Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

TCP/IP-атаки

Рубрика: Безопасность -> Уязвимости Linux-сервера
Метки: | |
Понедельник, 26 января 2009 г.
Просмотров: 6742

Протокол TCP/IP - это основа всего Интернета. TCP/IP-атаки могут прехватывать трафик, а отсюда недалеко  и до перехвата передаваемых данных - от паролей до разной коммерческой информации.

     К протоколу TCP/IP также относятся и протоколы ARP и DNS, и многие другие, отвечающие за идентификацию компьютеров в Интернете. Обычно эти протоколы и атакуют крекеры для получения приватных данных.


     ARP-Спуфинг

     Спуфинг - это подмена IP-адреса или MAC-адреса. MAC-адрес представляет собой физические 48-битные адреса сетевой платы. Их назначение - обеспечивание обмена информацией в сети без использования протокола высшего уровня. Для того, чтобы машины могли определять MAC-адреса друг друга, используется протокол ARP. Он преобразует IP-адреса в MAC-адреса и обратно. Этим он помогает протоколам верхнего уровня, освобождая их от необходимости знать физическую топологию сети.

     На каждой машине в специально таблице, которую называют ARP-кешем, хранятся ARP-записи. Они хранятся в оперативной памяти компьютера для ускорения преобразования IP-адресов в MAC-адреса. Просмотр осуществляется командой arp:

# arp

Address HWtype HWaddress Flags Mask Iface

172.16.0.1 ether 00:14:85:4A:CA:0F C eth1

172.16.0.7 ether 00:11:D8:32:98:98 C eth1

    ARP-спуфинг - это процесс отправки поддельного ответа в кеш клиента. Цель - скрытие реального IP-адреса и MAC-адреса. Результат - отправление пакетов на другой компьютер. Это не самостоятельная атака, используется при других видах атак, например при перехвате пакетов.

     DNS-атаки

     На сервер DNS(пакет BIND) всегда совершали атаки. Это и эксплоиты, и переполнение буфера, и всевозможные баги самого сервера, и много всего другого. У этой службы огромный список всевозможных уязвимостей. До сих пор у сервера DNS обнаруживают ошибки, которые позволяют атакующему подменять реальные IP-адреса на поддельные. Поэтому нужно внимательно следить за последними изменениями и всегда иметь под рукой свежую версию пакета.

     Если сервер DNS настроен неправильно, то при помощи запроса dig можно узнать и номер версии сервера, и даже получить полный листинг зоны.

     Одна из основных атак на DNS-сервер - это отравление DNS-кеша. Сначала атакующий отправляет много запросов для некоторого домена. Потом атакующий отравляет подделанные ответы на эти запросы. Сервер имен кеширует результаты ответов, в результате чего оказывается отравлен его кеш. Какое-то время спустя DNS-клиент определяет разрешение самого домена у сервера имен. Сервер имен отвечает, но ответ неправильный.