Ataki na systemy IDS/IPS

Ataki na systemy
IDS/IPS
Borys Uchański
Model IDS wg. CIDF
Atak typu Insertion
Atak typu Evasion
Wykorzystanie TTL do ataku typu
Insertion (1/2)
Pakiet IP TTL 2
Internet
TTL -1
TTL -1
Pakiet IP TTL > 3
IDS
Wykorzystanie TTL do ataku typu
Insertion (2/2)
Rozwiązanie:
„ Wykorzystanie mapy sieci w systemie
IDS
„ Odrzucanie pakietów które nie zostaną
dostarczone do odbiorcy
Ataki bazujące na fragmentacji
pakietów IP (1/5)
Fragmentacja – proces dzielenia pakietu
IP na mniejsze pakiety (przydatne przy
sieciach o zmiennym MTU)
„ Istotne parametry:
„
… Total
Length
… Internet Header Length
… Fragmentation Offset
… More Fragments flag
Ataki bazujące na fragmentacji
pakietów IP (2/5)
FO = 0
H
10
FO = 10
Dane
H
Dane
10
Dane
Dane
FO = 20
H
10
Dane
Dane
0
10
20
30
Rekonstrukcja pakietu przy poprawnych wartościach
Fragment Offset i długości pakietu
Ataki bazujące na fragmentacji
pakietów IP (3/5)
FO = 0
H
12
FO = 10
Dane
H
Dane
12
Dane
Dane
FO = 20
H
10
Dane
Dane
0
10
20
30
Rekonstrukcja pakietu przy „nielegalnych”
wartościach Fragment Offset i długości pakietu
Ataki bazujące na fragmentacji
pakietów IP (4/5)
„
Implementacje protokołu IP rozwiązują kwestię
zachodzących na siebie fragmentów w różny
sposób
Windows NT 4.0
Zachowuje dane z wcześniejszych pakietów
4.4BSD
Zachowuje dane z późniejszych pakietów
Linux
Zachowuje dane z późniejszych pakietów
Solaris 2.6
Zachowuje dane z wcześniejszych pakietów
HP-UX 9.01
Zachowuje dane z późniejszych pakietów
Irix 5.3
Zachowuje dane z późniejszych pakietów
Ataki bazujące na fragmentacji
pakietów IP (5/5)
Rozwiązanie:
„ System IDS musi rekonstruować
zfragmentowane pakiety w sposób identyczny
jak host do którego są skierowane
„ Jeśli w monitorowanej sieci znajdują się różne
systemy operacyjne, IDS musi znać sposób
rekonstrukcji właściwy dla każdego
monitorowanego hosta
„ Powyższe funkcje realizuje preprocesor systemu
IDS Snort – Frag3
Inne rodzaje ataków na poziomie
protokołu IP
Miejsca zrzutu pakietów w funkcji ip_dooptions() (FreeBSD)
Line
Option
Description
837
Any
Bad option length
858
Source Route
Option offset is less than `4'
866
Strict Source Route
This host is not one of the listed hops
886
Source Route
This host is configured to drop source routed packets
911
Source Route
No route to next hop in route
927
Record Route
Option offset is less than `4'
943
Record Route
No route to next hop
957
Timestamp
Option length is too short
960
Timestamp
Timestamp recording space is full and the overflow counter has
wrapped back to zero
971
Timestamp
Not enough record space to hold timestamp and IP address
985
Timestamp
Not enough record space to hold timestamp and IP address
995
Timestamp
Bad timestamp type given
Monitorowanie połączeń TCP (1/3)
TCP jest
protokołem
stanowym
„
Monitorowanie połączeń TCP (2/3)
„
„
„
W celu pasywnego monitorowania połączenia
TCP konieczne jest utworzenie deskryptora
połączenia (TCB – TCP control block)
TCB przechowuje aktualny stan połączenia (stan
protokołu, numer sekwencyjny)
W przeciwieństwie do stron połączenia, pasywny
monitor nie może żądać retransmisji segmentu
Monitorowanie połączeń TCP (3/3)
Ataki:
„ Ataki skierowane w TCB
… podrabianie
3WH
… desynchronizacja
… zamykanie połączenia
„
Ataki wykorzystujące różne algorytmy
rekonstrukcji pokrywających się
fragmentów strumienia TCP
Ataki DoS (1/4)
„
Wyczerpanie mocy obliczeniowej
… przykład:
rekonstrukcja zfragmentowanych
pakietów IP
„
Wyczerpanie pamięci operacyjnej
… przykład:
tworzenie wielkiej ilości połączeń
TCP i zapełnienie dostępnej pamięci wpisami
TCB
Ataki DoS (2/4)
„
Zalanie operatora systemu IDS fałszywymi
alarmami
… Narzędzia
SNOT i STICK generujące na
podstawie sygnatur SNORT’a pakiety
powodujące wywołanie alarmu
… SNOT generuje nawet 250 alarmów na
sekundę
Ataki DoS (3/4)
„
Wykorzystanie reaktywnych funkcji
systemu IPS do wykonania ataku DoS na
inne elementy infrastruktury sieciowej
… Systemy
IPS mogą rekonfigurować
urządzenia sieciowe w celu odcięcia adresów
z których pochodzą ataki
… Przy użyciu pakietów o podrobionym IP
nadawcy można przepełnić pamięć firewalla
przeznaczoną na reguły
Ataki DoS (4/4)
W y kry w a ln o ś ć [% ]
100,00%
95,00%
UDP - duży ruch
dodatkow y
90,00%
UDP - mały ruch
dodatkow y
85,00%
TCP - duży ruch
dodatkow y
80,00%
TCP - mały ruch
dodatkow y
50
55
60
65
70
75
80
85
90
Obciąże nie [%]
Michał Wilkowski „Systemy Zapobiegania Włamaniom - Symulacja Włamań”
Literatura
„
„
„
„
„
Thomas H. Ptacek, Timothy N. Newsham
„Insertion, Evasion, and Denial of Service:
Eluding Network Intrusion Detection”
Umesh Shankar, Vern Paxson „Active Mapping:
Resisting NIDS Evasion Without Altering Traffic”
Michał Wilkowski „Systemy Zapobiegania
Włamaniom - Symulacja Włamań”
http://www.snort.org
http://www.l0t3k.org/security/tools/ids/