книги хакеры / Trabelsi_Setevye-ataki-i-zashchita_RuLit_Me_676546

Эксперимент состоит из следующих этапов:

Шаг 1: Настройте сетевые интерфейсы на устройстве Juniper

Networks.

Шаг 2: Установите политики безопасности (правила фильтрации).

Шаг 3: Включите защиту от Land-атаки. Шаг 4: Построить пакеты атаки Land.

Шаг 5: Сниффинг сгенерированного трафика.

Шаг 6: Просмотр результатов в файле журнала устройства

Juniper Networks.

5.2.3.1 Шаг 1. Настройте сетевые интерфейсы на устройстве Juniper Networks

Мы предполагаем, что хост злоумышленника находится в недоверенной зоне / сети (сетевой адрес: 192.168.1.1/24) и подключен к интерфейсу ethernet0 / 2 устройства Juniper Networks. Хост-жертва находится в зоне доверия / сети (сетевой адрес: 192.168.2.1/24) и подключена к интерфейсу ethernet0 / 3, как показано на следующем снимке экрана, который иллюстрирует конфигурацию сетевых интерфейсов в устройстве Juniper Networks ( см. также предыдущий рисунок).

5.2.3.2 Шаг 2. Установите политики безопасности (правила фильтрации)

Используя веб-интерфейс пользователя (WebUI) устройства Juniper Networks, политика по умолчанию между двумя хостами установлена на “Allow All/Permit” (Разрешить все/разрешить), чтобы разрешить все типы трафика между двумя хостами, как показано на следующем снимке экрана

5.2.3.3 Шаг 3: Включить защиту от Land-атаки

Чтобы включить защиту от атаки Land на устройстве Juniper Networks, выполните следующие действия:

*Войдите в интерфейс WebUI устройства Juniper Networks.

*Выберите Screening и установите следующие

параметры, как показано на следующем снимке экрана

* Установите для зоны значение «Untrust” (Недоверие), поскольку трафик атаки с земли будет генерироваться из недоверенной зоны

5.2.3.4 Шаг 4: Построить пакеты Land-атаки

Land-атака разворачивается путем заполнения целевой системы поддельными пакетами SYN, содержащими IP-адрес хоста-жертвы в качестве IP-адреса назначения и источника. Кроме того, такие пакеты будут иметь одинаковый номер порта как для порта источника, так и для порта назначения. На рисунке ниже представлен пример, показывающий значения основных полей пакета Land-атаки.

Пользователь может использовать инструмент генератора пакетов для создания пакетов, которые производят Land-атаку. Например, пользователь может использовать интерактивный командный инструмент, такой как FrameIP Packet Generator, или более дружественный и простой в использовании инструмент с графическим интерфейсом, такой как Engage Packet Builder * или CommView Visual

Packet Builder.

* http://www.engagesecurity.com

5.2.3.4.1 CommView Visual Packet Builder

CommView Visual Packet Builder используется для генерации атаки Land.

На приведенном ниже снимке экрана показано, как поддельный пакет TCP SYN используется для создания атаки Land. Пакет имеет IP-адрес источника, установленный на IP-адрес назначения, номер порта источника, установленный на номер порта назначения, и MAC-адрес назначения, установленный на MAC-адрес шлюза хоста злоумышленника (192.168.1.1).

5.2.3.5 Шаг 5: Сниффим сгенерированный трафик

На хосте жертвы можно использовать программу перехвата (анализатор сети) для захвата сгенерированного трафика. Цель этого шага - проанализировать и проверить, был ли намеченный трафик сформирован адекватно. Например, используя CommView Sniffer, на следующем снимке экрана показаны пакеты Land-атаки, сгенерированные на шаге 4. Он также показывает, что хост жертвы (192.168.2.4) залит пакетами Landатаки.

5.2.3.6 Шаг 6. Просмотр результатов в файле журнала устройства Juniper Networks

Журнал событий (как показано на следующем снимке экрана) записывает события в устройстве Juniper Networks после обнаружения трафика Land-атакb. Шаги для просмотра содержимого журнала событий на устройстве Juniper Networks включают в себя:

*Войдите в интерфейс WebUI устройства Juniper Networks.

*На левой панели разверните Reports (Отчеты), затем разверните System Log (Системный журнал) и выберите Event (Событие).

5.3 Лабораторная работа 5.2: SYN Flood Attack

5.3.1 Результат

Цель этого практического эксперимента - научить студентов генерировать и обнаруживать атаку SYN Flood

5.3.2 Описание

Атака SYN Flood происходит, когда хост становится настолько перегруженным пакетами TCP SYN, инициирующими неполные запросы на соединение, что он больше не может обрабатывать законные запросы на соединение. Когда клиентская система пытается установить TCPсоединение с системой, предоставляющей услугу (сервер), клиент и сервер обмениваются последовательностью сообщений, и этот процесс называется трехсторонним рукопожатием.

Клиентская система начинает с отправки сообщения SYN (синхронизация) на сервер. Затем сервер подтверждает сообщение SYN, отправляя клиенту сообщение SYN-ACK (подтверждение). Затем клиент завершает установление соединения, отвечая сообщением ACK. Соединение между клиентом и сервером затем открывается, и между клиентом и сервером могут обмениваться специфичными для службы данными.

Возможность злоупотребления возникает в тот момент, когда сервер отправил подтверждение (SYN-ACK) обратно клиенту, но еще не получил окончательное сообщение ACK. Это называется полуоткрытым соединением. Сервер имеет в своей системной памяти встроенную структуру данных, описывающую все ожидающие соединения. Эта структура данных имеет конечный размер, и она может находиться в состоянии переполнения, преднамеренно создавая слишком много частично открытых соединений (как показано на следующем рисунке). Создание полуоткрытого соединения легко достигается с помощью IPспуфинга. Система злоумышленника отправляет сообщения SYN на сервер жертвы, которые кажутся законными, но на самом деле адрес источника подделан системе, которая не подключена к сети. Это означает, что окончательное ACK-сообщение никогда не отправляется на сервер жертвы. Поскольку исходный адрес подделан, очень трудно определить личность истинного злоумышленника, когда пакет поступает в систему жертвы.

5.3.3 Эксперимент

Чтобы определить, как генерировать и обнаруживать атаку SYN Flood, проводится эксперимент с использованием устройства Juniper Networks в качестве устройства обнаружения. В этом эксперименте используется та же сетевая архитектура, которая описана в упражнении «Land-атака» выше (Лаборатория 5.1).

Эксперимент состоит из следующих этапов:

Шаг 1: Настройте сетевые интерфейсы на устройстве Juniper

Networks.

Шаг 2: Установите политики безопасности (правила фильтрации).

Шаг 3: Включите защиту от атаки SYN Flood. Шаг 4: Создайте пакеты атаки SYN Flood. Шаг 5: Сниффинг сгенерированного трафика.

Шаг 6: Просмотр результатов в файле журнала устройства

Juniper Networks.

Шаги 1 и 2 аналогичны тем, которые описаны в эксперименте практической лаборатории по атаке со стороны Земли (Лаборатория 5.1).

Чтобы включить защиту от атаки SYN Flood на устройстве Juniper Networks, выполните следующие действия:

*Войдите в интерфейс WebUI устройства Juniper Networks.

*Выберите Screening и установите следующие параметры, как показано на следующем скриншоте.

*Установите Zone в Untrust, потому что трафик атаки SYN Flood генерируется из ненадежных зон.

*Выберите опцию SYN Flood Protection.

*Существует ряд пороговых значений, которые можно установить, но основной порог связан с количеством пакетов SYN в секунду, которым разрешено проходить через устройство Juniper Networks (см. Следующий снимок экрана). Пользователь должен выбрать минимальные пороговые значения, чтобы атака SYN Flood обнаруживалась быстро

*Затем нажмите “Apply.”

5.3.3.2 Шаг 4: Создание пакетов SYN Flood Attack

Есть много доступных готовых к использованию инструментов атаки SYN Flood. Однако, учитывая образовательный контекст этой книги, мы призываем пользователей научиться создавать собственные пакеты для атак SYN Flood.

Заголовки TCP и IP пакетов атаки SYN Flood должны быть установлены в значения, показанные на следующем рисунке, где показан пример пакета атаки SYN Flood. Исходный IP-адрес должен быть установлен на поддельный или случайный IP-адрес. Порт назначения должен быть установлен на номер открытого TCP-порта на хосте жертвы.

Злоумышленник может использовать любой инструмент сканирования портов, чтобы определить список открытых портов TCP на хосте жертвы. Затем злоумышленник может выбрать один открытый номер порта TCP и использовать его в качестве номера порта назначения tar-get в пакетах атаки SYN Flood. Например, на следующем снимке экрана показаны результаты сканирования TCP-порта целевого хоста с использованием инструмента Advanced Port Scanner.

5.3.3.2.1 Генератор фреймов IP-пакетов

Генератор пакетов FrameIP является примером инструментов, которые позволяют отправлять пакеты TCP SYN со случайными номерами портов источника и / или случайными IP-адресами источника. На приведенном ниже снимке экрана показана онлайн-команда FrameIP, которая позволяет генерировать поток трафика TCP SYN на порт назначения 80 целевого хоста с IP-адресом 192.168.2.4. Каждый генерируемый пакет TCP SYN будет иметь случайный поддельный номер порта источника и случайный поддельный IP-адрес источника.

На следующем снимке экрана показан сгенерированный FrameIP трафик TCP SYN Flood, созданный FrameIP в результате выполнения вышеуказанной онлайн-команды FrameIP.