Ataki na systemy IDS/IPS
Transkrypt
Ataki na systemy IDS/IPS
Ataki na systemy IDS/IPS Borys Uchański Model IDS wg. CIDF Atak typu Insertion Atak typu Evasion Wykorzystanie TTL do ataku typu Insertion (1/2) Pakiet IP TTL 2 Internet TTL -1 TTL -1 Pakiet IP TTL > 3 IDS Wykorzystanie TTL do ataku typu Insertion (2/2) Rozwiązanie: Wykorzystanie mapy sieci w systemie IDS Odrzucanie pakietów które nie zostaną dostarczone do odbiorcy Ataki bazujące na fragmentacji pakietów IP (1/5) Fragmentacja – proces dzielenia pakietu IP na mniejsze pakiety (przydatne przy sieciach o zmiennym MTU) Istotne parametry: Total Length Internet Header Length Fragmentation Offset More Fragments flag Ataki bazujące na fragmentacji pakietów IP (2/5) FO = 0 H 10 FO = 10 Dane H Dane 10 Dane Dane FO = 20 H 10 Dane Dane 0 10 20 30 Rekonstrukcja pakietu przy poprawnych wartościach Fragment Offset i długości pakietu Ataki bazujące na fragmentacji pakietów IP (3/5) FO = 0 H 12 FO = 10 Dane H Dane 12 Dane Dane FO = 20 H 10 Dane Dane 0 10 20 30 Rekonstrukcja pakietu przy „nielegalnych” wartościach Fragment Offset i długości pakietu Ataki bazujące na fragmentacji pakietów IP (4/5) Implementacje protokołu IP rozwiązują kwestię zachodzących na siebie fragmentów w różny sposób Windows NT 4.0 Zachowuje dane z wcześniejszych pakietów 4.4BSD Zachowuje dane z późniejszych pakietów Linux Zachowuje dane z późniejszych pakietów Solaris 2.6 Zachowuje dane z wcześniejszych pakietów HP-UX 9.01 Zachowuje dane z późniejszych pakietów Irix 5.3 Zachowuje dane z późniejszych pakietów Ataki bazujące na fragmentacji pakietów IP (5/5) Rozwiązanie: System IDS musi rekonstruować zfragmentowane pakiety w sposób identyczny jak host do którego są skierowane Jeśli w monitorowanej sieci znajdują się różne systemy operacyjne, IDS musi znać sposób rekonstrukcji właściwy dla każdego monitorowanego hosta Powyższe funkcje realizuje preprocesor systemu IDS Snort – Frag3 Inne rodzaje ataków na poziomie protokołu IP Miejsca zrzutu pakietów w funkcji ip_dooptions() (FreeBSD) Line Option Description 837 Any Bad option length 858 Source Route Option offset is less than `4' 866 Strict Source Route This host is not one of the listed hops 886 Source Route This host is configured to drop source routed packets 911 Source Route No route to next hop in route 927 Record Route Option offset is less than `4' 943 Record Route No route to next hop 957 Timestamp Option length is too short 960 Timestamp Timestamp recording space is full and the overflow counter has wrapped back to zero 971 Timestamp Not enough record space to hold timestamp and IP address 985 Timestamp Not enough record space to hold timestamp and IP address 995 Timestamp Bad timestamp type given Monitorowanie połączeń TCP (1/3) TCP jest protokołem stanowym Monitorowanie połączeń TCP (2/3) W celu pasywnego monitorowania połączenia TCP konieczne jest utworzenie deskryptora połączenia (TCB – TCP control block) TCB przechowuje aktualny stan połączenia (stan protokołu, numer sekwencyjny) W przeciwieństwie do stron połączenia, pasywny monitor nie może żądać retransmisji segmentu Monitorowanie połączeń TCP (3/3) Ataki: Ataki skierowane w TCB podrabianie 3WH desynchronizacja zamykanie połączenia Ataki wykorzystujące różne algorytmy rekonstrukcji pokrywających się fragmentów strumienia TCP Ataki DoS (1/4) Wyczerpanie mocy obliczeniowej przykład: rekonstrukcja zfragmentowanych pakietów IP Wyczerpanie pamięci operacyjnej przykład: tworzenie wielkiej ilości połączeń TCP i zapełnienie dostępnej pamięci wpisami TCB Ataki DoS (2/4) Zalanie operatora systemu IDS fałszywymi alarmami Narzędzia SNOT i STICK generujące na podstawie sygnatur SNORT’a pakiety powodujące wywołanie alarmu SNOT generuje nawet 250 alarmów na sekundę Ataki DoS (3/4) Wykorzystanie reaktywnych funkcji systemu IPS do wykonania ataku DoS na inne elementy infrastruktury sieciowej Systemy IPS mogą rekonfigurować urządzenia sieciowe w celu odcięcia adresów z których pochodzą ataki Przy użyciu pakietów o podrobionym IP nadawcy można przepełnić pamięć firewalla przeznaczoną na reguły Ataki DoS (4/4) W y kry w a ln o ś ć [% ] 100,00% 95,00% UDP - duży ruch dodatkow y 90,00% UDP - mały ruch dodatkow y 85,00% TCP - duży ruch dodatkow y 80,00% TCP - mały ruch dodatkow y 50 55 60 65 70 75 80 85 90 Obciąże nie [%] Michał Wilkowski „Systemy Zapobiegania Włamaniom - Symulacja Włamań” Literatura Thomas H. Ptacek, Timothy N. Newsham „Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection” Umesh Shankar, Vern Paxson „Active Mapping: Resisting NIDS Evasion Without Altering Traffic” Michał Wilkowski „Systemy Zapobiegania Włamaniom - Symulacja Włamań” http://www.snort.org http://www.l0t3k.org/security/tools/ids/