Транспортный уровень. IP, ICMP TCP, UDP TELNET, FTP, DNS, другие Канальный уровень Физический уровень Сетевой уровень Транспортный уровень Уровень соединения. - презентация

1 Транспортный уровень

2 IP, ICMP TCP, UDP TELNET, FTP, DNS, другие Канальный уровень Физический уровень Сетевой уровень Транспортный уровень Уровень соединения Уровень представления Уровень приложения Транспортный уровень в стеке TCP/IP

3 Протокол UDP Порт отправителя Порт получателя Длина Контрольная сумма Данные Работает без установления соединения Не обеспечивает достоверность передаваемых данных

4 Распределенные DoS-атаки ICMP или UDP-пакеты Наиболее известные реализации Trin00 TFN (TFN2K) Stacheldraft

5 Модель распределенной DoS-атаки Объект атаки Серверная часть Клиентская часть

6 Противодействие DoS-атакам Объект атаки Основная трудность – подмена адреса источника Блокировка на основе адреса источника НЕ ЭФФЕКТИВНА

7 Противодействие DoS-атакам Объект атаки Вариант 1. Блокировка по типу трафика Эффективна для служебного трафика (ICMP) ICMP

8 Противодействие DoS-атакам Объект атаки Вариант 2. Блокировка по адресу источника Эффективна в случае атаки с одного или нескольких узлов, если адреса не генерируется случайным образом

9 Противодействие DoS-атакам Объект атаки Вариант 3. Управление количеством трафика(floodgate) Эффективно против атаки SYNFlood Трафик (обычный и DoS-атака) Небольшая порция

10 Противодействие DoS-атакам Объект атаки Вариант 4. Анализ трафика и выборочная фильтрация Эффективно против атаки SYNFlood Проверка по различным критериям: Тип протокола TTL Порт источника Признаки, свойственные конкретному инструменту для проведения DoS-атаки

11 Атака UDP-DOS

12 Атака UDP Bomb Некорректный UDP-пакет Порт отправителя Порт получателя Длина Контрольная сумма Данные SunOS 4.1.3a1 или ниже

13 Протокол TCP Установление соединения Формирование сегментов Достоверная передача Техника «плавающего» окна

14 Формат ТСР пакета Source PortDestination Port Sequence Number Acknowlegement Number стр.67 Data ChecksumUrgent Pointer OptionsPadding Data Offset ReservedWindow URGURG ACKACK PSHPSH SYNSYN RSTRST FINFIN

15 Установление соединения Seq=100,Code Bits=Syn Ack=101, Seq=200, Code Bits=Syn+Ack Ack=201, Code Bits=Ack TCP ATCP B

16 Передача данных Seq=150,Ack=201,Code Bits=Syn+Ack Seq=300,Ack=151, Code Bits=Syn+Ack Seq=220,Ack=301, Code Bits=Syn+Ack TCP ATCP B Ack=221, Code Bits =Ack

17 Разрыв соединения Seq=X,Code Bits=Syn+Fin Ack=X+1, Code Bits=Ack Seq=Y, Code Bits=Fyn AB Ack=Y+1, Code Bits =Ack А разрывает полусоединение В продолжает посылать данные В разрывает полусоединение Data......

18 Сканирование портов Сканирующий узел (A) Сканируемый узел (B)

19 Сканирование (порт открыт) TCP Flags=Syn Сканирующий узел (A) Сканируемый узел (B) TCP Flags=Syn+Ack TCP Flags=Ack TCP Flags=Ack+Fin Соединение установлено

20 Сканирование TCP Flags=Syn TCP Flags=Ack+Rst Сканирующий узел (A) Сканируемый узел (B) порт закрыт

21 Полусканирование TCP Flags=Syn TCP Flags=Ack+Syn Сканирующий узел (A) Сканируемый узел (B) TCP Flags=Rst порт открыт

22 TCP Flags=Fyn TCP Flags=Ack+Rst Сканирующий узел (A) Сканируемый узел (B) Fin-сканирование порт закрыт

23 Fin-сканирование TCP Flags=Fyn Сканирующий узел (A) Сканируемый узел (B) порт открыт (кроме ОС Windows)

24 ACK-сканирование TCP Flags=Ack TCP Flags=Rst Сканирующий узел (A) Сканируемый узел (B) порт закрыт или не фильтруется

25 TCP Flags=Ack Сканирующий узел (A) Сканируемый узел (B) ACK-сканирование порт фильтруется

26 UDP-сканирование пустой UDP-пакет ICMP (Destination Unreachable) Сканирующий узел (A) Сканируемый узел (B) порт закрыт

27 пустой UDP-пакет Сканирующий узел (A) Сканируемый узел (B) UDP-сканирование порт открыт

28 Определение доступности узла Определение состояния порта (TCP/UDP) Идентификация ОС Поддержка различных методов сканирования Гибкая настройка Утилита Nmap

29 ICMP-запрос Сканирующий узел (A) Сканируемый узел (B) Последовательность работы Утилита Nmap TCP Flags=Ack, Port=80 Сканирование

30 Сканирование с разных адресов Утилита Nmap

31 Атака SYNFlood SYN SYN/ACK SYN SYN/ACK

32 Атака Land TCP-пакет (запрос на установление соединения) Source Address Destination Address PaddingOptions Source Port Destination Port Sequence Number

33 Разрыв соединения по RST Seq=150,Ack=201,Code Bits=Syn+Ack Seq=300,Ack=151, Code Bits=Syn+Ack AB RST+Seq

34 Разрыв соединения по FIN Seq=150,Ack=201,Code Bits=Syn+Ack Seq=300,Ack=151, Code Bits=Syn+Ack AB FIN+Seq+Ack

35 Установление соединения Ack=301,Code Bits=Ack Seq=300,Ack=151, Code Bits=Syn+Ack AB От имени А ? Seq=150, Code Bits=Syn

36 Подмена участника соединения Seq=150,Ack=201,Code Bits=Syn+Ack Seq=300,Ack=151, Code Bits=Syn+Ack AB Seq=220,Ack=301, Code Bits=Syn+Ack ?

37 Подмена участника соединения A B ? Окно приёма: SEQ1-SEQ2

38 Подмена участника соединения B ? Окно приёма: SEQ1-SEQ ,294,967,296 пакетов

39 Подмена участника соединения B ? Окно приёма: SEQ1-SEQ пакетов Реально пакетов Возможно

40 AB SYN Seq=ISN(Х) data…... Ack=ISN(Х)+1 SYNSeq=ISN(B) data…... ACK Подмена участника соединения Mail (25) ISN(B) !!!

41 A B Ack=ISN(Х)+1 Seq=ISN(B*+1) data…... ACK SYN Seq=ISN(Х) От имени А Ack=ISN(Х)+1 SYNSeq=ISN(B*) ACK ISN(B*+1) подбирается с нескольких попыток Подмена участника соединения

42 B Ack=ISN(Х)+1 Seq=ISN(B*+1) data…... ACK ISN(B*+1) подбирается с нескольких попыток Подмена участника соединения Сложность подбора зависит от ОС

43 Сложность подбора По данным исследования BindView Corporation

44 Практическая работа 11 Утилита Nmap

45 Испытание атаки «Подмена участника соединения» Узел преподавателя (Telnet-сервер) Клиент х Маршрутизатор Практическая работа 12