5. Атаки на основе внедрения ложного доверенного объекта

Угроза внедрения ложного доверенного объекта в ИТКС является активным воздействием, совершаемым с целью нарушения конфиденциальности и целостности информации.

Рассмотрим два известных способа реализации угрозы внедрения ложного доверенного объекта в ИТКС (применительно к Internet):

1. внедрение ложного объекта путем использования недостатков алгоритмов удаленного поиска:

• ARPspoofing – подмена таблицы преобразования адресов при использовании широковещательного ARP-запроса

• DNSspoofing – подмена сервера доменной системы имён

2. IP-spoofing – внедрение ложного объекта путем навязывания ложного маршрута.

Рассмотрим более подробно первый вид атаки основанной на недостатках алгоритмов удаленного поиска – ARPspoofing (создание ложного ARP-сервера). Для адресации на сетевом (IP) уровне в сети Internet каждый хост имеет уникальный IP-адрес. Для передачи IP-пакета на хост необходимо указать в IP-заголовке пакета в специальном поле IP-адрес хоста получателя. Однако IP-пакет находится внутри аппаратного пакета (Ethernet-пакета), поэтому каждый пакет в сетях любого типа и с любыми протоколами обмена, в конечном счете, адресуется на аппаратный адрес сетевого адаптера, непосредственно осуществляющего прием и передачу пакетов в сеть. В этой связи, для адресации IP-пакетов в сети Internet кроме IP-адреса хоста необходим еще либо Ethernet-адрес его сетевого адаптера (в случае адресации внутри одной подсети), либо Ethernet-адрес маршрутизатора (в случае межсетевой адресации). Первоначально хост может не иметь информации о Ethernet-адресах других хостов, находящихся с ним в одном сегменте, в том числе и о Ethernet-адресе маршрутизатора. Следовательно, перед хостом встает стандартная проблема, решаемая с помощью алгоритма удаленного поиска. В сети Internet для решения этой проблемы используется протокол ARP (Address Resolution Protocol). Протокол ARP позволяет получить взаимно однозначное соответствие IP и Ethernet адресов для хостов, находящихся внутри одного сегмента. Это достигается следующим образом: при первом обращении к сетевым ресурсам хост отправляет широковещательный ARP-запрос на заранее определенный Ethernet-адрес, в котором указывается IP-адрес маршрутизатора. Далее отправленный широковещательный запрос получают все станции в данном сегменте сети, в том числе и маршрутизатор. Получив данный запрос, маршрутизатор внесет запись о запросившем хосте в свою ARP-таблицу, а затем отправит на запросивший хост ARP-ответ, в котором сообщит свой Ethernet-адрес, остальные хосты просто не прореагируют на этот запрос в силу того, что не они являются адресатами запроса. Полученный в ARP-ответе Ethernet-адрес будет занесен в ARP-таблицу, находящуюся в памяти операционной системы на запросившем хосте и содержащую записи соответствия IP- и Ethernet-адресов для хостов внутри одного сегмента. В случае адресации к хосту, расположенному в той же подсети, также используется ARP-протокол и рассмотренная выше схема полностью повторяется.

Таким образом, перехватив на атакующем хосте внутри данного сегмента сети широковещательный ARP-запрос, злоумышленник может послать ложный ARP-ответ, в котором объявить себя маршрутизатором, и в дальнейшем активно контролировать и воздействовать на сетевой трафик атакуемого объекта (хоста).

На основе вышеописанного материала целесообразно построить топологическую модель сетевой атаки типа ARP-spoofing (рис. 5.17-5.19).

1. В (n) интервале времени злоумышленник получает широковещательный ARP-запрос, предназначенный для маршрутизатора m. Далее все хосты данного сегмента сети вносят изменения в свои ARP таблицы о появлении нового хоста в сети (рис. 5.17).

2. В (n+1) интервале времени злоумышленник быстрее реагирует на полученный от хоста Xkn+1 запрос, нежели маршрутизатор, и отправляет ложный ответ от имени маршрутизатора. Именно этот ответ и будет воспринят хостом Xkn+1 как верный. Одновременно с ответом на запрос, злоумышленник XT посылает сообщение на маршрутизатор, от имени атакуемого хоста, вследствие чего маршрутизатор заносит в свою ARP таблицу IP адрес злоумышленника (рис. 5.18).

3. В интервале времени (n+2) через злоумышленника начинает проходить весь трафик между маршрутизатором m и атакуемым объектом Xkn+1, следствием чего становится перехват сетевого трафика, между двумя объектами, с возможностью его модификации.

Рис. 5.17. Модель атаки типа ARP-spoofing в (n) интервале времени

Рис. 5.18. Модель атаки типа ARP-spoofing в (n+1) интервале времени

Рис. 5.19. Модель атаки типа ARP-spoofing в (n+2) интервале времени

По аналогии с моделями противодействия атакам описанными в пунктах 5.2 и 5.3, применительно к данной сетевой атаке может быть построена топологическая модель защиты от рассмотренной выше сетевой атаки.

Далее рассмотрим атаку вида DNS-spoofing. Как было сказано ранее, внешнесегментная адресация осуществляется по IP-адресам, но обращения к серверам, как правило, осуществляется по доменным именам. В этой связи была создана система преобразования (сопоставления) доменных имен в IP адреса – DNS-серверов (Domain Name System). Эта система отвечает за нахождение IP-адреса удалённого хоста по его имени. Принцип функционирования DNS системы следующий – удаленный хост посылает на IP-адрес ближайшего DNS-сервера специальный запрос, в котором указывает имя сервера, IP-адрес которого необходимо найти. Получив запрос, DNS-сервер просматривает свою базу данных на наличие запрашиваемого доменного имени. В случае если имя найдено, DNS-сервер возвращает ответ, в котором указывает искомый IP-адрес. В случае если указанное в запросе имя DNS-сервер не обнаружил в своей базе имен, то DNS-запрос отсылается DNS-сервером на один из корневых DNS-серверов и описанная в этом пункте процедура повторяется, пока имя не будет найдено.

Проанализируем (с помощью методики предложенной во второй главе) три возможных варианта удаленной атаки на службу DNS:

1. Атака путем перехвата DNS-запроса;

2. Атака основанная на создание направленного "шторма" ложных DNS-ответов на атакуемый хост;

3. Атака путем перехвата DNS-запроса или создания направленного "шторма" ложных DNS-ответов непосредственно на DNS-сервер.

Рассмотрим атаку внедрения ложного доверенного объекта путем перехвата DNS-запроса. В данном случае атакующему необходимо перехватить DNS-запрос, извлечь из него номер порта отправителя запроса, идентификатор DNS-запроса и искомое имя (имя домена), а затем послать ложный DNS-ответ на извлеченный из DNS-запроса порт, в котором указать в качестве искомого IP-адреса настоящий IP-адрес ложного DNS-сервера. Это позволит в дальнейшем полностью перехватить трафик между атакуемым хостом и сервером. Построим для данной атаки топологическую модель.

1. В (n) интервале времени злоумышленник перехватывает DNS-запрос на поиск IP-адреса, направленный к DNS-серверу находящемуся вне рассматриваемого сегмента сети (рис. 5.20).

2. В (n+1) интервале времени, в то время когда запрос ушел через маршрутизатор к DNS-серверу, злоумышленник направляет атакуемому объекту ложный DNS-ответ от имени настоящего DNS-сервера (рис. 5.21).

3. В (n+2) интервале времени на объекте атаки узел XT ассоциируется с настоящим DNS-сервером и все сообщения к запросившему IP-адресу будут проходить через узел злоумышленника XT. Объект злоумышленника, в свою очередь, будет работать следующим образом – атакуемому объекту Xi он будет посылать сообщения от имени искомого сервера Ys, а серверу от имени атакуемого объекта. Таким образом, весь трафик между этими объектами проходит через объект XT (рис. 4.22).

Рис. 5.20. Модель атаки типа DNS-spoofing путем перехвата DNS-запроса в (n) интервале времени (атакующий находится в одном сегменте сети с атакуемым объектом)

Рис. 5.21. Модель атаки типа DNS-spoofing путем перехвата DNS-запроса в (n+1) интервале времени (атакующий находится в одном сегменте сети с атакуемым объектом)

В случае если атакующий объект находится в другом сегменте сети по отношению к объекту атаки Xi, топологическая модель изменится:

1. В (n) интервале времени злоумышленник, находящийся в одном сегменте сети с DNS-сервером перехватывает сообщение от маршрутизатора, адресованное DNS-серверу, отправленное из другого сегмента сети атакуемым объектом Xi(рис.5.23).

Рис. 5.22. Модель атаки типа DNS-spoofing путем перехвата DNS-запроса в (n+2) интервале времени (атакующий находится в одном сегменте сети с атакуемым объектом)

2. В (n+1) интервале времени злоумышленник, находящийся в одном сегменте сети с DNS-сервером первым отправляет сообщение атакуемому объекту Xi через маршрутизатор m2 (рис.5.24).

Рис. 5.23. Модель атаки типа DNS-spoofing путем перехвата DNS-запроса в (n) интервале времени (атакующий и атакуемый объекты находятся в разных сегментах сети)

Рис. 5.24. Модель атаки типа DNS-spoofing путем перехвата DNS-запроса в (n+1) интервале времени (атакующий и атакуемый объекты находятся в разных сегментах сети)

3. В (n+2) интервале времени атакуемый объект Xi ассоциирует объект XT с DNS-сервером, результатом чего становится полный перехват трафика (с возможностью модификации данных) между запрашиваемым сервером YS и атакуемым объектом Xi(рис.5.25).

Рис.5.25. Модель атаки типа DNS-spoofing путем перехвата DNS-запроса в (n+2) интервале времени (атакующий и атакуемый объекты находятся в разных сегментах сети)

Рассмотрим атаку внедрения ложного доверенного объекта путем создания направленного "шторма" ложных DNS-ответов на атакуемый хост. В данном случае атакующий осуществляет постоянную передачу на атакуемый хост заранее подготовленного ложного DNS-ответа от имени настоящего DNS-сервера не дожидаясь приема DNS-запроса. Заранее подготовленный ложный DNS-ответ должен учитывать IP-адреса отправителя ответа (атакуемого объекта) и IP-адрес DNS-сервера, имя запрашиваемого сервера, порт с которого был отправлен запрос и идентификатор запроса.

1. В (n) интервале времени злоумышленник XТ создает направленный шторм ложных DNS-ответов объекту атаки Xi не дожидаясь от него запроса (рис. 4.26).

2. В (n+1) интервале времени, как только объект атаки Xi отправляет DNS-запрос, ему тут же приходит постоянно отправляемый заранее подготовленный ответ и он воспринимает его как истинный (рис. 5.27).

Рис. 5.26. Модель атаки типа DNS-spoofing путем создания направленного шторма ложных DNS-ответов в (n) интервале времени

Рис. 5.27. Модель атаки типа DNS-spoofing путем создания направленного шторма ложных DNS-ответов в (n+1) интервале времени

2. В (n+2) интервале времени атакуемый объект Xi ассоциирует объект XT с DNS-сервером, результатом чего становится полный перехват трафика между запрашиваемым сервером YS и атакуемым объектом Xi (рис. 5.28).

Рис. 5.28. Модель атаки типа DNS-spoofing путем создания направленного шторма ложных DNS-ответов в (n+2) интервале времени

Последняя разновидность атаки типа DNS-spoofing основана на перехвате DNS-запроса или создания направленного "шторма" ложных DNS-ответов непосредственно на атакуемый DNS-сервер. Данная атака основана на удаленном запросе (на поиск IP адреса сервера) от одного DNS-сервера к другому. Если указанное в запросе имя не обнаружено в базе данных имен запрашиваемого DNS-сервера, то запрос отсылается на один из корневых DNS-серверов (другими словами DNS-сервер сам является инициатором удаленного DNS-поиска). В этой связи атакующий может направить атаку непосредственно на DNS-сервер. Важно отметить то, что если в ответ на DNS-запрос атакующий направит ложный DNS-ответ (или в случае "шторма" ложных ответов), то в DNS-таблицу сервера добавится соответствующая запись с ложными сведениями и в дальнейшем все хосты, обратившиеся к данному DNS-серверу, будут дезинформированы, и при обращении к хосту, маршрут к которому атакующий решил изменить, связь с ним будет осуществляться через хост атакующего. Опасно и то, что со временем эта ложная информация, попавшая в таблицу DNS-сервера, будет распространяться на соседние DNS-серверы высших уровней, а, следовательно, все больше хостов будут атакованы. Принцип проведения атаки очень похож на DNS-spoofing по отношению к конкретному хосту.

Рассмотрим модель проведения атаки на DNS-сервер, основанной на перехвате запроса от сервера:

1. В (n) интервале времени атакуемый XDNS сервер отправляет DNS-запрос (на поиск IP-адреса) корневому DNS-серверу YDNS. Данный запрос перехватывается хостом злоумышленника XT (рис. 5.29). В данной модели хост злоумышленника находится в одном сегменте с атакуемым DNS-сервером, но по аналогии с вышеописанными моделями можно достаточно просто построить модель данной атаки в условиях разносегментного взаиморасположения атакующего хоста и DNS-сервера.

Рис. 5.29. Модель атаки на DNS-сервер в (n) интервал времени, основанной на перехвате запроса от сервера

2. В (n+1) интервале времени атакуемый XDNS сервер получает ложный DNS-ответ от хоста злоумышленника XT, который воспринимается как истинный. Вследствие чего, полученное значение ложного IP адреса заносится в таблицу DNS-сервера (рис. 5.30).

Рис. 5.30. Модель атаки на DNS-сервер в (n+1) интервал времени, основанной на перехвате запроса от сервера

Рассмотрим атаку на DNS-сервер при направленном "шторме" ложных DNS-ответов. Данная атака очень похожа на атаку направленного "шторма" ложных ответов на атакуемый хост от ложного DNS-сервера.

1. В (n) интервале времени атакующий объект XT отправляет на DNS-сервер заранее сгенерированные DNS-ответы (рис. 5.31). Хост злоумышленника находится в одном сегменте с DNS-сервером.

2. В (n+1) интервале времени атакуемый XDNS сервер получает ложный DNS-ответ от хоста злоумышленника XT, который воспринимается как истинный. Вследствие чего таблица DNS-сервера обновляется ложной записью (рис. 5.32).

Рис. 5.31. Модель атаки на DNS-сервер в (n) интервал времени путем создания направленного "шторма" ложных DNS-ответов

Рис. 5.32. Модель атаки на DNS-сервер в (n+1) интервал времени путем создания направленного "шторма" ложных DNS-ответов

По аналогии с рассмотренными выше атаками построим модель более сложной, внешнесегментной атаки типа DNS-spoofing на DNS-сервер, задействующей три сегмента сети (рис. 5.33-5.37).

Рис. 5.33. Модель внешнесегментной атаки на DNS-сервер в (n+1) интервал времени

Рис. 5.34. Модель внешнесегментной атаки на DNS-сервер в (n+2) интервал времени

Рис. 5.35. Модель внешнесегментной атаки на DNS-сервер в (n+2) интервал времени

Рис. 5.36. Модель внешнесегментной атаки на DNS-сервер в (n+3) интервал времени

Рис. 5.37. Модель внешнесегментной атаки на DNS-сервер в (n+4) интервал времени

Перейдем к рассмотрению второго вида угрозы внедрения ложного доверенного объекта в ИТКС (применительно к Internet) – внедрение ложного объекта, путем навязывания ложного маршрута – IP-spoofing.Атака основана на недостатках маршрутизации в Internet и осуществляется на сетевом уровне. Предпосылкой атаки является то, что все сообщения, адресованные в другие сегменты сети, изначально направляются на “местный” маршрутизатор, который, в свою очередь, перенаправляет их далее по указанному в пакете IP-адресу, выбирая при этом оптимальный маршрут. В свою очередь хосты, адресующие эти сообщения, имеют таблицы маршрутизации, в которых содержится описание соответствующего маршрута (описание обязательно включает IP-адрес конечной точки и IP-адрес маршрутизатора). В этой связи, для осуществления удаленной атаки внедрения ложного доверенного объекта путем навязывания ложного маршрута злоумышленнику необходимо подготовить ложное ICMP сообщение (ICMP – протокол, одной из функций которого является удаленное управление маршрутизацией на хостах внутри сегмента сети), в котором указывается конечный IP-адрес навязанного маршрута и IP-адрес ложного маршрутизатора.

Построим модель навязывания хосту ложного маршрута внутри одного сегмента:

1. В (n) интервале времени атакующий объект XT отправляет ICMP сообщение объекту Xi о смене адреса маршрутизатора с m1 на XT. В результате этого объект Xi заносит в свою таблицу маршрутизации IXiIP-адрес нового (ложного) маршрутизатора (рис. 5.38).

Рис. 5.38. Модель внутрисегментного навязывания хосту ложного маршрута в (n) интервал времени

2. В (n+1) интервале времени атакуемый объект Xi отправляет сообщение ложному маршрутизатору XT который, в свою очередь, переправляет его от имени Xi настоящему маршрутизатору m1. Таким образом трафик атакуемого объекта полностью проходит через XT (рис. 5.39).

Рис. 5.39. Модель внутрисегментного навязывания хосту ложного маршрута в (n+1) интервал времени

Внешнесегментная атака типа IP-spoofing (топологическую модель которой можно построить по аналогии с рассмотренной выше) усложняется множеством факторов, например, злоумышленнику будет не просто угадать IP-адрес маршрутизатора m1, но, в конечном счете, проводится аналогичным способом, с подбором недостающих данных.