IP SpoofingUn attaquant peut usurper une adresse IP sécurisée pour communiquer avec un hôte afin de gagner l'accès non autorisé sur cet hôte. Il existe une variété d'outils qui peuvent être trouvés sur l'Internet pour faire usurpation d'adresse IP. Utilisation de l'IP spoofing, les attaquants peuvent aussi lancer un déni de service par l'envoi des données avec l'adresse IP source falsifiée à l'adresse IP attaqués. Le récepteur transmet ensuite revenir réponses qui peuvent contenir de grandes quantités de données à l'adresse IP attaqué entraînant une attaque contre les inondations à cette adresse. Envoi de données en utilisant l'adresse IP pour usurpation de nombreux hôtes se traduira par une Distributed Denial-of-Service attaque. Pour se protéger contre l'usurpation de la propriété intellectuelle, le noyau Linux a une option nommée "rp_filter», qui peut être modifiée à l'exécution en utilisant: root @ routeur: ~ # echo 0> / proc/sys/net/ipv4/conf/all/rp_filter Cette commande désactive rp_filter sur toutes les interfaces. Pour désactiver sur une interface, eth0 par exemple, on peut utiliser: root @ routeur: ~ # echo 0> / proc/sys/net/ipv4/conf/eth0/rp_filter
Réglage rp_filter à: 1 permet une protection IP spoofing 0 désactive la protection IP spoofing ces paquets IP doivent être sur la même interface, si rp_filter est fixé à 0. Les attaques contre les protocoles de routage Mal configuré les protocoles de routage dynamique tel que RIP, BGP et OSPF mai permettre à des attaquants d'injecter des routes dans les tables de routage des machines exécutant des instances de ces protocoles. Cette mai permettre à des attaquants d'effectuer Denial-of-service attacks par injection de routes erronées ou IP sniffing en configurant son ordinateur de se comporter comme un routeur du réseau. Nous examinerons plus loin dans cet article comment installer, configurer et sécurisé sur BGP Linux. Les attaques ICMP ICMP est une partie très importante du protocole IP permettant aux hôtes et des routeurs pour échanger des messages de contrôle. Utilisation des adresses IP usurpée, un attaquant pourrait perturber les communications entre deux hôtes en envoyant "Time Exceeded" ou "Destination inaccessible" messages pour les deux hôtes, ce qui entraîne une attaque DoS. ICMP en envoyant des «messages» de redirection, un attaquant peut forcer un routeur de transmettre les paquets destinés à un hôte à l'adresse IP de l'attaquant. Avec Linux, on peut forcer le noyau de ne pas accepter les messages de redirection pour une ou toutes les interfaces: root @ routeur: ~ # echo 0> / proc/sys/net/ipv4/conf/eth0/accept_redirects ICMP Flooding est l'un des moyens les plus faciles à attaquer un hôte. Ping est un des outils les plus couramment utilisés pour vérifier la connectivité, mais il peut également être utilisé comme un outil d'attaque DoS. Par exemple, l'utilisation de Linux, on peut inonder un hôte à l'aide de ping-f. La commande la suite des inondations de l'hôte 10.10.10.12 avec 1000 paquets: root @ routeur: ~ # ping-f 10.10.10.12-C 1000 PING 10.10.10.12 (10.10.10.12) 56 (84) octets de données. Ce type d'attaque peut être arrêté en limitant le nombre de messages ICMP echo demande avec iptables: root @ routeur: ~ # iptables-A INPUT-p icmp - icmp-type echo-request-m limit - limit 10 / s-j ACCEPT root @ routeur: ~ # iptables-A INPUT-p icmp - icmp-type echo-request-j DROP Old implémentations ICMP eu quelques autres vulnérabilités, par exemple, le Ping of Death. Le ping de la mort s'est écrasé machines par l'envoi d'ICMP "echo request" messages dans les paquets IP plus grande que la durée légale maximale de 65535 octets, provoquant un débordement de mémoire tampon afin d'altérer le dispositif de la victime (ordinateur, imprimante, etc.) Un patch Linux pour le ping de la mort était en 2 heures, 35 minutes et 10 secondes, et peu de temps après, des correctifs pour les autres OS sont disponibles chez les marchands. Toutefois, le ping de la mort problème généré une tendance de filtrage des paquets ICMP, qui , comme vous le verrez plus tard dans cet article, n'est pas une bonne pratique. Teardrop Attacks Teardrop, targa, newtear, Nestea Bonk, Boink, TearDrop2, Syndrop, et beaucoup d'autres sont autant d'outils pour machines crash qui ont une vulnérabilité dans la pile IP. Ces outils exploiter les bugs de la fragmentation dans la pile IP mise en œuvre de certains vieux noyaux Linux ( 2.0), Windows NT, et Windows 95. Teardrop envoyé paquets IP fragmentés qui ne pouvaient être assemblés correctement par la machine attaquée, en manipulant les valeurs de décalage des paquets. L'effet fut une panique du noyau dans Linux ou un écran bleu dans Windows. Un redémarrage a résolu le problème jusqu'à la prochaine attaque. Couche 4 Menaces pour la sécurité TCP et UDP sont les protocoles de transport disponibles à la couche OSI 4-transport. Nous avons appris à leur sujet plus en détail dans l'article 1 er, par TCP étant plus complexe que UDP parce que c'est un protocole orienté connexion qui a un mécanisme de contrôle de flux (fenêtrage), tandis que le protocole UDP est simple et sans connexion, et sans écoulement contrôle mises en œuvre dans le protocole. Les attaques TCP Être un protocole orienté connexion, une connexion TCP est établie en utilisant une connexion en trois temps comme décrit dans l'article 1er. Un attaquant peut exploiter cette propriété du protocole par l'envoi d'un très grand nombre de paquets SYN sans avoir égard aux SYNACK l'hôte attaqué renvoie. Ce type d'attaque est appelée TCP attaque SYN ou SYN Flooding. SYN inondations peuvent être fructueuses que les ordinateurs attaqués garde la trace des connexions partiellement ouvert pour minimum 75 secondes dans une «écouter la queue». La file d'attente est limitée sur les différentes implémentations TCP; donc une inondation SYN pouvez le remplir, provoquant la machine de redémarrer ou de tomber en panne. Sous Linux, le protocole TCP écoute file d'attente varie d'une version du noyau à l'autre. Pour les noyaux 2.2 et plus âgés, la file d'attente d'écoute par défaut est 1024 pour les connexions TCP dans l'état SYN_RECV; pour noyaux 2.0, il y avait un arriéré de garder la trace ouverte et partiellement ouvert des connexions TCP. Un autre type TCP-connexe de l'attaque est la D'attaque à terre. L'attaque terrestre est très simple et a été très dévastatrices dans le même temps, non seulement comme un grand nombre de versions Unix et toutes les versions de Windows sont touchées, mais aussi des routeurs Cisco. L'attaque terrestre est réalisé en utilisant un petit programme écrit en C (land.c) qui envoie un paquet SYN à un hôte sur un port TCP ouvert avec l'adresse IP source falsifiée à l'adresse IP de destination (par exemple 192.168.1.1 port 139 à 192.168 .1.1 port 139). Une autre TCP populaire attaque associée est un Man-In-the-attaque-Orient appelle Connexion TCP Hijacking. Un comité permanent de attaquant dans le chemin de deux ordinateurs communiquant via TCP peut prendre le contrôle de la connexion TCP durant la connexion en trois temps, ou après, lorsque la connexion est établie, en créant un désynchronisés Etat, Ce qui signifie que la connexion TCP est établie, aucune donnée n'est envoyée, et le numéro SEQ d'un hôte est différent du nombre ACK de l'autre hôte et dans l'autre sens (A_SEQ <> B_ACK et B_SEQ <> A_ACK). Pendant l'état désynchronisés, les hôtes rejeter les paquets d'une autre (DoS), mais l'attaquant peut créer une séquence de chiffres exacts, l'injection de commandes dans la communication. Les attaques UDP Depuis UDP est un protocole simple, sans procédures d'établissement de la connexion, le seul moyen UDP peuvent être touchées, soit en envoyant un grand nombre de paquets UDP sur des ports aléatoires sur la machine attaquée. Ce type d'attaque est appelée UDP Flooding. La machine attaquée va essayer de déterminer la demande que le paquet est destiné. Si aucune application écoute sur ce port UDP, le paquet sera rejeté. Par les inondations de la victime avec ces types de paquets, la machine de la victime pourrait surcharge, résultant dans le système d'un accident. TCP et UDP Port Scan Attacks Scan de port est probablement la première chose qu'un attaquant ne lorsque vous essayez de pirater une victime. L'utilisation d'un outil à partir d'une variété de programmes trouvés sur Internet (par exemple Nmap), un attaquant peut découvrir quels ports TCP et UDP un hôte a ouvert ses portes en cours d'exécution afin d'identifier les services pour une nouvelle exploitation des vulnérabilités. Couche 5, 6, et 7 Menaces à la sécurité Nous avons regroupé les couches 5, 6 et 7 du modèle OSI correspondant à la couche TCP / IP 4 application. Il ya beaucoup d'applications qui sont connues par le passé d'être vulnérable aux exploits. La plupart de ces demandes avaient des problèmes à l'ensemble des trois couches supérieures du modèle OSI. Nous allons présenter quelques unes de ces applications, connu pour contenir un grand nombre de vulnérabilités, et qui sont très populaires. un article présenté par Philip A Clare Disclaimer:Notre site n'est pas responsable du contenu de cet article. Webarticles est une ressource d'information gratuite. Important: Cet article "IP Spoofing" a été traduit par un logiciel automatique. Nous nous sentons désolés pour les fautes d'orthographe que mai ont eu lieu. Nous vous remercions de votre compréhension.
|
|||||
| Online: 476 users browsing the articles directory |
|
|