Несанкционированный доступ к терминалам серверов с операционными системами семейства UNIX. На примере octopus.stu.lipetsk.ru
аторов в Internet
является анализ сетевого трафика. Этот анализ осуществляется с помощью
специальной программы-анализатора пакетов (sniffer), перехватывающей все
пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых
передаются идентификатор пользователя и его пароль. Сетевой анализ
протоколов FTP и TELNET показывает, что TELNET разбивает пароль на символы
и пересылает их по одному, помещая каждый символ пароля в соответствующий
пакет, a FTP, напротив, пересылает пароль целиком в одном пакете.
Возникает вопрос: а почему бы не сделать передачу имени пользователя и
пароля в зашифрованном виде? Видимо, проблема в том, что базовые прикладные
протоколы семейства TCP/IP разрабатывались очень давно, в период с конца 60-
х до начала 80-х годов, и с тех пор абсолютно не изменились. При этом точка
зрения на построение глобальных сетей стала иной. Инфраструктура Сети и ее
протоколы разрабатывались исходя, в основном, из соображений надежности
связи, но не из соображений безопасности.
Таким образом возможно отследить сетевой поток и выявить пакеты
содержащие необходимые данные (Имя, пароль, и т.д.). Так как в данном
документе рассматривается только сервер ЛГТУ octopus.lstu, то я
проанализировав сеть, пришел к выводу, что сервер не всегда находится в
активном состоянии. Таким образом, данный вариант атаки отпадает, да и еще
чтобы постоянно отслеживать трафик, необходимо, чтобы все это время в сети
находился хотя бы один компьютер, что невозможно из-за финансовых
трудностей.
Перебор паролей в файле /etc/passwd
В ранних версиях операционных системах семейства UNIX зашифрованные
пароли (точнее их хэш-копии) хранились в файле /etc/passwd. В современных
UNIX’ах пароли хранятся в /etc/shadow. Хранение зашифрованных паролей в
/etc/passwd делает систему сервера octopus.lstu уязвимой. Здесь
используется хэш-функция Data Encryption Standard (DES 48/64 4K). Поскольку
данная шифровка работает только «в одну сторону», а проверка подлинности
пароля заключается в том, что при вводе пароля пользователя, операционная
система шифрует введенную последовательность и сравнивает ее со строкой в
файле /etc/passwd. Вот пример записи паролей и имен пользователей в
/etc/passwd:
root:LyavHDdahFcwU:0:1:Superuser:/:
…
malysh:7DnDkTMD9/wG2:1007:25:Olga A. Bocharnikova, AS-98-
1:/user/students/as98/malysh:
Для перебора паролей мы используем тот же метод, что и операционная
система: перебираю все возможные комбинации букв латинского алфавита
(причем имеет значение прописная буква или строчная), цифр и специальных
знаков. Здесь можно использовать как функции самой операционной системы,
так и написать свою функцию шифровки. Но нужно быть точно уверенным что за
алгоритм используется в данном случае, иначе перебор не приведет ни к каким
результатам. На компьютере octopus используется алгоритм шифрования DES
[48/64 4K]. Так как на octopus’e столь неважные, по сегодняшним меркам,
аппаратные средства (см. следующий пункт), то ни о каком переборе пароля не
может идти и речи. Тем более, даже на более быстрых машинах (Pentium III –
650MHz) расшифровка заняла примерно 30 суток (!!!). Да и сервер не все
время находится в рабочем состоянии, как уже было замечено выше. В отчете
прилагается часть программы, для расшифровки паролей файла /etc/passwd.
Deny of Service (DoS) атака.
Дословно Deny of Service переводится как «отказ в обслуживании». Это
означает например, что операционная система не может обслужить запрос
пользователя или другой системы.
Рассмотрим нарушение работоспособности хоста в сети при использовании
направленного шторма ложных TCP-запросов на создание соединения либо при
переполнении очереди запросов. Из рассмотренной в предыдущем пункте схемы
создания TCP-соединения следует, что на каждый полученный TCP-запрос (TCP
SYN) операционная система должна сгенерировать начальное значение
идентификатора ISN и отослать его на запросивший хост. Но так как в
Internet (стандарта IPv4) не предусмотрен контроль за IP-адресом
отправителя сообщения, то проследить истинный маршрут, пройденный IP-
пакетом, невозможно и, следовательно, у конечных абонентов сети нет способа
ограничить число запросов, принимаемых в единицу времени от одного хоста.
Поэтому возможно осуществление типовой удаленной атаки «отказ в
обслуживании», которая будет заключаться в передаче на объект атаки как
можно большего числа ложных TCP-запросов на создание соединения от имени
любого хоста в сети (направленный шторм запросов TCP SYN, схема которого
приведена на рисунке).
При этом атакуемая сетевая ОС в зависимости от вычислительной мощности
компьютера либо перестает реагировать на легальные запросы на подключение
(отказ в обслуживании), либо, в худшем случае, практически зависает. Это
происходит потому, что система должна, во-первых, сохранить в памяти
полученную в ложных сообщениях информацию и, во-вторых, выработать и
отослать ответ на каждый запрос. Таким образом, «съедаются» все ресурсы
системы: переполняется очередь запросов, и ОС вынуждена заниматься только
их обработкой. Эффективность данного воздействия тем выше, чем больше
пропускная способность канала между атакующим и его целью, и тем ниже, чем
больше вычислительная мощность атакуемого компьютера (число и
быстродействие процессоров, объем ОЗУ и т.п.).
Такую атаку можно было предсказать еще лет двадцать назад, когда появилось
семейство протоколов TCP/IP: ее корни находятся в самой инфраструктуре сети
Internet, в ее базовых протоколах - IP и TCP. Но каково же было наше
удивление, когда выяснилось, что на информационном . WWW-сервере CERT
(Computer Emergency Respone Team) первое упоминание об удаленном
воздействии такого рода датировано только 19 сентября 1996 года! Там эта
атака носила название «TCP SYN Flooding and IP Spoofing Attacks»
(«наводнение» TCP-запросами с ложных IP-адресов). Другая разновидность
атаки «отказ в обслуживании» состоит в передаче на атакуемый хост
нескольких десятков (сотен) запросов TCP SYN в секунду (направленный мини-
шторм TCP-запросов) на подключение к серверу, что может привести к
временному (до 10 минут) переполнению очереди запросов на сервере (см.
атаку К. Митника). Это происходит из-за&nbs
| | скачать работу |
Несанкционированный доступ к терминалам серверов с операционными системами семейства UNIX. На примере octopus.stu.lipetsk.ru |