Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Esempi di attacchi ai protocolli di rete

Transcript

1 Politecnico di Milano Dip. Elettronica e Informazione Milano, Italy Esempi di attacchi ai protocolli di rete Ing. Stefano Zanero - 22/03/2006

2 Alcuni dei possibili tipi di attacco (1) Attacchi DOS (Denial of Service): Rendere indisponibili uno o più servizi erogati da un sistema Sniffing: lettura abusiva di tutti i pacchetti che transitano in rete mediante sniffer Spoofing: falsificazione dell indirizzo IP del mittente al fine di fingersi un altro Hijacking: persone non autorizzate prendono il controllo di un canale di comunicazione; la connessione viene utilizzata da una terza parte

3 Alcuni Attacchi di Denial of Service Killer packet SYN flood Smurf e attacchi moltiplicativi Distributed DoS

4 Killer Packet: alcuni esempi Ping of Death Una ICMP echo request di dimensioni patologiche ping -l (Windows) ping -s (UNIX) Teardrop Pacchetti frammentati con offset sovrapposti Durante il riassemblamento alcuni sistemi operativi si riavviavano con il più classico dei BSOD Land Nel lontano '95 (nel senso di Windows 95) un pacchetto con ip sorgente=ip destinazione e flag SYN mandava in loop lo stack TCP/IP Nel vicino Windows XP SP2... anche! This thing is like Dracula: it just won't stay dead

5 Denial Of Service (DOS) Denial of Service mediante flood: Client legittimo Comunicazione impossibile! Comunicazione legittima INTERNET Attacker Flusso di false richieste dati Server aziendale

6 SYN Flood L'aggressore genera un flusso di pacchetti con il flag SYN attivo e con indirizzi IP sorgente spoofati La coda delle connessioni half-open dello stack TCP/IP viene lentamente saturata, finchè la vittima rifiuta altre connessioni (anche legittime) Gli stack moderni sono resistenti a questo tipo di attacchi (e.g. uso dei SYN-cookies)

7 Variante: DDOS Nel caso di un Distributed DOS: Client legittimo Comunicazione impossibile! legittima INTERNET Yahoo! Attacker Comando di colpire Richieste fasulle Complici involontari

8 Smurf: un attacco con moltiplicatore ICMP echo request con sorgente spoofata all'indirizzo della vittima mandato all'amplificatore ICMP ping > Amplificatore = router che consente di pingare il broadcast della rete ,3, tutti gli host della rete mandano ICMP echo reply all'ip sorgente spoofato

9 Tribe Flood Network: un tipico DDoS Un gran numero di host viene compromesso e TFN viene installato su di essi ( zombie ) 2. Gli zombie vengono attivati con un pacchetto ICMP reply con contenuto il comando tutti gli host della TFN mandano SYN, ICMP o qualsiasi altra diavoleria al bersaglio

10 Sniffing Normalmente, una scheda di rete passa al sistema operativo solo il traffico destinato al singolo host Fare sniffing significa mettere la scheda di rete in modalità promiscua, facendo sì che capti tutto il traffico sul cavo Parziale soluzione: usare uno switch al posto di un hub Lo switch manda sul cavo solo il traffico destinato al singolo host DSniff: ARP spoofing MAC flooding Sniffing selettivo

11 ARP Spoofing Il protocollo ARP (Address Resolution Protocol) si preoccupa di mappare i 32 bit di indirizzo IP (versione 4) in 48 bit di indirizzo ETH Due tipi principali di messaggi: ARP request (richiesta di risoluzione indirizzo) ARP reply (risposta contenente un indirizzo eth) Le risposte sono memorizzate nella ARP CACHE, in modo da limitare il traffico arp sulla rete Le ARP reply sono memorizzate in cache anche se non erano state sollecitate (incrementa prestazioni ma penalizza la sicurezza) Se l attaccante invia una ARP reply (spoofata) verso un host, questo la memorizzera nella propria arp cache

12 Arpspoofing dsniff-2.3]#./arpspoof :4:43:f2:d8:1 ff:ff:ff:ff:ff:ff : arp reply C:\>test is-at 0:4:4e:f2:d8:1 0:4:43:f2:d8:1 ff:ff:ff:ff:ff:ff : arp reply C:\>arp -d is-at 0:4:4e:f2:d8:1 0:4:43:f2:d8:1 ff:ff:ff:ff:ff:ff : arp reply C:\>ping -n is-at 0:4:4e:f2:d8:1 0:4:43:f2:d8:1 ff:ff:ff:ff:ff:ff : arp reply Pinging with 32 bytes of data: is-at 0:4:4e:f2:d8:1 Reply from : bytes=32 time<10ms TTL=255 C:\>arp -a Interface: on Interface 2 Internet Address Physical Address Type dynamic e-f2-d8-01 dynamic C:\>arp -a Interface: on Interface 2 Internet Address Physical Address Type e-f2-d8-01 dynamic e-f2-d8-01 dynamic

13 MAC Flooding dsniff-2.3]#./macof > TCP D=55934 S=322 Syn Seq= Len=0 Win= > TCP D=44686 S=42409 Syn Seq= Len=0 Win= > TCP D=59038 S=21289 Syn Seq= Len=0 Win > TCP D=7519 S=34044 Syn Seq= Len=0 Win > TCP D=62807 S=53618 Syn Seq= Len=0 Win > TCP D=23929 S=51034 Syn Seq= Len=0 Wi > TCP D=1478 S=56820 Syn Seq= Len=0 Win= > TCP D=38433 S=31784 Syn Seq= Len=0 Win > TCP D=42232 S=31424 Syn Seq= Len=0 Win= > TCP D=56224 S=34492 Syn Seq= Len=0 Win= > TCP D=23840 S=45783 Syn Seq= Len= > TCP D=3453 S=4112 Syn Seq= Len=0 Win= > TCP D=12959 S=42911 Syn Seq= Len=0 W > TCP D=33377 S=31735 Syn Seq= Len=0 Win= > TCP D=26975 S=57485 Syn Seq= Len=0 Wi > TCP D=23135 S=55908 Syn Seq= Len=0 Wi > TCP D=54512 S=25534 Syn Seq= Len=0 Win= > TCP D=61311 S=43891 Syn Seq= Len=0 Win > TCP D=25959 S=956 Syn Seq= Len=0 Win= > TCP D=33931 S=1893 Syn Seq= Len=0 Win= > TCP D=43954 S=49355 Syn Seq= Len=0 Win > TCP D=61408 S=26921 Syn Seq= Len=0 Win= > TCP D=61968 S=53055 Syn Seq= Len=0 Win=512

14 Il riempimento della CAM table Dsniff (macof) può generare 155,000 entry sulle tabelle dei MAC address dello switch in un minuto Per come sono fatte le tabelle dei MAC address su uno switch, tipicamente possono contenere 128k indirizzi MAC (prova sperimentale: si riempie in circa 70 secondi) Quando viene riempita, le cached ARP response non funzionano più e lo switch deve inoltrare il traffico su TUTTA la rete, come un hub! > (broadcast) ARP C Who is , ? > (broadcast) ARP C Who is , ? > ICMP Echo request (ID: 256 Sequence number: 7424) OOPS > ICMP Echo reply (ID: 256 Sequence number: 7424) OOPS

15 Alternativamente... STP: Spanning Tree Protocol (802.1d) protocollo di layer 2 progettato per evitare "loop" di pacchetti su percorsi ridondati per pacchetti floodati Si costruisce uno spanning tree attraverso lo scambio di BPDU (bridge protocol data unit) I pacchetti vengono floodati o verso la root, o verso i figli nell'albero, ma non in entrambi i versi Elezione di un root switch mediante pacchetti non autenticati: possiamo fingerci il nuovo root switch

16 IP Spoofing L'indirizzo IP sorgente è banale da cambiare pertanto modificare un pacchetto UDP non è difficile! Tuttavia, non vedremo mai le risposte ai nostri pacchetti: blind spoofing Per non essere blind Usare un host compromesso sulla rete del server o del client, e sniffare Usare il source routing per far passare attraverso di noi i pacchetti mentre tornano verso la sorgente spoofata Funziona solo con protocolli per cui possiamo predire le risposte Problema per il TCP!

17 TCP: inizio sessione Three-Way Handshake Invio ACK y+1 Invio SYN seq=x Invio SYN seq=y, ACK x+1

18 TCP sequence guessing Le connessioni TCP utilizzano un numero di sequenza per riordinare i pacchetti Ad ogni nuova connessione viene utilizzato un numero di sequenza iniziale (semi-)casuale. Se l attaccante riesce a predire il numero di sequenza, può generare dei pacchetti con mittente falsificato formalmente corretti (anche se, ovviamente, non riesce a vedere le risposte). Perché l attacco vada a buon fine è necessario che il mittente (vero) non riceva i pacchetti di risposta (o non sia in grado di reagire, ad esempio con un RST)

19 TCP Session Hijacking Session Hijacking è l inserimento in una sessione TCP attiva. Spiando una connessione attiva è possibile sostituirsi ad uno dei due interlocutori. C spia la connessione tra A e B e registra i numeri di sequenza dei pacchetti C blocca B (ad es. via SYN Flood): l utente in B vede interrompersi la sua sessione interattiva C invia pacchetti con il corretto numero di sequenza, con mittente B, in modo che A non si accorga di nulla hunt o dsniff automatizzano il processo se sono su rete locale Injection: posso inserire pacchetti nel flusso, ma desincronizzo la sequenza e quindi devo poter controllare e risincronizzare tutto il traffico

20 Man in the middle Categoria molto ampia di attacchi: in generale tutti gli attacchi in cui l'aggressore riesce a dirottare il traffico tra client e server legittimi TCP hijacking ne è un esempio Può essere fisico (es. l'attaccante controlla un firewall) o logico Full (l'attaccante vede entrambi i flussi) o half-duplex (blind) Ad esempio... se faccio arp spoofing sull'arp del gateway?

21 DNS poisoning Spesso è possibile interferire con i processi di risoluzione dei nomi Se intercetto una richiesta DNS posso rispondere con lo stesso ID spoofando un pacchetto UDP ritornato dal server, e il client mi crederà Ricordiamo che un DNS che riceve una richiesta: Se è autoritativo risponde Se non è autoritativo risponde se ha in cache la coppia <nome, indirizzo> per una precedente richiesta Se non ha cache, dipende dalla query Ricorsiva: risponde risolvendo da solo l host richiesto Iterativa: fornisce l indirizzo del DNS autoritativo Come mettere una entry nella cache del DNS? Si effettua una richiesta al DNS vittima Si spoofa la risposta del DNS autoritativo Nella risposta forgiata dobbiamo inserire l'id corretto della transazione iniziata dal DNS vittima (brute force?)

22 DHCP poisoning Come sopra:se intercetto una richiesta DHCP posso rispondere fingendomi un server, e il client mi crederà Posso dargli IP, DNS, default gateway... Se nessuno controlla non c'è, nel protocollo, una feature di difesa!!!

23 ICMP redirect ICMP redirect: avvisa un host che esiste una rotta più breve per la destinazione richiesta e che questa rotta passa per il gateway indicato Forgiare un ICMP redirect spoofando la sorgente dello stesso come se fossimo il gateway originale e con destinazione della redirizione noi stessi È necessario sniffare il pacchetto originario poichè nel REDIRECT ne devono essere inclusi 64 bit + header IP (non sempre necessario: a seconda dell OS) I pacchetti di tipo REDIRECT vengono presi in considerazione dagli host a seconda del loro sistema operativo Windows 9x accetta i REDIRECT di default e aggiunge una entry (di tipo host) nelle sue tabelle di routing. Linux: vedi /proc/sys/net/ipv4/<int>/accept_redirects Le rotte aggiunte sono comunque temporanee.

24 IRDP Poisoning IRDP (ICMP Router Discovery Protocol): basato su ICMP, assegnazione automatica agli host di un gateway Periodicamente, ogni router manda in multicast degli advertisment per annunciare il suo indirizzo IP Ogni advertisement ha lifetime e priorità Forgiamo "advertisment" con alta priorità e lungo lifetime Windows 9x: accetta IRDP Windows NT: usa IRDP al boot Windows 2000: ignora IRDP Linux: ignora IRDP

25 Route mangling Se posso annunciare delle rotte ai router posso fare qualsiasi cosa IGRP, RIP, OSPF: nessuna autenticazione o debole EIGRP, BGP: forme di autenticazione possibili Posso mandare una rotta annunciandomi con una metrica molto bassa e una netmask grande, cioè molto ristretta, per avere priorità Posso anche sfruttare multipath o QoS Di solito però le rotte statiche hanno priorità su quelle dinamiche