книги хакеры / Trabelsi_Setevye-ataki-i-zashchita_RuLit_Me_676546

Злоумышленник может использовать любое средство сканирования портов, чтобы идентифицировать список открытых портов UDP на узлежертве. Затем выбирается один открытый номер порта UDP, который используется в качестве номера порта назначения в пакетах атаки UDP Flood. Пример на следующем снимке экрана показывает результат сканирования UDP-порта целевого хоста с использованием инструмента

Fast Port Scanner.

Для создания пакетов атаки UDP Flood пользователь должен использовать инструмент построения пакетов, который позволяет включать поддельные или случайные IP-адреса в поле исходного IPадреса заголовка IP. Случайные или поддельные IP-адреса источника позволяют скрыть реальный IP-адрес источника хоста злоумышленника.

5.5.3.2.1 Генератор фреймов IP-пакетов

Генератор пакетов FrameIP может генерировать пакеты UDP со случайными или поддельными исходными IP-адресами. Следующий снимок экрана — это снимок сетевой команды FrameIP, которая

позволяет генерировать поток UDP-трафика на целевой UDP-порт 53 целевого хоста с IP-адресом 192.168.2.4.

где

5.5.3.3 Шаг 5: Сниффинг сгенерированного трафика

На хосте жертвы можно использовать анализатор для захвата генерируемого трафика. Например, используя сниффер CommView, на следующем снимке экрана показано, что хост жертвы (192.168.2.4) находится под атакой UDP Flood и целевой порт UDP равен 53.

5.5.3.4 Шаг 6: Просмотр результатов в файле журнала

устройства Juniper Networks

Устройство Juniper Networks записывает тревогу в журнал событий, когда количество пакетов UDP от одного или нескольких источников к одному месту назначения превышает пороговое значение. Содержимое журнала событий в устройстве Juniper Networks после обнаружения трафика атаки UDP Flood показано на следующем снимке экрана.

5.6 Лабораторная работа 5.5: ненормальные IPпакеты

5.6.1 Результат

Цель этого практического упражнения состоит в том, чтобы учащиеся узнали, как создавать и обнаруживать ненормальные IP-пакеты, которые могут содержать скрытые угрозы или DoS-трафик.

5.6.2 Описание

Злоумышленники могут отправлять ненормальные пакеты, которые могут содержать скрытые угрозы или вызывать DoS-ситуацию в целевой системе.

В большинстве случаев неясно, каково намерение генерировать ненормальные пакеты. Тем не менее, ненормальные пакеты, как правило, являются ярким свидетельством существования злонамеренных действий. Поэтому важно блокировать ненормальные пакеты от достижения их целей. Обычно ненормальные пакеты - это пакеты, которые включают неожиданные значения полей, имеют неожиданно большие размеры или являются фрагментированными пакетами, которые обычно не должны быть фрагментированы. Здесь представлены три примера ненормальных пакетов.

5.6.2.1 Фрагментированный пакет ICMP

CMP-пакеты используются для отправки сообщений об ошибках и контроля. Например, когда пакет отбрасывается маршрутизатором, на исходный хост обычно отправляется пакет с ошибкой ICMP. Эхо-пакет ICMP является контрольным пакетом и используется для идентификации живого удаленного хоста.

ICMP-пакеты имеют небольшой размер, поскольку содержат очень короткие сообщения. Следовательно, нет законных причин для фрагментации пакетов ICMP. Пакет ICMP считается фрагментированным пакетом, когда установлен его флаг «Больше фрагментов», или он имеет значение смещения, указанное в поле смещения. Необычно видеть фрагментированные пакеты ICMP.

Как уже отмечалось, пакеты ICMP малы, поскольку содержат очень короткие сообщения. Следовательно, не существует законных оснований для существования больших пакетов ICMP. Необычно видеть большие пакеты ICMP. Если пакет ICMP такой большой, значит, что-то не так. Это также может указывать на некоторые другие виды сомнительной деятельности.

5.6.2.3 Пакет неизвестного протокола

Поле Protocol в заголовке IP идентифицирует протокол более высокого уровня (обычно протокол транспортного уровня или инкапсулированный протокол сетевого уровня), переносимый в графе данных. Значения этого поля были первоначально определены стандартом IETF (Internet Engineering Task Force) «Назначенные номера», RFC 1700, и теперь поддерживаются Управлением по назначению номеров Интернета (IANA). Эти протоколы более высокого уровня с идентификационными номерами 137 или более зарезервированы и не определены в данный момент. Поэтому в обычной ситуации пакеты, которые используют неизвестные протоколы (с идентификационным номером 137 или более), являются подозрительными и должны быть заблокированы для входа в сеть, если сеть не использует нестандартные протоколы.

5.6.3 Эксперимент

Чтобы узнать, как генерировать и обнаруживать три вышеупомянутых ненормальных IP-пакета, проводится эксперимент с использованием устройства Juniper Networks в качестве устройства обнаружения. Ниже приведено описание и этапы эксперимента. В этом эксперименте используется та же сетевая архитектура, которая описана в практической лаборатории Land-атак (лаборатория 5.1)

Эксперимент состоит из следующих этапов:

Шаг 1: Настройте сетевые интерфейсы на устройстве Juniper

Networks.

Шаг 2: Установите политики безопасности (правила фильтрации).

Шаги 1 и 2 аналогичны тем, которые описаны в эксперименте по Landатаке в Лаборатории 5.1.

5.6.3.1 Шаг 3. Включите защиту от трех ненормальных пакетов

Чтобы включить защиту от фрагментированных ICMP-пакетов, больших ICMP-пакетов и неизвестных протокольных пакетов в устройстве Juniper Networks, выполните следующие действия:

*Войдите в интерфейс WebUI устройства Juniper Networks.

*Выберите Screening и установите следующие параметры.

*Установите Zone в Untrust, потому что ненадежные пакеты генерируются из ненадежной зоны.

*Установите Защита от фрагментации ICMP, Большая защита ICMP, Защита от неизвестного протокола, как показано на следующих двух снимках экрана. Первый снимок экрана иллюстрирует защиту от фрагментированных пакетов ICMP и пакетов большого размера, а второй снимок экрана иллюстрирует защиту от неизвестных пакетов протокола.

*Затем нажмите “Apply.”

5.6.3.2 Шаг 4: Генерация трех ненормальных пакетов

Используя CommView Visual Packet Builder, на следующих трех снимках экрана показаны три ненормальных IP-пакета: фрагментированный пакет ICMP, пакет ICMP большого размера и неизвестный пакет протокола соответственно.

Содержимое журнала событий в устройстве Juniper Networks после обнаружения трех вышеупомянутых ненормальных пакетов показано на следующем снимке экрана.

5.7 Краткое содержание главы

В DoS-атаке злоумышленник пытается запретить законным пользователям доступ к информации или услугам. Ориентируясь на компьютеры и сети, злоумышленники не позволяют законным пользователям получать доступ к электронной почте, веб-сайтам, сетевым учетным записям (банковским операциям) или другим службам, которые зависят от уязвимых компьютеров и сетей. В этой главе представлены практические упражнения для четырех известных DoS-атак на базе IP, а именно: Landатака, атака SYN Flood, атака Teardrop и UDP Flood атака. Кроме того, обсуждалось упражнение об аномальных IP-пакетах, которые могут содержать скрытые угрозы или DoS-трафик. Цель практических занятий в этой главе - научить студентов генерировать и обнаруживать четыре хорошо известные DoS-атаки, а также три типа ненормальных IP-пакетов. Есть много доступных готовых к использованию инструментов атаки. Однако, учитывая образовательный контекст этой книги, мы продемонстрировали пользователям, как практически создавать и тестировать собственный трафик атаки.