книги хакеры / Trabelsi_Setevye-ataki-i-zashchita_RuLit_Me_676546

беспроводной карты в режим RF Monitor. Когда работает беспроводной анализатор, единственное, что требуется для мониторинга беспроводной сети, - это находиться в пределах диапазона сигнала. Затем анализатор перехватывает и отображает беспроводные пакеты и может отображать узлы, точки доступа (AP), идентификатор набора служб (SSID), уровень сигнала и другие важные статические параметры сети. В режиме RF Monitor беспроводная карта не проверяет правильность значений циклического избыточного кода (CRC) для перехваченных пакетов, поэтому некоторые перехваченные пакеты могут быть повреждены. Хакеры могут использовать режим RF Monitor для злонамеренных целей, таких как сбор трафика для взлома WEP.

Обнаружение беспроводных сетевых карт, работающих в режиме RF Monitor, представляет собой сложную задачу, отличающуюся от задачи обнаружения проводных сетевых карт, работающих в случайном режиме. Трудность заключается в том, что при настройке в режиме радиочастотного монитора беспроводная карта прекращает передачу данных. Традиционные методы обнаружения обычно полагаются на использование пакетов-ловушек для идентификации проводных сетевых карт, работающих в случайном режиме. Однако, когда беспроводная карта не передает данные, становится, следовательно, трудно определить, обнаруживает ли она сеть или нет, и установлен ли он в режим RF Monitor.

4.2.8.1 Взлом WEP-ключа и расшифровка сетевого трафика

Wired Equivalent Privacy (WEP) - это протокол безопасности,

определенный в стандарте IEEE Wireless Fidelity (Wi-Fi) 802.11, который предназначен для обеспечения защиты беспроводных локальных сетей. WEP обеспечивает безопасность сетей Wi-Fi 802.11 на канальном уровне (модель OSI уровень 2). WEP стремится установить защиту, аналогичную той, которую обеспечивают меры физической безопасности проводной сети, путем шифрования данных, передаваемых через WLAN.

WEP использует потоковый шифр RC4 для конфиденциальности и контрольную сумму CRC-32 для целостности. WEP использует 64битный (или 128-битный) ключ шифрования. Ключ состоит из

24-битного вектора инициализации (IV) и 40-битного (или 104-битного) ключа WEP. Из-за уязвимостей WEP ключ WEP можно легко взломать с помощью инструментов с открытым исходным кодом. WEP амортизировался в 2004 году и был заменен на WPA.

Взлом WEP включает в себя следующие этапы: отслеживание, анализ сетевого трафика, взлом ключа WEP и дешифрование захваченного трафика с использованием ключа взлома WEP.

4.2.8.1.1 Вардрайвинг и сниффинг

Wardriving - это процесс сканирования обнаруженных точек доступа вокруг здания или в другом месте с помощью компьютера. Существует много доступных инструментов, таких как CommView for WiFi *, Cain и Abel †, KisMAC ‡, Kismet§ и Wireshark¶, которые можно использовать для выполнения вардрайвинга. Wardriving собирает и регистрирует такую информацию, как SSID беспроводных сетей, используемый протокол безопасности (например, WEP, WPA и т. Д.), MAC-адрес точки доступа и список клиентов, подключенных к ней в настоящее время, а также их MAC-адреса. Например, после выполнения wardriving с использованием CommView для инструмента WiFi на следующем снимке экрана показан список идентифицированных SSID и MAC-адреса точек доступа и клиентов станции по каналам.

_________________________________________

*http://www.tamos.com

† http://www.oxid.it/cain.html

‡ http://kismac-ng.org

§ http://www.kismetwireless.net ¶ http: //www.Wireshark.org

На следующем снимке экрана показан протокол безопасности (например, WEP, WPA и т. д.) для каждой точки доступа канала 6.

Беспроводной сниффер позволяет настроить сетевую карту на определенный канал и собирать все радиосигналы в пределах диапазона сетевой карты. Примерами таких снифферов являются CommView for WiFi, Kismet, Wireshark и Airodump * (который является частью пакета

Aircrack). Пакеты, полученные с помощью этих снифферов, обычно

* http: //www.aircrack-ng.org

сохраняются в файлах с расширением .cap. Данные в пакетах захвата могут быть использованы в ряде атак позже. На следующем снимке экрана показаны зашифрованные пакеты, захваченные CommView для инструмента WiFi для канала 6.

4.2.8.1.2 Взлом WEP-ключа

Когда достаточное количество зашифрованных пакетов собрано с помощью сниффинга, пользователь может приступить к взлому ключа WEP. IV в пакетах необходимы для взлома ключа WEP. Количество захваченных IV, необходимых для взлома ключа, зависит от размера ключа AP. Для 64-битного шифрования требуется от 250 000 до 500 000 IV, в зависимости от сложности ключа. Ключ состоит из десяти цифр со значениями A-F и 0-9. Для взлома 128-битного шифрования требуется от 500 000 до 1 миллиона IV. Примеры программ, способных взламывать ключи WEP, включают KisMAC, Aircrack, Cain и Abel и AirSnort *. На следующем снимке экрана показан графический интерфейс инструмента Aircrack-ng, используемого для взлома ключа WEP.

* http://airsnort.shmoo.com

На следующем снимке экрана показан результат взлома ключа WEP с помощью инструмента Aircrack-ng. Найден ключ WEP

«1F:1F:1F:1F:1F».

4.2.8.1.3 Расшифровка сетевого трафика

После взлома ключа WEP пользователь может использовать ключ для расшифровки захваченного сетевого трафика с помощью такого инструмента, как Airdecap-ng (часть пакета Aircrack). На следующем снимке экрана показан интерфейс графического интерфейса инструмента Airdecap-ng, используемого для дешифрования зашифрованного файла с помощью ключа WEP «1F: 1F: 1F: 1F: 1F».

4.3 Краткое содержание главы

В этой главе обсуждались атаки с прослушиванием и обнаружением сетевых карт, работающих в беспорядочном режиме. В локальных сетях сниффинг с злонамеренными целями может нанести вред. Это позволяет злоумышленникам легко красть конфиденциальные данные, пароли и личную информацию. В этой главе также разъясняются концепции аппаратного фильтра NIC и программного фильтра ядра системы и описывается общая методика обнаружения сетевых карт в случайном режиме. Практическое упражнение главы было посвящено внедрению метода обнаружения и тому, как вручную генерировать пакеты запросов ARP с прерыванием для обнаружения сетевых адаптеров, работающих в случайном режиме.

Глава 5

IP-атаки типа «отказ в обслуживании»

5.1 Введение

Это очень расстраивает, когда некоторые услуги недоступны, а недоступность не объясняется. Когда система перегружает все свои ресурсы, она становится непригодной для использования или обеспечивает очень низкую производительность для законных пользователей. Эта атака на системные ресурсы называется атакой отказа в обслуживании (DoS). DoS-атаки могут быть направлены на систему, чтобы предотвратить сетевое взаимодействие, или могут быть нацелены на всю организацию, чтобы предотвратить исходящий или входящий трафик к определенным сетевым службам, таким как веб-сайт организации или службы электронной почты.

Суровая правда в том, что организовать эти DoS-атаки гораздо проще, чем удаленно получить доступ к целевой системе. Следовательно, DoSатаки стали очень распространенным явлением в Интернете. Они либо преднамеренные, либо случайные. DoS-атака вызывается преднамеренно, когда неавторизованный пользователь активно перегружает ресурс, и случайно, когда авторизованный пользователь непреднамеренно делает что-то, что делает службы недоступными.

117

DoS-атаки можно условно разделить на два типа. Первый тип вызывает системный сбой или сбой сети. Когда злоумышленник направляет данные или пакеты в систему (жертву), это может привести к сбою или перезагрузке системы. Следовательно, ресурсы системы недоступны. Второй тип атаки включает в себя заполнение системы или сети большими объемами информации и тем самым делает ее не отвечающей. Следовательно, когда законные пользователи пытаются подключиться к системе, им отказывают в доступе, потому что все ресурсы были исчерпаны. В последнем случае злоумышленник должен постоянно заполнять систему информационными пакетами на время атаки. После прекращения наводнения атака заканчивается, и система возобновляет работу.

К сожалению, DoS-атаки не могут быть полностью предотвращены. Всегда существует вероятность того, что злоумышленник отправит избыточную информацию в систему, которую он не сможет обработать. Угроза DoS-атак может быть сведена к минимуму путем увеличения пропускной способности сети и использования исправлений производителя, брандмауэров, систем предотвращения вторжений (IPS) и правильной конфигурации сети. Тем не менее, злоумышленник всегда может использовать дополнительные ресурсы, чтобы затопить целевую систему или сеть и изобрести новые типы DoS-атак.

Большинство DoS-атак основаны на слабых сторонах протоколов TCP / IP. Ниже приведены некоторые из классических DoS-атак: Ping of Death,

Land, Smurf, SYN Flood, UDP Flood, SSPing, ICMP Flood, ICMP Fragment, ICMP-пакет большого размера, CPU Hog, Win Nuke, RPC Locator, Jolt2 и

Bubonic.

5.1.1 Распределенная атака типа «отказ в обслуживании» (DDoS)

Распределенная атака типа «отказ в обслуживании» (DDoS) - это DoSатака, которая монтируется из большого количества мест в сети. Атаки обычно проводятся с нескольких скомпрометированных систем. Эти системы могли быть скомпрометированы троянским конем или червем, или они могли быть скомпрометированы путем взлома вручную.

Эти скомпрометированные системы обычно управляются с помощью довольно сложного программного обеспечения клиент-сервер, такого как

Trinoo, Tribe Flood Network, Stacheldraht, TFN2K или Shaft. DDoS-атаки очень трудно защитить.

Эта глава включает в себя четыре практических упражнения по генерации и обнаружению четырех распространенных DoS-атак, а именно: наземная атака, SYN-атака Flood, Teardrop-атака и UDP-Flood- атака. Кроме того, эта глава включает практическое упражнение о создании и обнаружении ненормальных IP-пакетов, которые могут содержать скрытые угрозы или DoS-трафик

В этих практических упражнениях используются следующие аппаратные устройства и программные средства:

*Беспроводное устройство Juniper Networks SSG20 (устройство Juniper Networks): устройство обнаружения вторжений

*Инструмент CommView †: инструмент сетевого мониторинга и анализатора (сниффер)

*CommView Visual Packet Builder ‡: генератор пакетов на основе графического интерфейса пользователя

(GUI)

*FrameIP Packet Generator§: онлайн генератор пакетов

*Advanced Port Scanner¶: инструмент для сканирования портов

*Fast Port Scanner**: инструмент для сканирования портов

*http://www.juniper.net

† http://www.tamos.com

‡ http://www.tamos.com

§ http://www.frameip.com ¶ http://www.radmin.com

*http://www.globalwebmonitor.com

5.2.1 Результат

Цель этого упражнения состоит в том, чтобы учащиеся научились генерировать и обнаруживать Land-атаки.

5.2.2 Описание

Атака Land происходит, когда злоумышленник отправляет поддельные пакеты TCP SYN (TCP = протокол управления передачей; SYN = синхронизация) (инициирование соединения) с тем же IP-адресом источника и назначения, а также с одинаковым номером порта источника и назначения. Целевой хост отвечает, отправляя пакет SYN ACK самому себе, создавая пустое соединение, которое продолжается до достижения значения времени простоя. Переполнение системы пустыми запросами на подключение приведет к ее перегрузке и вызовет отказ в услугах, которые она предлагает, как показано на следующем рисунке.

5.2.3 Эксперимент

Чтобы исследовать, как генерировать, а затем обнаруживать Land-атаку, проводится эксперимент с использованием устройства Juniper Networks в качестве устройства обнаружения. Пошаговое описание процесса приведено ниже. На следующем рисунке показана сетевая архитектура, использованная в эксперименте. Хост злоумышленника и хост жертвы подключены к интерфейсам ethernet 0/2 и ethernet 0/3 устройства Juniper Networks соответственно.