IP Spoofing

Un utente malintenzionato potrebbe spoofing di un indirizzo IP di fiducia quando si comunica a un host, al fine di ottenere accesso non autorizzato su tale host. Ci sono una varietà di strumenti che possono essere trovati su Internet per fare IP spoofing. Utilizzo di IP spoofing, gli aggressori possono anche avviare un Denial of Service inviando i dati con la sorgente IP spoofing per l'indirizzo IP attaccato. Il ricevitore invia poi di nuovo le risposte che possono contenere grandi quantità di dati per l'indirizzo IP attaccato causando un attacco di alluvione a tale indirizzo. Invio di dati utilizzando l'indirizzo IP spoofing di molti ospiti si tradurrà in un Distributed Denial-of-Service attacco. Per la protezione contro lo spoofing IP, il kernel di Linux ha un opzione chiamata "rp_filter", che possono essere modificati in fase di esecuzione mediante:

root @ router: ~ # echo 0> / proc/sys/net/ipv4/conf/all/rp_filter

Questo comando disabilita rp_filter su tutte le interfacce. Per disattivare su una interfaccia, eth0 per esempio, possiamo usare:

root @ router: ~ # echo 0> / proc/sys/net/ipv4/conf/eth0/rp_filter

Impostazione rp_filter a:

1 permette di protezione IP spoofing 0 disabilita protezione IP spoofing

i pacchetti IP devono essere sulla stessa interfaccia, se rp_filter è impostato a 0.

Protocolli di routing Attacchi

Configurato correttamente i protocolli di routing dinamici come RIP, BGP, OSPF e potrebbe permettere agli attacker di iniettare itinerari nelle tabelle di routing del computer che eseguono le istanze di tali protocolli. Questo potrebbe consentire ad aggressori di condurre Denial-of-service, iniettando rotte sbagliate o IP sniffing configurando il computer di agire come un router dalla rete. Parleremo più avanti in questo articolo come impostare, configurare e BGP sicuro su Linux.

ICMP Attacchi

ICMP è una parte molto importante del protocollo IP host e router che consente di scambiare messaggi di controllo. Utilizzo di indirizzi IP falsificati, un utente malintenzionato potrebbe interrompere le comunicazioni tra due host con l'invio di "Tempo scaduto" o "Destinazione irraggiungibile" Messaggio per entrambi gli host, con conseguente un attacco DoS. Inviando ICMP "reindirizzare" i messaggi, un utente malintenzionato potrebbe forzare un router per inoltrare i pacchetti destinati ad un host a indirizzo IP dell'attaccante. Con Linux, si può evitare che il kernel di accettare i messaggi reindirizzare per una o tutte le interfacce:

root @ router: ~ # echo 0> / proc/sys/net/ipv4/conf/eth0/accept_redirects

ICMP flooding è uno dei modi più semplici per attaccare un ospite. ping è uno degli strumenti più comunemente utilizzati per verificare la connettività, ma può anche essere utilizzato come strumento di attacco DoS. Ad esempio, utilizzando Linux, si può sovraccaricare un host che utilizza ping-f. Le inondazioni seguente comando l'host 10.10.10.12 con 1000 pacchetti:

root @ router: ~ # ping-f 10.10.10.12-C 1000 PING 10.10.10.12 (10.10.10.12) 56 (84) byte di dati.

Questo tipo di attacco può essere fermato, limitando il numero di eco ICMP-i messaggi di richiesta con iptables:

root @ router: ~ # iptables-A FORWARD-p icmp - icmp-type echo-request-m limite - limite del 10 / s-j ACCEPT

root @ router: ~ # iptables-A FORWARD-p icmp - icmp-type echo-request-j DROP

Old implementazioni ICMP avuto alcune altre vulnerabilità, per esempio, il Ping of Death. Il Ping of Death in tilt i computer inviando ICMP "echo request" i messaggi in pacchetti IP più grande della lunghezza massima di 65535 ottetti giuridica, causando un buffer overflow in crash dispositivo della vittima (computer, stampante, ecc.) Una patch Linux per il ping della morte era fuori in 2 ore, 35 minuti e 10 secondi, e poco dopo, le patch per altri sistemi operativi sono disponibili presso i fornitori. Tuttavia, il ping del problema della morte ha generato una tendenza di filtraggio dei pacchetti ICMP, che , come si vedrà più avanti in questo articolo, non è una buona pratica.

Teardrop Attacchi

Lacrima, Targa, newtear, Nestea Bonk, Boink, TearDrop2, Syndrop, e molti altri sono tutti strumenti per le macchine crash che hanno una vulnerabilità in stack IP. Tali strumenti di sfruttare un bug frammentazione stack IP attuazione di alcuni vecchi kernel di Linux ( 2.0), Windows NT e Windows 95. Teardrop inviato pacchetti IP frammentati che non potevano essere assemblati correttamente la macchina attaccata, manipolando i valori di offset dei pacchetti. L'effetto è stato un kernel panic in Linux o uno schermo blu in Windows. Un riavvio ha risolto il problema fino a quando il prossimo attacco.

Layer 4 Security Threats

TCP e UDP sono i protocolli di trasporto disponibile sul sito OSI Layer 4-trasporti. Abbiamo imparato a conoscere più in dettaglio di cui all'articolo 1, con il protocollo TCP è più complesso di quanto UDP perché è un protocollo orientato alla connessione che ha un flusso di meccanismo di controllo (finestre), mentre UDP è semplice e senza connessione, e senza di flusso controllo attuati nel protocollo. TCP Attacchi

Essendo un protocollo orientato alla connessione, una connessione TCP viene stabilita mediante un three-way handshake di cui all'articolo 1. Un utente malintenzionato può sfruttare questa proprietà del protocollo con l'invio di un gran numero di pacchetti SYN senza considerare i SYNACK l'host attaccato manda indietro. Questo tipo di attacco si chiama TCP SYN attacco o SYN flooding. SYN flooding può avere successo come il computer attaccato tiene traccia delle connessioni parzialmente aperto per un minimo di 75 secondi in una "coda di ascoltare".

La coda è limitato a varie implementazioni di TCP, quindi un SYN flood può riempirlo, causando la macchina di riavviare o in crash. In Linux, il protocollo TCP ascoltare coda differisce da una versione del kernel a un altro. Per i kernel 2.2 e anziani, la coda di ascolto di default è di 1024 per le connessioni TCP in stato SYN_RECV; per i kernel 2.0, c'è stato un ritardo di tenere traccia di apertura e parzialmente aperto le connessioni TCP. TCP-Un altro tipo di incremento di attacco è il Attacco di terra. L'attacco Land è molto semplice ed è stato molto devastante allo stesso tempo, non solo come un gran numero di versioni Unix e tutte le versioni di Windows sono stati colpiti, ma anche i router Cisco. L'attacco Land sia effettuato utilizzando un piccolo programma scritto in C (land.c) che invia un pacchetto SYN a un host su una porta TCP aperta con l'indirizzo IP sorgente falsificato l'indirizzo IP di destinazione (ad esempio 192.168.1.1 port 139-192,168 .1.1 porta 139). Un altro importante TCP-correlate è un attacco di tipo man-in-the-middle chiamata Connessione TCP Hijacking.

Un utente malintenzionato in piedi il percorso di due computer di comunicare attraverso il protocollo TCP può prendere il controllo della connessione TCP durante il three-way handshake, o successivamente, quando la connessione è stabilita, creando un desincronizzato Stato, Il che significa che la connessione TCP è stabilito, nessun dato viene inviato, e il numero SEQ di un host non corrisponde al numero di ACK l'altro host e viceversa (A_SEQ <> B_ACK e B_SEQ <> A_ACK). Durante uno stato desincronizzato, i padroni di casa scartare i pacchetti da un altro (DoS), ma l'attaccante in grado di creare una sequenza di numeri corretti, iniettando comandi nella comunicazione.

Attacchi UDP

Poiché UDP è un protocollo semplice, senza procedure di instaurazione della connessione, l'unico modo UDP possono essere influenzati sia con l'invio di un gran numero di pacchetti UDP a porte casuali sulla macchina attaccata. Questo tipo di attacco si chiama UDP flooding. La macchina attaccato cercherà di determinare l'applicazione che il pacchetto è destinato. Qualora nessuna domanda di ascolto su quella porta UDP, il pacchetto sarà scartato. Inondando la vittima con questi tipi di pacchetti, il computer vittima potrebbe sovraccaricare, causando un crash di sistema.

TCP e UDP Port Scan Attacks

Port scanning è probabilmente la prima cosa che un utente malintenzionato non quando si cerca di hackerare una vittima. Utilizzando uno strumento da una varietà di programmi disponibili su Internet (ad esempio, Nmap), un utente malintenzionato può scoprire che le porte TCP e UDP un host ha aperto, al fine di individuare i servizi in esecuzione per un ulteriore sfruttamento di vulnerabilità.

Strato di 5, 6, 7 e minacce di sicurezza

Abbiamo raggruppato i livelli 5, 6, e 7 del modello OSI corrispondente al TCP / IP Layer 4 domanda. Ci sono un sacco di domande che sono conosciuti dal passato di essere vulnerabili agli attacchi. La maggior parte di queste applicazioni ha avuto problemi a tutti e tre gli strati superiori del modello OSI. Saremo presenti alcune di queste applicazioni, è noto che contengono un gran numero di vulnerabilità, e che sono molto popolari.

un articolo presentato da Philip A Clare

Disclaimer:Il nostro sito non è responsabile per il contenuto di questo articolo. Webarticles è una risorsa gratuita di informazioni.
Importante: Questo articolo è "IP spoofing" è stato tradotto da un software automatico. Ci dispiace per eventuali errori di ortografia che possono essersi verificati. Grazie per la vostra comprensione.