Cwiczenie 3 - IDS i ataki sieciowe

Zarządzanie Bezpieczeństwem Sieci
Zarządzenie bezpieczeństwem Sieci
Aplikacje IDS oraz monitory sieci
- Metody ataków sieciowych i ich wykrywanie
Celem ćwiczenia jest poznanie oprogramowania typu IDS oraz oprogramowaniem typu
analizatory sieci. Zapory ogniowe nie zapewnią pełni bezpieczeństwa. Drugą linię obrony
stanowią sieciowe systemy wykrywania włamań (IDS - Intrusion Detection System).
Aplikacje IDS monitorują, wykrywają i reagują w czasie rzeczywistym na nieautoryzowane
działania w sieci.
1. Atak typu ArpSpoof
Przeprowadź atak typu ArpSpoof w sieci zbudowanej wg poniższego schematu:
a) Przed atakiem sprawdź (np. za pomocą dowolnego monitora sieci) jak wygląda ruch w
sieci. Sprawdź też jak wyglądają wpisy arp.
b) Komputer Atakujący i atakowany znajdują się w sieci lokalnej. W knoppix można
posłużyć się programem „arpspoof”, w Windows „WinArpSpoof”. Powtórz krok 3a.
c) Dodaj forwardowanie (przekazywanie) pakietów na komputerze atakującym.
d) Zobacz, co pokazał system IDS (programy: Snort, artwatch). Zobacz także, jak
wyglądają wpisy arp na atakowanym komputerze.
mgr inż. Łukasz Jopek
Zarządzanie Bezpieczeństwem Sieci
e) Dodaj statyczny wpis to tablicy arp zawierający prawidłowe odwzorowanie adresu IP
na adres fizyczny bramy. Czy nadal transmisja przepływa przez atakujący komputer?
2. Atak typu ARP Poisoning
Przeprowadź atak wg punktu 1, spróbuj zaatakować więcej niż jeden komputer naraz
(włącznie z bramą, tak, żeby przechwycić ruch z bramy do atakowanych komputerów.)
3. Atak typu DNS-spoofing
Przeprowadź atak typu ArpSpoof w sieci zbudowanej wg poprzedniego schematu. Komputer
Atakujący i atakowany znajdują się w sieci lokalnej. Skonfiguruj Firewall tak, żeby w sieci
lokalnej można było przeglądać strony WWW. Sprawdź, co pokazały narzędzia IDS.
4. Atak typu ICMP Redirect, ICMP Router Advertisement - Protokół IRDP (ICMP Router
Discovery Protocol)
Metoda polega na rozsyłaniu spreparowanych pakietów ICMP, ze sfałszowanym adresem IP
bramy. Metoda zabezpieczenia przed atakiem tego typu pod Linuxem polega na wyłączeniu
tego protokołu:
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
[ICMP Type] Redirect
[ICMP Code] Redirect For Host
[ICMP Pref Gateway] Adres_bramy
UWAGA!
Zadania nr 1 i 2 mozna wykonać przy pomoca generatorów pakietów :
• packETH
• gspoof
• ipmagic
5. Zadanie dodatkowe : Przy pomocy generatora pakietów, np. PackETH przeprowadź atak
typu Dos
a) z zewnątrz sieci
b) z wewnątrz sieci
c) Atak typu LAND (np. Protokół TCP, port 80, flagi SYN i/lub ACK)
Opis ataku:
Komputery atakującego wysyłają do komputera ofiary po jednym pakiecie TCP i UDP na
portach 80, 110, 443 i 628, spreparowanym poprzez ustawienie adresu IP odbiorcy
pakietu jako źródło pakietu, często również posiadające flagi SYN i/lub ACK.
mgr inż. Łukasz Jopek