книги хакеры / Trabelsi_Setevye-ataki-i-zashchita_RuLit_Me_676546

Параметры для команды, изображенной выше, следующие:

5.3.3.3 Шаг 5: Сниффинг сгенерированного трафика

На хосте жертвы можно использовать анализатор для захвата генерируемого трафика. Целью этого шага является анализ и проверка того, что предполагаемый трафик был сгенерирован адекватно. Например, используя CommView Sniffer, на следующем снимке экрана показано, что хост жертвы (192.168.2.4) находится под атакой SYN Flood и целевой порт

TCP равен 80.

5.3.3.4 Шаг 6: Просмотр результатов в файле журнала устройства Juniper Networks

Устройство Juniper Networks записывает сигнал тревоги в журнал событий, когда количество пакетов SYN из одного или нескольких источников в один пункт назначения превышает пороговые значения. На следующем снимке экрана показано содержимое журнала событий после обнаружения трафика атаки SYN Flood.

5.4.1 Результат

Цель этого практического эксперимента - научить студентов генерировать и обнаруживать атаку Teardrop.

5.4.2 Описание

Атака Teardrop направлена на процесс повторной сборки фрагментированных IP-пакетов. Фрагментация необходима, когда дейтаграммы IP больше, чем максимальная единица передачи (MUT) сегмента сети, по которому дейтаграммы должны проходить. Чтобы успешно повторно собрать пакеты на принимающей стороне, заголовок IP для каждого фрагмента включает в себя смещение, чтобы идентифицировать положение фрагмента в исходном нефрагментированном пакете. При атаке Teardrop фрагменты пакетов преднамеренно изготавливаются с перекрывающимися полями смещения, что приводит к зависанию или сбою хоста при попытке их повторной сборки.

На следующем рисунке показано, что второй фрагментный пакет (Packet #2) имеет намерение начинаться на 20 байтов раньше (на 40), чем заканчивается первый пакетный фрагмент (Packet #1) (на 60). Смещение Packet #2 не соответствует длине пакета Packet #1. Это несоответствие может привести к сбою некоторых систем во время попытки повторной сборки.

Чтобы определить, как генерировать и обнаруживать атаку Teardrop, проводится эксперимент с использованием устройства Juniper Networks в качестве устройства обнаружения. Ниже приводится описание и этапы эксперимента. В эксперименте используется та же сетевая архитектура, которая описана в практической лаборатории Land-атак (лабораторная работа 5.1), и состоит из следующих этапов:

Шаг 1: Настройте сетевые интерфейсы на устройстве Juniper Networks. Шаг 2: Установите политики безопасности (правила фильтрации). Шаг 3: Включите защиту от атаки Teardrop.

Шаг 4: Создайте пакеты атаки Teardrop.

Шаг 5: Просмотр результатов в файле журнала устройства Juniper

Networks.

Шаги 1 и 2 аналогичны тем, которые описаны в эксперименте по Landатаке в Лаборатории 5.1.

5.4.3.1 Шаг 3: Включить защиту от атаки Teardrop

Чтобы включить защиту от атаки Teardrop на устройстве Juniper Networks, выполните следующие действия:

*Войдите в интерфейс WebUI устройства Juniper Networks.

*Выберите Screening и установите следующие параметры, как показано на следующем снимке экрана, чтобы включить защиту от атаки Teardrop.

*Установите для Zone значение Untrust, поскольку трафик атаки Teardrop будет генерироваться из ненадежной зоны.

*Выберите опцию Teardrop Attack Protection.

*Затем нажмите “Apply.”

5.4.3.2 Шаг 4: Создание пакетов атаки Teardrop

Для генерации атаки Teardrop необходимо собрать два фрагментированных пакета. Пакеты принадлежат одному и тому же исходному пакету и имеют одинаковую идентификацию (ID) IP. Идентификатор поля включает в себя идентифицирующее значение, назначаемое хостом отправителя для помощи в сборке фрагментов дейтаграммы. Однако два фрагментированных пакета имеют перекрывающиеся значения смещения. В качестве примера, значения IPзаголовка двух пакетов атаки Teardrop показаны на следующем рисунке.

5.4.3.2.1 CommView Visual Packet Builder

Используя CommView Visual Packet Builder, на следующих двух снимках экрана показаны первый и второй фрагментированные пакеты с перекрывающимися значениями смещения, приводящими к атаке

Teardrop.

5.4.3.3Шаг 5: Просмотр результатов в файле журнала устройства Juniper Networks

Содержимое журнала событий в устройстве Juniper Networks после обнаружения трафика атаки Teardrop показано на следующем снимке экрана.

5.5.1 Результат

Цель данного практического упражнения - научить студентов генерировать и обнаруживать атаки UDP Flood.

5.5.2 Описание

UDP (Протокол пользовательских датаграмм) является протоколом без установления соединения и не требует какой-либо процедуры установки соединения для передачи данных. Атака UDP Flood возможна, когда злоумышленник наводняет целевые порты в системе-жертве пакетами UDP. Когда система-жертва получает пакет UDP, она определяет, какое приложение ожидает порт назначения UDP. Существуют две возможности. Во-первых, если на порту нет ожидающего приложения (закрытый порт UDP), хост-жертва сгенерирует пакет ошибок ICMP (пункт назначения недоступен) по поддельному адресу источника. Во-вторых, если на конечном порту UDP запущено приложение, приложение обрабатывает пакет UDP. В обоих случаях, если достаточное количество UDP-пакетов доставлено на конечные UDP-порты, хост-жертва или приложение могут замедлиться или отключиться. Сценарий показан на следующем рисунке.

Чтобы определить, как генерировать и обнаруживать атаку UDP Flood, проводится эксперимент с использованием устройства Juniper Networks в качестве устройства обнаружения. В этом эксперименте используется та же сетевая архитектура, которая описана в практической лаборатории Land-атак (лаборатория 5.1)

Эксперимент состоит из следующих этапов:

Шаг 1: Настройте сетевые интерфейсы на устройстве Juniper Networks. Шаг 2: Установите политики безопасности (правила фильтрации). Шаг 3: Включите защиту от атаки UDP Flood.

Шаг 4: Построить пакеты атаки UDP Flood. Шаг 5: Сниффинг сгенерированного трафика.

Шаг 6: Просмотр результатов в файле журнала устройства Juniper

Networks.

Шаги 1 и 2 аналогичны тем, которые описаны в эксперименте по Landатаке в Лаборатории 5.1.

5.5.3.1 Шаг 3: Включите защиту от UDP Flood Attack

Чтобы включить защиту от атаки UDP Flood на устройстве Juniper Networks, выполните следующие действия:

*Войдите в интерфейс WebUI устройства Juniper Networks.

*Выберите Screening и установите следующие параметры, как показано на следующем снимке экрана, чтобы включить защиту от атаки UDP Flood.

*Установите Zone в Untrust, потому что трафик атаки UDP Flood будет генерироваться из ненадежных зон.

*Выберите опцию защиты от наводнений UDP.

*становите порог. Порог - это количество пакетов UDP в секунду, которое устройство Juniper Networks может принять до того, как атака UDP Flood будет обнаружена и зарегистрирована. Пороговое значение по умолчанию составляет 1000 пакетов в секунду. Пользователь должен установить пороговое значение, чтобы атака UDP Flood обнаруживалась быстро.

*Затем нажмите “Apply.”

5.5.3.2 Шаг 4: Построить UDP-пакеты Flood Attack

Есть много доступных готовых к использованию инструментов атаки UDP Flood. Однако, учитывая образовательный контекст этой книги, мы призываем пользователей научиться создавать свои собственные пакеты

UDP Flood.

В пакете атаки UDP Flood исходный IP-адрес должен быть установлен на поддельный или случайный IP-адрес. Порт назначения должен быть установлен на номер открытого UDP-порта на хосте жертвы (см. Следующий рисунок).