4) Warstwa transportowa Ataki w tej warstwie mają podobny charakter, jak w warstwie międzysieciowej i również mogą być przeprowadzane zarówno jako wewnętrzne.

Prezentacja na temat: "4) Warstwa transportowa Ataki w tej warstwie mają podobny charakter, jak w warstwie międzysieciowej i również mogą być przeprowadzane zarówno jako wewnętrzne."— Zapis prezentacji:

1 4) Warstwa transportowa Ataki w tej warstwie mają podobny charakter, jak w warstwie międzysieciowej i również mogą być przeprowadzane zarówno jako wewnętrzne (z sieci lokalnej), jak i zewnętrzne (spoza niej). Dwa podstawowe protokoły warstwy transportowej to UDP (bezpołączeniowy, zawodny) oraz TCP (połączeniowy, niezawodny). Oba protokoły dysponują zakresami numerów portów od 0 do 64 K–1. Struktura nagłówka datagramu UDP: 1 bajt 2 bajt 3 bajt 4 bajt port źródłowy port docelowy długość datagramu suma kontrolna Ze względu na bezpołączeniowość, adres źródłowy IP oraz numer portu źródłowego nie są sprawdzane przez oprogramowanie protokołu (nadawca może wstawić dowolne wartości).

2 Ponieważ funkcje protokołu TCP są dużo bardziej skomplikowane, niż funkcje protokołu UDP, struktura nagłówka segmentu TCP również jest bardziej złożona, niż nagłówka datagramu UDP: 1 bajt 2 bajt 3 bajt 4 bajt port źródłowy port docelowy numer sekwencji numer potwierdzenia U A P R S F długość niewyko- R C S S Y I rozmiar okna nagłówka rzystane G K H T N N suma kontrolna początek danych pilnych O P C J E

3 a) Przeglądanie portów (skanowanie) – nie jest właściwym atakiem, ale raczej przygotowaniem do niego. Polega na seryjnym wysyłaniu zapytań do kolejnych portów TCP i/lub portów UDP (w pełnych lub częściowych zakresach numerów portów) w celu stwierdzenia, które z nich reagują na to (pozwalają na nawiązanie połączenia TCP lub odsyłają datagram UDP). Daje to informację atakującemu: 1) które porty mogą być podatne na ataki typu SYN, Land lub UDP flooding; 2) które porty mogą udostępniać usługi standardowe (o stałych numerach portów zarejestrowanych w odpowiednich spisach), które można próbować atakować na poziomie warstwy zastosowań. b) Zalewanie datagramami UDP (UDP flooding) ma podobny charakter, jak zalewanie jednostkami na niższych poziomach (ramkami, pakietami), ale może odnosić się do wybranego portu UDP (udostępniającego pewną usługę) w celu czasowego zablokowania tej właśnie usługi. Zwykle atak jest przeprowadzany datagramami ze sfałszowanym adresem nadawcy i bez podanego numeru portu (pole wyzerowane). W celu spotęgowania efektu może być przeprowadzony z wielu (zdobytych wcześniej) maszyn w sieci (atak typu DDoS – Distributed Denial of Service). Przeciwdziałanie polega głównie na właściwym doborze ustawień firewalla.

4 c) Atak typu SYN polega na wysłaniu wielu segmentów z ustawionym bitem SYN w nagłówku TCP (są to segmenty organizacyjne inicjujące nawiązanie połączenia przez TCP) do wybranego (otwartego) portu TCP pod wybranym adresem, a następnie nie reagowaniu na odsyłanie przez atakowanego zwrotnych pakietów SYN + ACK. Ponieważ po każdej niedokończonej próbie nawiązania połączenia przez klienta serwer oczekuje przez pewien czas, utrzymując jednocześnie zgłoszone żądanie w kolejce (i blokując przydzielone mu gniazdo TCP), dość łatwo jest w ten sposób doprowadzić do czasowego wyczerpania zasobów i blokady usług danego serwera. Przeciwdziałaniem może być zmniejszenie liczby wysłanych zwrotnych pakietów SYN + ACK i skrócenie czasu potrzebnego na rezygnację z połączenia. W przypadku ataku zewnętrznego wyżej opisaną techniką zalecane jest skontaktowanie się ze swoim dostawcą usług internetowych i zgłoszenie mu problemu w celu wyśledzenia źródła atakujących segmentów SYN (prawdopodobnie zaopatrzonych w fałszywe adresy IP). d) Atak typu Land polega na wysyłaniu pakietów SYN z adresem IP atakowanego wpisanym jako adres nadawcy. Jest w stanie zaszkodzić w przypadku starszych wersji oprogramowania TCP/IP. Przeciwdziałanie sprowadza się do aktualizacji oprogramowania oraz ustawienia firewalla tak, aby nie wpuszczał z sieci zewnętrznej pakietów z wpisanymi adresami wewnętrznymi jako adresami nadawców.

5 e) Przejęcie połączenia TCP jest w praktyce możliwe tylko wtedy, kiedy atakujący ma możliwość podsłuchu pakietów zarówno przesyłanych od klienta do serwera, jak i w drugą stronę (zwykle umożliwia to przeprowadzony wcześniej atak i zdobycie jednego z urządzeń retransmisyjnych w sieci klienta lub w sieci serwera). Polega na wyłączeniu jednej ze stron nawiązanego połączenia (na przykład przez wysłanie fałszywego segmentu TCP z ustawionym bitem RST lub przez atak typu DoS), a następnie natychmiastowym przejęciu jej roli (przez wysyłanie sfałszowanych segmentów TCP z właściwie ustawionymi adresami, numerami portów, numerem sekwencji i numerem potwierdzenia). Przeciwdziałaniem jest szyfrowanie transmisji w przypadku korzystania z pośrednictwa niezbyt dobrze zabezpieczonych sieci (w takim przypadku jedyną stratą będzie utrata połączenia TCP, a nie nastąpi utrata danych). f) Możliwe są rozmaite inne ataki wykorzystujące słabości (głównie starszych wersji) protokołu TCP, polegające na ustawieniu kombinacji flag URG, ACK, PSH, RST, SYN i FIN nie przewidzianych przez projektantów oprogramowania. Stosowane są, przykładowo, wszystkie flagi wyzerowane, wszystkie flagi wyjedynkowane lub flaga FIN ustawiona jako jedyna z wszystkich. Podstawowym sposobem przeciwdziałania jest systematyczna aktualizacja oprogramowania TCP.

6 5) Warstwa aplikacji Ataki w warstwie aplikacji mają bardzo zróżnicowany charakter ze względu na różnorodność usług w tej warstwie. Mogą być zarówno atakami bezpośrednimi, jak i pośrednimi (na przykład przy użyciu zdobytego wcześniej serwera usługi DNS). a) Blokowanie usługi DNS polega na zalaniu serwera DNS dużą liczbą datagramów UDP zawierających zapytania do niego. Może mieć charakter ataku rozproszonego (DDoS) przy użyciu większej liczby zdobytych wcześniej komputerów. Przeciwdziałanie takim atakom jest trudne, gdyż często trudno jest odróżnić rozmyślne ataki od rzeczywistych spiętrzeń zapytań. Zwykle jedyne możliwe przeciwdziałanie sprowadza się do konfiguracji serwera DNS tak, aby wykazywał pewną „podejrzliwość” i odsyłał (krótki) datagram odmowny zamiast (długiego) datagramu zawierającego odpowiedź w sytuacjach nastręczających wątpliwości. b) Zdobycie serwera DNS przez atakującego umożliwia zmianę zawartości jego bazy danych, a tym samym udzielanie fałszywych odpowiedzi klientom DNS (na przykład w celu przekierowania przeglądarek klientów do strony domowej atakującego). W przypadku nabrania przez klientów wątpliwości co do prawdziwości odpowiedzi serwera, wskazana jest próba skorzystania z alternatywnego serwera DNS (powinien być dostępny), a w przypadku stwierdzenia różnicy w odpowiedziach – powiadomienie właściciela danej domeny.

7 c) Jeśli atakowany komputer (oraz dowolny inny – być może przypadkowy) udostępnia usługę echo (w odpowiedzi na datagram zawierający dowolny tekst wysyła datagram zawierający taki sam tekst), atakujący może zaaranżować niekończącą się wymianę datagramów pomiędzy tymi komputerami, wysyłając do jednego z nich fałszywy datagram z podanym adresem IP drugiego z nich jako adresem nadawcy oraz z numerem portu usługi echo jako numerem portu źródłowego. Przeciwdziałanie polega na wyłączaniu wszelkich usług sieciowych, które nie są niezbędne. d) Atakowanie serwera poczty elektronicznej może przybierać różne formy. Zalewanie e-mailami może dotyczyć zarówno całego serwera, jak i kont poszczególnych użytkowników. Treść może być dowolna (atak typu DoS, mający na celu przepełnienie), jak i ukierunkowana na przekazanie niepożądanej informacji (spam). Jednym ze sposobów spowodowania lawiny e-maili (bomba pocztowa) jest wpisanie adresów pocztowych atakowanych na bardzo dużo różnych list dystrybucyjnych (nie wymagających potwierdzenia ze strony użytkowników). Przeciwdziałanie powinno być wielokierunkowe – filtrowanie poczty (reguły mogą być skomplikowane i będą omówione w innym miejscu), interwencje u administratorów sieci, z których następują ataki, porównywanie adresów IP pakietów z zawartymi w pakietach adresami e-mailowymi nadawców i wiele innych.

8 e) Wykorzystywanie luk w bezpieczeństwie programów wykonywanych w związku z tworzeniem i przekazywaniem dynamicznych stron domowych przy użyciu protokołu HTTP dotyczy zarówno programów wykonywanych po stronie serwera (server-side), jak i po stronie klienta (client-side). Większość luk związanych jest z brakiem właściwego zabezpieczenia funkcji wprowadzania danych do programu – użytkownik może przepełnić bufor przeznaczony na przyjmowanie danych i nadpisać następujący po nim fragment pamięci komputera. W skrajnym przypadku może nastąpić nadpisanie fragmentu kodu wykonywalnego programu kodem dostarczonym przez atakującego (charakterystyczny objaw w przypadku procesorów Intel i podobnych – długi ciąg znaków „&”, po którym następuje program atakującego). Przeciwdziałanie po stronie serwera polega głównie na używaniu sprawdzonych, dobrze zabezpieczonych programów oraz takim doborze ustawień firewalla, który utrudni ataki typu DoS, jednocześnie nie obniżając zbytnio dostępności serwera. Po stronie klienta wskazane jest wyłączenie w przeglądarkach wszelkich funkcji, które nie są niezbędne, wykonywanie (w razie konieczności) otrzymanych programów jedynie w środowisku izolowanym (sandbox), a przede wszystkim unikanie odwiedzania stron domowych dostarczanych przez niezbyt godne zaufania serwery (w szczególności serwery umieszczane na „czarnych listach” przez społeczność administratorów).

9 f) Złośliwe oprogramowanie (wirusy, robaki, konie trojańskie itp.) może rozpowszechniać się jako dodatki do informacji przekazywanych przy użyciu różnych protokołów komunikacyjnych (HTTP, FTP, protokoły poczty elektronicznej i inne) oraz przez nośniki wymienne (płytki, dyskietki, pendrive). Możliwość jego rozprzestrzeniania się jest związana głównie ze słabością zabezpieczeń systemów operacyjnych komputerów (w największym stopniu dotyczy to systemów Windows przeznaczonych dla użytkowników indywidualnych). Wirusy są fragmentami „obcego” oprogramowania doczepionymi do programów użytkowych („nosicieli”). W słabo zabezpieczonych systemach mogą doczepiać swoje kopie do innych programów. Mogą też być przenoszone przez sieć lub nośniki wymienne wraz z zarażonymi programami. Mogą mieć charakter złośliwy (na przykład w wybranym momencie uruchomić bombę logiczną) lub bardziej pasywny (jedynie zużywać zasoby komputerów). Robaki są programami samorzutnie przenoszącymi się przez sieci komputerowe do innych komputerów przy wykorzystaniu luk w zabezpieczeniu protokołów komunikacyjnych i systemów operacyjnych. Ich negatywna rola zwykle polega głównie na zapychaniu zasobów komputerów (które mogą być wielokrotnie zarażane).

10 Konie trojańskie są oddzielnymi programami sprawiającymi wrażenie zwykłych programów użytkowych. Są powielane przez zwykłe kopiowanie lub pobieranie przez sieć przez użytkowników. Użytkownicy nie są świadomi, że programy te zawierają w sobie złośliwe fragmenty, które mogą wyrządzać rozmaite szkody (na przykład podglądać dane innych programów i wysyłać przez sieć do swojego twórcy). Przeciwdziałanie wyżej wymienionym zjawiskom sprowadza się głównie do systematycznej aktualizacji oprogramowania sieciowego i systemowego (nakładania łat), prenumeraty bieżących wersji programów antywirusowych i antyszpiegowskich oraz wykorzystywania programów użytkowych pochodzących jedynie z godnych zaufania źródeł. 6) Użytkownik Ataki na tym poziomie (i sposoby zapobiegania im) zostały omówione w ramach wykładu „Socjologiczne aspekty bezpieczeństwa systemów i sieci komputerowych”.