuesta del protocolo UDP en lugar del protocolo ICMP (porque los piratas informáticos conocen el protocolo UDP. Es aún más difícil que todos los usuarios lo prohíban).

Al mismo tiempo, los ataques Fraggle utilizan un puerto específico (normalmente el puerto 7, pero también hay muchos que utilizan otros puertos para implementar ataques Fraggle. El ataque es básicamente similar al ataque Smurf y no lo hará). ser descrito en detalle.

Método de defensa:

Desactive la función de dirección de transmisión del enrutador o firewall externo. Filtre los mensajes UDP en el firewall o bloquee algunos puertos que los piratas informáticos suelen utilizar para llevar a cabo ataques Fraggle.

Bombas de correo electrónico

Las bombas de correo electrónico son uno de los ataques anónimos más antiguos. Logran el propósito de atacar configurando una computadora para enviar continuamente una gran cantidad de correos electrónicos a la misma dirección. Los ataques pueden agotar los recursos de ancho de banda de la red del destinatario del correo electrónico.

Método de defensa:

Configura reglas de filtrado para direcciones de correo electrónico para eliminar automáticamente mensajes excesivos o duplicados del mismo host.

Ataque de agotamiento de terminal virtual (VTY)

Se trata de un ataque contra dispositivos de red, como enrutadores, conmutadores, etc.

Para facilitar la administración remota, estos dispositivos de red generalmente tienen algunas interfaces de usuario TELNET, es decir, los usuarios pueden ir al dispositivo a través de TELNET y administrar estos dispositivos.

Generalmente, el número de interfaces de usuario TELNET para estos dispositivos es limitado. Por ejemplo, 5 o 10, etc.

De esta forma, si un atacante establece 5 o 10 conexiones TELNET a un mismo dispositivo de red al mismo tiempo.

Las interfaces de administración remota de estos dispositivos están ocupadas, por lo que si los usuarios legítimos administran estos dispositivos de forma remota, fallarán porque los recursos de conexión TELNET están ocupados.

Inundación ICMP

En circunstancias normales, para diagnosticar la red, algunos programas de diagnóstico, como PING, etc., enviarán mensajes de solicitud de respuesta ICMP (ICMP ECHO), y la computadora receptora recibirá Después de ICMP ECHO, se responderá un mensaje de respuesta ICMP ECHO.

Este proceso requiere procesamiento de CPU y, en algunos casos, puede consumir una gran cantidad de recursos.

Por ejemplo, cuando se trata de fragmentación. De esta manera, si un atacante envía una gran cantidad de mensajes ICMP ECHO a la computadora objetivo (generando una inundación ICMP), la computadora objetivo estará ocupada procesando estos mensajes ECHO y no podrá continuar procesando otros mensajes de datos de la red. también un ataque de denegación de servicio (DOS).

Ataque WinNuke

NetBIOS, como interfaz básica de acceso a recursos de red, se usa ampliamente para compartir archivos, compartir impresiones, comunicación entre procesos (IPC) e intercambio de datos entre diferentes operaciones. sistemas.

Generalmente, NetBIOS se ejecuta en el protocolo de enlace LLC2 y es una interfaz de acceso a la red basada en multidifusión.

Para implementar NetBIOS en la pila de protocolos TCP/IP, RFC estipula una serie de estándares de interacción, así como varios puertos TCP/UDP de uso común:

139: TCP para Puerto de servicio de sesión NetBIOS;

137: puerto UDP del servicio de nombres NetBIOS;

136: puerto UDP del servicio de datagramas NetBIOS.

Todos los servicios de red (compartir archivos, etc.) de las primeras versiones del sistema operativo WINDOWS (WIN95/98/NT) se basaban en NetBIOS.

Por lo tanto, estos sistemas operativos han abierto el puerto 139 (la última versión de WINDOWS 2000/XP/2003, etc., por compatibilidad, también implementó la función NetBIOS sobre TCP/IP y abrió el puerto 139).

El ataque WinNuke aprovecha una vulnerabilidad en el sistema operativo WINDOWS y envía algunos paquetes de datos TCP fuera de banda (OOB) al puerto 139.

Sin embargo, la diferencia entre estos paquetes de ataque y los paquetes de datos OOB normales es que su campo de puntero no coincide con la ubicación real de los datos, es decir, se superponen de esta manera cuando WINDOWS está funcionando. El sistema procesa estos datos, colapsará.

Ataque de mensaje IP fragmentado

Para transmitir un mensaje IP grande, la pila de protocolos IP necesita fragmentar el mensaje IP de acuerdo con la MTU de la interfaz de enlace con la fragmentación adecuada. campo de indicación en el encabezado IP, la computadora receptora puede ensamblar fácilmente estos mensajes IP fragmentados.

Cuando la computadora de destino procesa estos mensajes fragmentados, almacenará en caché los mensajes fragmentados que lleguen primero y luego esperará los mensajes fragmentados posteriores.

Este proceso consumirá algo de memoria y algunas estructuras de datos de la pila del protocolo IP.

Si el atacante solo envía un mensaje fragmentado a la computadora de destino sin enviar todos los mensajes fragmentados, la computadora del atacante esperará para siempre (hasta que expire un temporizador interno).

Si un atacante envía una gran cantidad de mensajes fragmentados, consumirá los recursos de la computadora de destino y provocará la incapacidad de responder a los mensajes IP normales. Esto también es un ataque de DOS.

T

Ataque segmentado.

Se aprovecha un error de reensamblaje para bloquear o bloquear el sistema de destino mediante la superposición de segmentos.

¡Bienvenido a seguir mi cuenta Toutiao, comunicarme a través de mensajes privados y aprender más tecnologías de red!