Sicurezza dei calcolatori e delle reti. Attacchi di rete Lez. 8

Transcript

1 Sicurezza dei calcolatori e delle reti Attacchi di rete Lez. 8

2 Attacchi su Local Area Network Obiettivi Impersonificazione di un host Denial of Service (DoS) Accesso a informazioni sensibili Tecniche Sniffing Spoofing/Hijacking Attacchi al protocollo ARP Attacchi al protocollo RARP AA. 2010/2011 2

3 Intercettazione/sniffing Alla base di molti attacchi L attaccante deve limitarsi a settare la sua scheda di rete in modo promiscuo In questo modo tutto il traffico in transito sul suo segmento di rete sarà intercettato AA. 2010/2011 3

4 Developing Sniffers: Libpcap Libreria per lo sviluppo di tool di sniffing pcap_lookupdev look up di un device pcap_open_live opens di un device e restituisce un handle pcap_open_offline and pcap_dump_open Per leggere pacchetti e salvarli in un file Tutorial: AA. 2010/2011 4

5 Utilità dello Sniffing? Molti protocolli (TELNET, FTP, POP, HTTP) trasferiscono le informazioni raccolte in fase di autenticazione in chiaro I client di posta trasferiscono dati in chiaro (e.g. se SSL non supportato) Quindi con lo sniffing è possibile collezionare usernames/passwords, files, mail, etc. Ci sono diversi tool disponibili per effettuare l attacco (Wireshark, Ettercap, dsniff, etc.) AA. 2010/2011 5

6 Hijacking Basato su Sniffing/Spoofing Chi attacca monitora un host ed attende che effettui qualche richiesta verso un server Cerca di anticipare il server nella risposta (reply) Vedremo alcuni esempi nel caso dei protocolli ARP, UDP, TCP AA. 2010/2011 6

7 Hijacking Host A Pacchetto a Host X (intruso) Host B Pacchetto a ignorato ignorato Pacchetto b Pacchetto b AA. 2010/2011 7

8 Hijacking via ARP-Poisoning ARP non prevede autenticazione Se si riesce ad anticipare la risposta di un host è possibile falsificare in alcuni host il mapping IP/MAC address Lo stesso effetto può essere ottenuto inviando ARP request opportunamente codificate che possono falsare i mapping ARP nelle cache dei diversi host L effetto è la ridirezione del traffico di rete verso l attaccante per tutta la durata di una entry nella cache Poiché ARP è stateless è possibile anche fornire ad un host una reply finta, la cui richiesta non è mai stata inviata AA. 2010/2011 8

9 Attacchi al protocollo RARP Come ARP non prevede alcun meccanismo di autenticazione L attaccante può anticipare un server legittimo inviando reply false In questo modo è possibile assegnare l indirizzo IP di un host H ad una workstation, provocando un dirottamento del traffico diretto verso H AA. 2010/2011 9

10 Forging Packets: Libnet/Scapy Un libreria di funzioni per costruire pacchetti di rete arbitrari ed inviarli sulla rete Disponibile all URL: Packet Manipulator Program (Python): AA. 2010/

11 Nel caso di Switched Ethernet? In questo caso il controllo della rete è praticamente impossibile ma.. MAC flooding Gli Switch gestiscono una tabella interna (CAM table) in cui è memorizzata la corrispondenza MAC address/porta Inondando lo switch con indirizzi MAC falsi, si genera un overflow della tabella che forza lo switch ad una riconversione in hub MAC duplicating/cloning Si può riconfigurare la propria macchina con il MAC address della macchina V di cui si vuole intercettare il traffico Lo switch memorizzerà nella sua tabella la modifica ed invierà a voi il traffico indirizzato a V Ettercap, consente su questi tipi di reti un attacco del tipo Man- In-The-Middle AA. 2010/

12 Alcuni attacchi a IP

13 Do not fragment AA. 2010/

14 Routing: Indirect Delivery Se due host risiedono su due reti fisiche separate i pacchetti diretti da un host all altro sono incapsulati in un pacchetto di un protocollo di più basso livello ed inviati ad un gateway di connessione Il gateway (sulla base del destination address) inoltra il pacchetto ad un altro gateway sino a che non ri raggiunge il gateway della rete fisica che si vuole raggiungere Che provvederà a consegnare il pacchetto direttamente AA. 2010/

15 Man-in-the-middle Attacks Un attaccante che avesse compromesso un gateway intermedio è in grado di Intercettare il traffico Bloccare il traffico Modificare il traffico AA. 2010/

16 Frammentazione Quando un pacchetto IP viene incapsulato in un pacchetto di un protocollo di livello inferiore (es. Ethernet) può essere necessario frammentare il pacchetto originale in pacchetti più piccoli La frammentazione può essere eseguita dall host sorgente oppure da un gateway intermedio Se l header del pacchetto ha il flag do not fragment a 1, un messaggio di errore è inviato al mittente AA. 2010/

17 Frammentazione Nel caso di frammentazione L header è copiato in ogni frammento Il flag more fragments è settato in tutti i frammenti tranne l ultimo Il campo fragmentation offset contiene la posizione del frammento rispetto al pacchetto originale espressa in unità di 8 byte Il campo total length conterrà la dimensione del frammento Ogni frammento viene trattato come un pacchetto separato Nel caso di perdita di un frammento l intero pacchetto viene scartato AA. 2010/

18 Attacchi alla frammentazione Ping of Death L offset dell ultimo frammento viene forzato ad un valore tale per cui la dimensione totale del pacchetto ricostruito è maggiore della dimensione massima consentita In questo modo si provoca un overflow di un buffer di kernel e un kernel panic AA. 2010/

19 Internet Control Message Protocol Usato per scambiare messaggi di errore/controllo relativi alla consegna di pacchetti IP I messaggi ICMP sono incapsulati all interno di pacchetti IP I messaggi ICMP possono essere: Richieste Risposte Messaggi d errore In un messaggio d errore sono inclusi l header ed una porzione del payload del pacchetto IP che ha provocato l errore AA. 2010/

20 Tipi di messaggi Address mask request/reply: usato da stazioni diskless in fase di boot per ottenere maschere di rete Timestamp request/reply: usato per sincronizzare i clock Source quench: usato per informare di traffic overload AA. 2010/

21 Tipi Messaggi Echo request/ reply: verifica la connettività ( ping) Time exceeded: expired datagrams (TTL = 0) Redirect: usato per segnalare tratte migliori di instradamento Destination unreachable: impossiblità di raggiungere un determinato host AA. 2010/

22 Attacchi con ICMP Echo Req Information gathering: raccolta di informazioni sugli host attivi di una rete DOS AA. 2010/

23 ICMP Redirect Usato per dirottare il traffico su particolari tratti o host L attacco consiste nell inviare a un host un pacchetto ICMP di tipo redirect in cui il source address è falsificato (spoofed) e coincide con quello del default gateway In questo modo è possibile: dirottare il traffico eseguire un denial-of-service AA. 2010/

24 ICMP Redirect AA. 2010/

25 ICMP Redirect Un host che riceve un messaggio del tipo ICMP redirect si limita a svolgere i seguenti controlli: Il nuovo router deve essere direttamente connesso alla rete Il messaggio deve provenire dal router che attualmente si occupa di instradare i pacchetti per quella destinazione L instradamento modificato deve essere indiretto AA. 2010/

26 ICMP Destination Unreachable Usato dai gateway per segnalare che non riescono a consegnare pacchetti: Esistono diversi sottotipi: Network unreachable Host unreachable Protocol unreachable Port unreachable Fragmentation needed but don t fragment bit set Destination host unknown Destination network unknown AA. 2010/

27 User Datagram Protocol (UDP) Fortemente basato su IP per fornire un servizio connectionless, unreliable, best-effort Introduce rispetto ad IP l astrazione della porta che consente di diversificare all interno dello stesso indirizzo IP diverse tipologie di messaggi Poiché è molto più efficiente di TCP è spesso usato per applicazioni multimedia e per servizi basati su uno schema request/reply (DNS, NIS, NFS, RPC) AA. 2010/

28 Pacchetto UDP AA. 2010/

29 UDP Spoofing Con lo spoofing si può provare ad attaccare servizi come: DNS RPC NFS NIS AA. 2010/

30 Transmission Control Protocol (TCP) Si appoggia su IP ma fornisce un servizio che è connection oriented e reliable TCP, come UDP, usa l astrazione del concetto di porta TCP stabilisce tra due nodi che vogliono comunicare un circuito virtuale identificato da source IP address, destination IP address, source TCP port, destination TCP port Sul circuito virtuale (connessione) viaggiano due flussi (stream) (full-duplex connection) La coppia IP address/port number è anche chiamata socket (e i due stream socket pair) AA. 2010/

31 Pacchetto TCP AA. 2010/

32 TCP Flag Usati per la gestione di un circuito virtuale SYN: richiesta per la sincronizzazione dei numeri di syn/ack tra le parti (usata durante la creazione di un circuito) ACK: acknowledgment number è valido (tutti i segmenti tranne il primo hanno questo flag settato) FIN: richiesta di chiudere uno stream RST: richiesta di reset del circuito virtuale PSH: richiesta di un operazione di push sullo stream, i dati devono essere passati all applicazione il prima possibile AA. 2010/

33 Apertura connessione (3-way Handshake) Time! !!!! 0.000! SYN!!! Seq = ! (53703) >(1337) 0.000! SYN, ACK!!! Seq = Ack = ! (1337) >(53703) 0.000! ACK!!! Seq = Ack = ! (53703) >(1337) ISN(client port 53703) = ISN(server port 1337) = AA. 2010/

34 TCP Seq/Ack Sequence number: specifica la posizione del segmento nel flusso di comunicazione (SYN= significa: il payload di questo segmento contiene dati a partire da ) acknowledgment number: specifica la posizione del prossimo byte che il destinatario si attende di ricevere (ACK = significa: ho ricevuto correttamente sino al , ora aspetto il byte ) AA. 2010/

35 TCP Window Usata per la gestione del flusso I segmenti sono accettati in destinazione solo se il loro numero di sequenza sono all interno della finestra che inizia con current acknowledgment number: ack number < sequence number < ack number + window La dimensione della finestra può essere modificata dinamicamente AA. 2010/

36 Scambio dati 2.316! PSH, ACK - Len4!! Seq = Ack = ! (53703) >(1337) 2.316! ACK!!! Seq = Ack = ! (1337) >(53703) AA. 2010/

37 Scambio dati Ogni partner invia in ciascun pacchetto un ack del pacchetto precedente e il suo sequence number incrementato del numero di byte trasmessi Un segmento viene accettato se i suoi dati sono all interno della finestra di trasmissione Un segmento vuoto può essere usato come ricevuta di dati AA. 2010/

38 Quale Initial Sequence Number RFC 793 specifica che sequence number dovrebbe essere incrementato ogni 4 microsecondi BSD UNIX usava inizialmente un numero che veniva incrementato di 64,000 ogni mezzo secondo (un incremento ogni 8 microsecondi) e di 64,000 ogni volta che viene aperta una nuova connessione AA. 2010/

39 Chiusura connessione 3.388! FIN,!!! Seq = Ack = ! (53703) >(1337) 3.388! ACK!!! Seq = Ack = ! (1337) >(53703) 3.388! ACK!!! Seq = Ack = ! (53703) >(1337) 3.388! FIN, ACK!!! Seq = Ack = ! (1337) >(53703) 3.388! ACK!!! Seq = Ack = ! (53703) >(1337) AA. 2010/

40 TCP Portscan Determina i servizi TCP disponibili su un sistema vittima La maggior parte dei servizi sono staticamente associati ad una determinata porta (/etc/services nei sistemi UNIX ) Nella sua forma più semplice ( connect() scanning), un attaccante prova ad aprire una connessione TCP alle porte della vittima Se l handshake avviene allora il servizio è disponibile Vantaggi: può essere fatto senza avere particolari diritti Svantaggi: (?) AA. 2010/

41 TCP SYN Scanning AKA half-open scanning L attaccante invia un SYN packet Se il server risponde con SYN/ACK packet allora la porta è aperta, se risponde con RST allora la porta è chiusa L attaccante invia un pacchetto RST invece dell ACK finale La connessione non risulta mai aperta e l evento non viene registrato sul file di log dal SO o applicazione AA. 2010/

42 Idle Scanning Usa una vittima come host per portare a compimento l attacco L attaccante invia un spoofed TCP SYN packet alla macchina obiettivo (target) I pacchetti sembrano provenire dalla vittima Target replica alla vittima Se target replica con SYN+ACK allora la vittima gli invierà un RST Se Target replica con RST allora la vittima non risponderà L attaccante verifica ID del pacchetto IP della vittima prima e dopo ogni probe se è stato incrementato: la porta di Target era aperta se no: la porta su target era chiusa AA. 2010/

43 Idle Scan AA. 2010/

44 OS Fingerprinting Consente di determinare il SO di un host esaminando la reazione a determinati pacchetti AA. 2010/

45 Syn-flooding Forma molto nota di DOS, aka Neptune L attaccante avvia un handshake con segmenti SYN La vittima replica con SYN-ACK L attaccante non risponde Un host può solo gestire un numero finito di connessioni TCP half-open. Superato questo limite non accetterà più nuove connessioni Soluzioni Incrementare la lunghezza della coda Eliminare connessioni half open quando il limite è stato raggiunto Usare syn Cookies AA. 2010/

46 Applicazioni Terminal/remote connection protocols (Telnet, rlogin, rsh, ssh) File transfer protocols (FTP, TFTP, rcp, scp, sftp) Mail protocols (SMTP, POP, IMAP) Web protocols (HTTP 1.0 and 1.1) Graphic protocols (X11, VNC/RFB) User information protocols (Finger, Ident) Domain Name System (DNS) Network management protocols (SNMP, BOOTP, DHCP, NTP) Routing protocols (RIP, OSPF, BGP) AA. 2010/

47 TCP Spoofing Impersonare un altro host durante la creazione di una connessione TCP Descritto per la prima volta in R.T. Morris in A Weakness in the 4.2BSD Unix TCP/IP Software in 1985 Usato da Mitnick nell attacco a SDSC (San Diego Supercomputer Center) AA. 2010/

48 TCP spoofing AA. 2010/

49 TCP Spoofing A si fida di B (login senza password) C vuole impersonare B rispetto ad A in una connessione TCP C annulla B (flooding, crashing, redirecting) affinché B non possa inviare segmenti RST C invia ad A un pacchetto TCP SYN con IP packet con l indirizzo IP di B e sc come sequence number A risponde con un pacchetto TCP SYN/ACK a B, questo pacchetto conterrà ss come sequence number. B non può vedere questo pacchetto C non riceve questo pacchetto ma per terminare l handshake deve inviare un segmento ACK che contenga come acknowledgment number, ss + 1 C riesce ad intercettare il segmento SYN/ACK C indovina il valore corretto di sequence number (blind spoofing) AA. 2010/

50 TCP Hijacking Tecnica per prendere il controllo di una connessione TCP esistente Si usano segmenti TCP spoofed per Inserire dati all interno di stream Resettare una connection (denial of service) In ogni caso devono essere individuati i valori corretti di sequence/acknowledgment number AA. 2010/

51 Tools Libpcap/libnet: sniffing and injection Libnids: packet reassembing library Dsniff: sniffing, man-in-the-middle attacks Ettercap: sniffer for switched LANs Hunt: hijacking Nmap: scanning tool IP scans UDP portscans TCP portscans OS fingerprinting Service fingerprinting AA. 2010/

52 Tools Tcpdump: network sniffer Traceroute: path discovery Hping2: creation of packets from command line Ethereal: a GUI-based sniffer Tcpflow: a TCP flow reassembler Tcpslice: a Tcpdump file slicer Tcptrace: tool for the analysis of Tcpdump files Ngrep: grep-like tool for network packets Ntop: top-like tool for network traffic AA. 2010/