IP-SpoofingEin Angreifer kann ein spoof vertrauenswürdige IP-Adresse bei der Kommunikation mit einem Host, um unbefugten Zugriff auf diesem Host zu gewinnen. Es gibt eine Vielzahl von Werkzeugen, können Sie im Internet gefunden werden, um IP-Spoofing zu tun. Verwenden von IP-Spoofing, können Angreifer auch beschließen, Denial of Service durch das Senden von Daten mit der Quell-IP-gefälscht, um zu dem angegriffenen IP-Adresse. Der Empfänger sendet dann wieder entgegnet, dass große Mengen an Daten enthalten kann, die angegriffen IP-Adresse was zu einer Flut Angriff an diese Adresse. Senden von Daten mit Hilfe einer gefälschten IP-Adresse zu viele Hosts wird in einem Ergebnis Distributed Denial-of-Service Angriff. Um sich gegen IP-Spoofing schützen, hat die Linux-Kernel eine Option namens "rp_filter", die während der Laufzeit verändert werden kann mit: root @ router: ~ # echo 0> / proc/sys/net/ipv4/conf/all/rp_filter Dieser Befehl deaktiviert rp_filter auf alle Schnittstellen. So deaktivieren Sie an einer Schnittstelle, zB eth0, können wir: root @ router: ~ # echo 0> / proc/sys/net/ipv4/conf/eth0/rp_filter
Einstellen rp_filter zu: 1 ermöglicht IP-Spoofing Schutz 0 deaktiviert IP-Spoofing-Schutz die IP-Pakete müssen auf die gleiche Schnittstelle, wenn rp_filter auf 0 gesetzt ist. Routing-Protokolle Attacks Misconfigured dynamische Routing-Protokolle wie RIP, BGP, OSPF und kann Angreifern die Möglichkeit bieten Routen in die Routing-Tabellen der Maschinen laufenden Instanzen dieser Protokolle zu injizieren. Dies kann Angreifern die Möglichkeit bieten Verhalten Denial-of-Service-Attacken durch die Injektion von falschen Routen oder die IP-Sniffing, indem Sie den Computer wie ein Router aus dem Netzwerk zu handeln. Wir werden später in diesem Artikel erörtern, wie die Einrichtung, Konfiguration, BGP und sicher auf Linux. ICMP-Angriffe ICMP ist ein sehr wichtiger Teil des IP-Protokolls ermöglicht Hosts und Routern, die Kontrolle Nachrichten austauschen. Verwendung von gefälschten IP-Adressen, kann ein Angreifer die Kommunikation zwischen zwei Hosts, indem Sie "Zeitüberschreitung" oder "Ziel nicht erreichbar"-Einträge auf beiden Rechnern unterbrechen, was zu einen DoS-Angriff. Mit dem Senden von ICMP "redirect"-Einträge, kann ein Angreifer über einen Router zu zwingen, Pakete zu einem Host auf IP Adresse des Angreifers zu bestimmt zu übermitteln. Mit Linux können wir den Kernel nicht mit Gewalt zu akzeptieren Umleitungsnachrichten für einen oder alle Schnittstellen: root @ router: ~ # echo 0> / proc/sys/net/ipv4/conf/eth0/accept_redirects ICMP Flooding ist eine der einfachsten Möglichkeiten Angriff auf einen Host. Ping ist eines der am häufigsten verwendeten Werkzeuge, um die Konnektivität zu überprüfen, aber es kann auch als eine DoS-Attacke Tool verwendet werden. Zum Beispiel, unter Linux, kann ein Hochwasser ein Host mit ping-f. Der folgende Befehl Überschwemmungen der Host 10.10.10.12 mit 1000 Paketen: root @ router: ~ # ping-f 10.10.10.12-c 1000 PING 10.10.10.12 (10.10.10.12) 56 (84) bytes of data. Diese Art von Angriff kann durch die Begrenzung der Zahl der ICMP-Echo-Request-Nachrichten mit iptables beendet werden: root @ router: ~ # iptables-A INPUT-p icmp - icmp-type echo-request-m limit - limit 10 / s-j ACCEPT root @ router: ~ # iptables-A INPUT-p icmp - icmp-type echo-request-j DROP Old ICMP-Implementierungen hatte einige andere Schwachstellen, zum Beispiel die Ping of Death. Der Ping des Todes abgestürzt Maschinen, indem es ICMP "Echo Request"-Nachrichten in IP-Pakete, die größer als die gesetzlich zulässige maximale Länge von 65535 octets, wodurch ein Pufferüberlauf des Opfers Gerät zum Absturz bringen (Computer, Drucker, etc.). Ein Linux-Patch für den Ping of Death "wurde in 2 Stunden, 35 Minuten und 10 Sekunden, und kurz danach wurden Patches für andere Betriebssysteme von Anbietern zur Verfügung. Aber die Ping of Death Problem erzeugt ein Trend der Filterung von ICMP-Paketen, die Wie Sie später in diesem Artikel zu sehen, ist keine gute Praxis. Teardrop-Angriffe Teardrop, targa, newtear, Nestea Bonk, Boink, Teardrop2, Syndrop und viele andere sind alle Werkzeuge, Maschinen zum Absturz zu bringen, dass eine Schwachstelle in der IP-Stack haben. Diese Instrumente zur Nutzung einer Fragmentierung Fehler in der IP-Stack-Implementierung eines alten Linux-Kernel ( 2.0), Windows NT und Windows 95. Teardrop geschickt fragmentierte IP-Pakete, die nicht ordnungsgemäß könnte durch das angegriffene Maschine zusammengebaut werden sollen, durch die Manipulation der Offset-Werte der Pakete. Die Wirkung war eine Kernel-Panik unter Linux oder einem blauen Bildschirm in Windows. Ein Neustart löste das Problem bis zum nächsten Angriff. Layer-4-Sicherheits-Bedrohungen TCP-und UDP sind die Transport-Protokolle auf OSI-Layer 4 gefunden zu transportieren. Wir haben über sie im Einzelnen in Artikel 1 gelernt haben, mit TCP werden komplexer als UDP, weil es eine Verbindung-Protokoll, das eine Flow-Control Mechanismus (Windowing), während UDP ist einfach und verbindungslos und ohne flow - Kontrolle umgesetzt in das Protokoll. TCP-Attacken Als Verbindung-Protokoll, eine TCP-Verbindung hergestellt ist mit einem Drei-Wege-Handshake im Sinne von Artikel 1. Ein Angreifer kann diese Eigenschaft des Protokolls ausnutzen, indem er eine sehr große Anzahl von SYN-Pakete, ohne über die SYNACK das angegriffene System sendet. Diese Art von Angriff wird als TCP-SYN-Angriff oder SYN-Flooding. SYN-Flooding kann als das angegriffene Computer verfolgt teilweise geöffnet Anschlüsse für mindestens 75 Sekunden in einem "anhören erfolgreiche Warteschlange". Die Warteschlange wird über verschiedene TCP-Implementierungen beschränkt; daher ein SYN-Flood kann sie füllen, und die Maschine neu zu starten oder zum Absturz bringen. Unter Linux, das TCP listen Warteschlange unterscheidet sich von einem Kernel-Version zu einem anderen. Für 2.2 und älteren Kerneln, die Standard-listen-Queue ist 1024 für TCP-Verbindungen in SYN_RECV Staat, für 2.0 Kernel gab es einen Rückstand nachvollziehen geöffnet und teilweise geöffneten TCP-Verbindungen. Eine weitere TCP-Verbindung stehende Art von Angriff ist die Land-Attacke. Die Land-Attacke ist sehr einfach und sehr verheerende zur gleichen Zeit, da nicht nur eine große Anzahl von Unix-Versionen und alle Windows-Versionen betroffen waren, sondern auch Cisco-Routern. Die Land-Attacke durchgeführt wird, mit einem kleinen Programm in C (land.c) geschrieben, daß ein SYN-Paket an einen Host sendet auf einer geöffneten TCP-Port mit dem Quell-IP, um die Ziel-IP-Adresse gefälscht Adresse (zB 192.168.1.1 Port 139 bis 192,168 .1.1 Port 139). Eine andere beliebte TCP-bezogene Angriff ist ein Man-In-the-Middle-Angriff genannt TCP-Verbindung Hijacking. Ein Angreifer stand auf dem Weg von zwei Computern kommunizieren über TCP kann die Kontrolle über die TCP-Verbindung während des Drei-Wege-Handshake, oder danach, zu ergreifen, wenn die Verbindung in etablierten, durch die Schaffung eines desynchronisiert Staat, Was bedeutet, dass die TCP-Verbindung hergestellt ist, werden keine Daten gesendet, und die Zahl der SEQ einem Host unterscheidet sich von der ACK-Nummer des anderen Host und umgekehrt (A_SEQ <> B_ACK und B_SEQ <> A_ACK). Während einer desynchronisiert Staat, die Gastgeber zu verwerfen Pakete von einem anderen (DoS), aber die Angreifer kann eine Folge der richtigen Zahlen zu erstellen, der Injektion Befehle in der Mitteilung. UDP-Angriffe Da UDP ist ein einfaches Protokoll ohne Verbindungsaufbau Verfahren ist der einzige Weg, UDP kann beeinträchtigt werden, indem eine große Anzahl von UDP-Pakete, die nach offenen Ports auf dem angegriffenen Rechner. Diese Art von Angriff wird als UDP Flooding. Die Maschine angegriffen wird versuchen, die Anwendung, die das Paket für bestimmt zu bestimmen. Wenn keine Anwendung überwacht, dass UDP-Port, wird das Paket verworfen werden. Durch die Überflutung des Opfers mit dieser Art von Paketen, die Opfer Computer möglicherweise Überlastung, die sich in ein System zum Absturz bringen. TCP-und UDP-Port-Scan Angriffe Port Scanning ist wahrscheinlich das erste, was einem Angreifer nicht, wenn Sie versuchen, ein Opfer zu hacken. Mit einem Programm von einer Vielzahl von Programmen im Internet zu finden (zB Nmap), kann ein Angreifer herauszufinden, welche TCP-und UDP-Ports ein Host geöffnet hat, um herauszufinden, laufende Leistungen für die weitere Nutzung von Schwachstellen. Layer 5, 6 und 7 Sicherheitsbedrohungen Wir haben zusammengefasst Ebenen 5, 6 und 7 des OSI-Modells entsprechend der TCP / IP-Layer-4-Anwendung. Es gibt eine Vielzahl von Anwendungen, die aus der Vergangenheit anfällig für Exploits bekannt sind. Die meisten dieser Anwendungen hatte Probleme auf allen der drei oberen Schichten des OSI-Modells. Wir werden ein paar dieser Programme melden, um eine große Zahl von Sicherheitslücken enthalten, und das ist sehr beliebt sind. Ein Artikel eingereicht von Philip A Clare Disclaimer:Unsere Website ist nicht verantwortlich für den Inhalt dieses Artikels. Webarticles ist eine kostenlose Informationsquelle. Wichtig: Dieser Artikel "IP-Spoofing" wurde durch ein automatisches Software übersetzt. Wir fühlen uns leid für alle Rechtschreibfehler, die möglicherweise aufgetreten sind. Vielen Dank für Ihr Verständnis.
|
|||||
| Online: 149 users browsing the articles directory |
|
|