napadi na komunikacijske protokole mrežnog sloja_moj

ELEKTROTEHNIČKI FAKULTET UNIVERZITET U SARAJEVU

Odsjek za telekomunikacije

MSc studij, I godina

akademska godina 2011/2012.

Predmet: Kriptografija i sigurnost sistema

Napadi na komunikacijske protokole mrežnog slojaKSS – 2011/2012 – 005

TK student broj indexa1. Čolak Elbisa 489/153172. Dulić Meliha3. Zujović Irma

Sarajevo, maj 2012. godine

Univerzitet u SarajevuElektrotehnički fakultetOdsjek za telekomunikacije

akademska godina: 2011/2012Kriptografija i sigurnost sistema

Napadi na protokole mrežnog nivoa

SAŽETAK

Razvojem Interneta i računarske tehnlogije dolazi do porasta i broja korisnika . Samim tim, sve je veći broj ljudi koji su potencijalni napadači informacionih sistema, tako da je pitanje same sigurnosti dovedeno u nezavidnu poziciju.

Ovaj rad, u svom prvom dijelu, sadrži činjenice vezane za ugroženost sigurnosti računarskih mreža, koja je posljedica, prije svega, razvoja i proširenja Interneta, zatim porasta broja korisnika, te pojeftinjenja računarske opreme. Mrežni administratori, umjesto da se bave unaprjeđenjem cjelokupnog mrežnog sistema, uglavnom se bave izgradnjom sigurnosnih okvira mreže.

Drugi dio se bazira na opisivanje mrežnog sloja OSI referentnog modela i njegovih karakteristika. Također je dat osvrt na komunikacijske protokole mrežnog sloja, koji se dijele na routed i routing protokole. Za svaki podtip protokola, dat je detaljan opis njegovih osnovnih koncepata rada.

U trećem dijelu rada je objašnjen princip izvođenja napada na već pomenute protokole mrežnog sloja. Napadači obično iskorištavaju slabe tačke rada protokola, da bi onemogućili komunikaciju između korisnika ili došli do određenih podataka, koje legalnim putem ne mogu dobiti. Obrađene su razne vrste DoS napada, zatim usmjerivački (RIP) napadi, vrste IP Spoofing napada, te napad Packet Sniffing.

2




1. UVOD

Potreba za informacijama natjerala je čovjeka da uspostavlja veze sa raznim izvorima informacija i da stvara mreže preko kojih će sebi olakšati prikupljanje, prenos, skladištenje i obradu podataka. Naglim razvojem računarske tehonologije posljednjih godina i sa pravom eksplozijom Interneta, broj korisnika računara i računarskih mreža raste vrtoglavom brzinom. Sa sve moćnijom računarskom opremom svakodnevno se uvode novi servisi , a istovremeno se u umrežavanju postavljaju viši standardi. Vremenom su se mrežni sistemi razvijali da bi danas dostigli nivo praktičnog efikasnog okruženja za razmjenu podataka. Dostupnost i fleksibilnost tehnologija današnjih savremenih računarskih mreža omogućava da se sa bilo koje tačke na planeti može povezati na mrežu i doći do željenih infomacija.

Slika 1. Porast broja korisnika interneta

Sve veći problem i ograničavajući faktor razvoja i primjene računarskih sistema postaje bezbjednost informacionih sistema.

Činjenice koje povećavaju opasnost od zloupotrebe su: Stalno uvečanje broja osoba koje koriste računarske sisteme; Stalno uvečanje broja osoba koje se školuju i posjeduju znanje iz informatike; Vrijednost informacija koje se danas nalaze u računasrkim sitemima je velika.

Oblici komunikacijskog kriminala su raznovrsni i brojni: Krađa računarske opreme;

3




Krađa internet vremena; Krađa sofvera radi neovlaštenog korištenja; Upadi u komunikacionu mrežu radi kopiranja i mijenjanja podataka; Pronevjere zaposlenog osoblja u komunikacionim centrima.

Razvojem i širenjem računarskih mreža te pojeftinjenjem opreme i njenim širenjem u sve pore društva, počeli su i sigurnosni problemi. Domena koja je do tada bila rezervisana za uski krug naučnika, tehnologa, tehničara i privilegiranih korisnika, u kratkom vremenu se otvorila za široke mase koje su u nju donijele i svoje oblike ponašanja. Stoga je bilo potrebno i razviti mrežnu sigurnost. Mrežna sigurnost je jako komplicirana tema, historijski gledano tema koja je razmatrana samo od strane dobro treniranih i iskusnih računarskih stručnjaka. Kako u današnjem svijetu sve više i više računara postaje povezano u globalnu mrežu, dolazi do sve većeg broja interesanata za računarsku i mrežnu sigurnost. Javila se potreba za dobro osmišljenom organizacijom sigurnosti u mrežama.

Bržim razvojem globalne mreže Internet, mrežna sigurnost postaje sve više značajnija i zastupljenija tema. Trenutno, mrežni administratori uglavnom provode više vremena gradeći sigurnu okolinu nego što potroše vemena na doslovno podešavanje cjelokupnog mrežnog sistema. Oni moraju razriješiti sljedeća pitanja:

Ko će imati dozvolu na informacije? Na koje resurse će korisnici imati dozvolu? Kad mogu koristiti te dozvole:

Odgovor na ta pitanja uveliko zavise od organizacije u kojoj se definira i provodi sigurnosna politika.

U nastavku rada je dat osvrt na mrežni nivo OSI modela, njegove protokole uključujući principe njihovog rada, njihove prednosti i nedostatke, te su detaljno objašnjeni mogući napadi na prokole mrežnog nivoa.

4




2. MREŽNI SLOJ OSI REFERENTNOG NIVOA I NJEGOVI PROTOKOLI

OSI (Open Systems Interconnection) model je referentni model protokola za komunikaciju u mrežama za prenos podatka, razvijen od strane ISO 1978. godine. Ovaj model pružio je proizvođačima skup standarda koji osiguravaju veću kompatibilnost i međufunkcionalnost između različitih mrežnih tehnologija koje su stvorene od velikog broja kompanija širom svijeta.

Uloga OSI referentnog modela: Omogućavanje komunikacije između bilo kojih računara, bilo gdje u svijetu, sve dok se

pridržavaju OSI standarda; Standardizacija pravila za komunikaciju između različitih računarskih mreža.

OSI referentni model sastoji se od 7 slojeva, a svaki od njih vrši određenu mrežnu funkciju:

Slika 2.1 Arhitektura OSI referentnog modela

Treći sloj OSI modela je mrežni sloj. Ovaj sloj je kompleksan sloj i omogućava povezivanje i odabir puta između dva mrežna sistema koji mogu biti geografski dislocirani. Mrežni sloj treba da obezbjedi prenos podataka između entiteta transportnog sloja, bez obzira na strukturu mreža kojima pripadaju. Ovaj sloj uspostavlja, održava i raskida veze između korisnika. Za prenos informacije sa kraja na kraj, mrežni sloj koristi 4 koraka: adresiranje, enkapsulaciju, rutiranje i dekapsulaciju.

Mrežni protokoli su pravila i upute koje uređaji koriste kako bi se omogućilo dijeljenje podataka između krajnjih korisnika. Na mrežnom nivou razlikujemo routed i routing protokole. Protokoli koji definišu izvornu i odredišnu adresu, tj. adresu sa koje paket odlazi i na koju dolazi se nazivaju routed protokoli. Uređaji (kao ruter) koji ovu adresu koriste da bi pronašli optimani put između izvora i odredišta kroz mrežu koriste routing protokole. Routed protokol nadzire metodu isporuke paketa, a routing protokol nadzire put paketa kroz mrežu.

5




Slika 2.2 Routed i routing protokoli

U routed protkole ubrajamo IPv4, IPv6, IPX protokole.U routing protokole ubrajamo RIP, IGRP, EIGRP, OSPF, BGP, IS-IS, itd.

Osnovne razlike između dinamičkog rutiranja, kojeg koriste routing protokoli i statičkog rutiranja, koje je bazirano na routed protokolima su prikazane u tabeli 1.

Dinamičko rutiranje Statičko rutiranje

Kompleksnost konfiguracije Općenito, ne zavisi od veličine mreže

Raste sa veličinom mreže

Zahtjevanje administratorskog znanja

Potrebna napredna znanja Nema potrebe za dodatnim znanjima

Promjena topologije Automatsko prilagođavanje Zahtjeva administratorsku intervenciju

Skaliranje Pogodno za jednostavne i složene topologije

Pogodno za jednostavne topologije

Sigurnost Manja VećaKorištenje resursa Koristi CPU, memoriju i

propusni opsegNe zahtjeva extra resurse

Predvidivost Ruta zavisi od topologije Ruta do odredišta je uvijek istaTabela 1. Statičko rutiranje vs. dinamičko rutiranje

6




2.1 Routed protokoli – Internet protokol

IP (Internet Protocol) je najčešće korišteni protokol mrežnog nivoa. Ne zavisi od tehnologije protokola koja leži ispod njega i potencijalno se može pokretati na bilo kojoj mrežnoj tehnologiji (ATM, Ethernet, WDM). IP je nekonekcijski protokol, što znači da za prenos podataka između hostova prethodno ne uspostavlja vezu između istih. On pruža samo funkcije koje su potrebne da se paket prenese od izvora do odredišta, ali ne i praćenje i upravljanje tokovima paketa, za šta su zaduženi protokoli drugih nivoa. Osnove karakteristike IP protokola su:

Univerzalno adresiranje – kako bi se izvršio prijenos podataka iz tače A u tačku B, potrebno je osigurati da uređaji u mreži znaju odrediti koji uređaj predstavlja tačku B. IP protokpl definira mehanizam adresiranja za mrežu i koristi ove adrese za prijenos podataka.

Nezavisan od implementacije nižih protokola – IP je dizajniran da omogući prijenos podataka preko bilo kojeg tipa mreža koji podržavaju TCP/IP stog. U sebi uključuje operacije kojim se može prilagoditi zahtjevima raznih protokola nižeg sloja.

Prijenos bez čvrste veze – IP radi bez uspostavljanja veze između tački koje komuniciraju preko mreže.To znači da kad uređaj A želi poslati podatke uređaju B, on prethodno ne stvara vezu sa tačkom B.

Nepouzdana isporuka – za IP se kaže da je nepouzdan, što znači da prilikom slanja datagrama sa uređaja A prema uređaju B, uređaj A šalje jedan datagram i onda prelazi na sljedeći, pri čemu ne prati one koje je već poslao. IP ne pruža mehanizam za zaštitu od grešaka, kontrolu toka ili ponovno slanje izgubljenih datagrama.

Isporuka bez potvrde - IP ne koristi potvrde o isporuci. Kada uređaj B primi datagram od uređaja A, on ne šalje potvrdu o prijemu kojom bi rekao uređaju A da je primio datagram.

Osnovne funkcije IP protokola se mogu podijeliti na: ADRESIRANJE – da bi mogao vršiti prijenos i isporuku datagrama, IP mora znati gdje je potrebno

da ih isporuči. Iz ovog razloga on uključuje mehanizam za adresiranje uređaja na mreži, pri čemu se koristi jedinstveno adresiranje uređaja na proizvoljno velikim mrežama.

ENKAPSULACIJA PODATAKA I FORMATIRANJE/PAKIRANJE - kao protokol mrežnog sloja, IP prima podatke od protokola transportnog sloja UDP-a i TCP-a. On tada vrši enkapsulaciju ovih podataka koristeći poseban format u IP datagrame, prije samog prenosa.

FRAGMENTIRANJE I PONOVNO SPAJANJE – IP datagrami se prosljeđuju sloju fizičke veze za prijenos na lokalnoj mreži. Maksimalna veličina okvira na fizičkoj vezi koja koristi IP se može razlikovati. Iz ovog razloga, IP u sebi uključuje mogućnost fragmentiranja IP datagrama u dijelove, kako bi se oni mogli prenijeti preko lokalne mreže. Prijemni uređaj koristi funkciju za ponovno spajanje IP datagrama.

RUTIRANJE/INDIREKTNA ISPORUKA – kada se IP datagram mora poslati na destinaciju koja se nalazi na lokalnoj mreži, njegov prijenos se može izvršiti jednostavno korištenjem nižih LAN/WLAN/WAN protokola. U većini slučajeva, krajnja destinacija se nalazi na udaljenoj mreži koja nije direktno povezana na izvor. U ovoj situaciji se koristi isporuka datagrama pomoću posredničkih uređaja – routera.

7




Slika 2.3 Izgled IP paketa

Rutiranje paketa se vrši na način da ruter uzima adresu odredišta (Destination Address) iz IP zaglavlja i rutira dalje do odgovarajućeg rutera.

Nepouzdanost IP protokola može dovesti do: oštećenja dijelova paketa; gubitka cijelih paketa; duplicirani dolazak paketa na odredište.

Paketi se mogu oštetiti usljed prolaska kroz linkove lošeg kvaliteta na kojima postoji veliki utjecaj šumova, dok se paketi mogu izgubiti usljed, na primjer, nestanka napajanja, ili kvara usputnih uređaja. Duplirani dolazak može se javiti zbog raznih softverskih grešaka i protokolnih nedostataka na usputnoj infrastrukturi.

Jedinu zaštitu koju IP protokol pruža je zaštita od oštećenja dijelova paketa. Ovo je postignuto time što izvor u header IP paketa, pored IP adresa, umeće i CRC checksum za dati paket. Na odredištu se ponovo računa checksum primljenog paketa i ako se checksum-e slažu, paket je prenijet bez grešaka. Međutim, ako paket sadrži greške, odredište ga odbacuje bez obaveštavanja izvora da je paket odbačen.

Razlog zašto je IP dizajniran na ovaakv način, bez funkcija za uspostavu veza, garantiranom isporukom, ispravkom greški i drugim funkcijama, leži u tome što sve ove funkcije imaju određenu cijenu. Potrebno je dosta vremena, računarskih resursa i mrežne propusnosti da bi se izvršile ove

8




funkcije, a one nisu uvijek potrebne. Sve ove nedostatke IP protokola rješavaju protokoli viših nivoa, naročito transportni sloj.

2.1.1 ICMP

ICMP (Internet Control Message Protocol) je obavezni dio implementacije IP protokola jer nadopunjuje nedostatke samog IP protokola, tj. šalje obaveštenje o potencijalnom problemu koji se desio u procesu isporuke podataka. U osnovi, to je skup poruka za ispitivanje stanja povezanosti mreže i izvještavanja o greškama. Budući da, kao i sam IP protokol, funkcionira na principu najboljeg pokušaja (best effort), ovaj protokol ne osigurava pouzdan prenos podataka. To trebaju osigurati protokoli viših nivoa. Tipične ICMP poruke javljaju greške u procesiranju datagrama. Da bi se izbjeglo beskonačno slanje poruka ne šalju se nikakve poruke o ICMP porukama.

Standardno je da i ruteri u sebi imaju implementaciju ICMP protokola. Na primjer, ako se pošalje paket na neki računar i taj paket ne može biti isporučen računaru usljed toga što je isključen, ili ne radi mrežna kartica ili je prekid u kablu i slično, posljednji ruter u komunikaciji je zadužen da pošalje obaveštenje o tome da računar nije on-line (dostupan).

ICMP poruke se šalju koristeći osnovno IP zaglavlje. Prvi oktet polja podataka IP paketa definira tip ICMP poruke. Svaka poruka sadrži i IP zaglavlje poruke o čijem gubitku izvještava, te prvih 64 bita podataka originalnog paketa.

Slika 2.4 Izgled ICMP datagrama

Neke od najčešćih ICMP poruka su:

SOURCE QUENCH – Router šalje ovu poruku kada u njegovom spremniku nema dovoljno mjesta. Pošiljatelj mora reagirati smanjenjem brine generiranja novih datagrama.

9




TIME EXCEEDED – Generira se kada je usmjerenik spustio TTL (Time To Live) na nulu ili kada host pri ponovnom sklapanju fragmentirane poruke prekorači Reasembly Timer.

DESTINATION UNREACHABLE – Šalje se kada ruter ustanovi da se datagram ne može isporučiti na svoje odredište. Iskazuje se razlika između nedostupnog hosta i nedostupne mreže.

REDIRECT – Ukoliko ruter utvrdi da bi datagram trebao biti poslan po drugoj ruti, šalje ovu poruku. Može zahtijevati promjenu za host ili za mrežu.

ECHO REQUEST/REPLAY – Echo request poruka se može slati ICMP software-u na bilo kojem čvoru. ICMP software mora reagirati slanjem echo replay poruke. Odgovor sadrži iste podatke kao i zahtjev.

ADDRESS MASK REQUEST/REPLAY – Prilikom svog boot-anja, host šalje broadcast upit o adresnoj maski. Ruter koji primi poruku šalje korektni 32-bitni broj koji sadrži adresnu masku za tu mrežu.

Iako sam prijenos podataka putem IP-a funkcionše na principu najboljeg pokušaja, ICMP protokol, putem obavijesti o grešakama, daje IP-u dovoljnu kontrolu da taj najbolji pokušaj bude prilično dobar. Putem echo reply poruka, koje omogućavaju ping i trace route aplikacije, ICMP nam je koristan za provjeru u kakvom je stanju mreža, tj. da li možemo doći do nekog udaljenog uređaja i koji je put do njega.

U Windows operativnim sistemima se najmanje tri programa zasnivaju na radu ICMP protokola i to su: PING, PATHPING i TRACERT. PING program je osmišljen sa namjerom detekcije dostupnosti udaljene mašine, PATHPING je ustvari višestruki ping koji dodatno kalkuliše procentualnu uspješnost slanja podataka (primenjuje se pri identifikaciji tačne lokacije problema u komunikaciji između dva udaljena računara), TRACERT je sličan program ali funkcioniše na malo drugačiji način i namena mu je brza provera problematičnih rutera na putanji do destinacije.

Nadzor mreže putem ICMP protokola se odvija na dva načina: praćenjem propusnosti veze do čvora; mjerenjem vremena odziva čvora.

Praćenje propusnosti se zasniva na mjerenju broja paketa koji se uspiju vratiti od prozivanog čvora. Uobičajeno je da se šalje 100 paketa dužine 100 B, u jednom pokušaju, uz zadano vrijeme između pokušaja od 4 s, te dva ponavljanja. Takva sonda daje poprilično dobar pregled veze. To je ujedno i standardni način rada ping komande.

Mjerenje vremena odziva je jednostavniji postupak, koji manje opterećuje sistem u odnosu na prethodnu metodu, ali manje tačan. Vrijeme odziva daje vremensku karakteristiku veze, pri čemu je najvažniji parametar promjena vreemna odziva, sve dok je odziv u dozvoljenom području. Za stvarno praćenje ponašanja sistema potrebno je provoditi oba načina mjerenja.

10




2.2 Routing protokoli

Za razliku od routed protokola, koji pružaju informacije za prosljeđivanje paketa na osnovu adresne šeme, routing protokoli određuju kojim putem će se prenositi podaci.

Routing protokoli se mogu podijeliti na osnovu oblasti rutiranja na interne (IGRP) i eskterne (EGRP), pri čemu se interni protokoli prema načinu računanja optimalnog puta dijele na distance vector (vektor udaljenosti) i link state (stanje protokola) protokole. Evolucija i klasifikacija routing protokola je prikazana na narednoj slici.

Slika 2.5 Evolucija i klasifikacija routing protokola

2.2.1 RIP

RIP (Routing Information Protocol) je prvi i najjednostavniji protokol rutiranja. Danas se koristi u mrežama sa malim brojem rutera, zbog svoje jednostavnosti. RIP je interni protokol rutiranja. Koristeći Belman-Fordov algoritam (Bellman-Ford Algorithm), dinamički ažurira tabele rutiranja rutera unutar istog autonomnog sistema. Kao metriku uzima skok (engl. hop), tj. udaljenost od mreže, što ga svrstava u grupu protokola rutiranja na osnovu vektora udaljenosti.

RIP šalje nove usmjerivačke poruke u pravilnim intervalima ili kada se promjeni topologija mreže. Kada router dobije usmjerivačku poruku koja uključuje promjene, nadograđuje tablicu usmjeravanja da bi prikazao novi put. Vrijednost metrike za put se uvećava za 1 i pošiljatelj se smatra sljedećim korakom.

11




Kod RIP protokola routeri čuvaju samo najbolji put, tj. put sa najmanjom vrijednošću metrike, prema odredištu, tj. ako nova informacija nudi bolji put ona zamjenjuje staru. Nakon nadogradnje tablice usmjeravanja, usmjernik informira susjedne usmjernike o promjeni.

RIP kao metriku koristi broj skokova tj. odabire smjer s najmanjim brojem skokova kao najbolji. Broj skokova je broj usmjernika koji paket treba proći na putu do odredišta. Svaki skok na putu od izvorišta do odredišta vrijedi 1, ako nije drugačije definirano. Kada router dobije usmjerivačku poruku koja sadrži novi ili promijenjeni odredišni mrežni interfejs, dodaje 1 vrijednosti metrike naznačenoj u usmjerivačkoj poruci i unosi mrežu u tablicu usmjeravanja. Unutar RIP tablice usmjeravanja najduži put može biti 15 skokova. Ako je broj skokova veći od 15 smatra se da je odredište nedohvatljivo.

Kada usmjernik detektira prekid jedne od svojih veza korigira svoju tablicu usmjeravanja tako da postavi broj koraka za taj smjer na 16 i susjednim usmjernicima šalje svoju tablicu usmjeravanja. Svaki usmjernik koji primi ovu poruku korigira vlastitu tablicu usmjeravanja i šalje ju dalje. Promjena se tako propagira mrežom.

RIPv1 je razvijen 1980 - ih godina u kompaniji Ziroks iz ranije verzije protokola GWINF ( Gateway Information Protocol). Primjena ovog protokola u mrežnim sistemima različitih proizvođača dovela je do njegove standardizacije 1988. godine.

RIPv1 ima sljedeće ključne karakteristike: za metriku uzima udaljenost izraženu u broju rutera do odredišne rute (IP mreže): svaki pređeni

ruter predstavlja jedan skok; najviše skokova do destinacije može biti 15, iznad čega se dotična mreža smatra nedostižnom; RIPv1 informacije o rutama se šalju po svim interfejsima (kao broadcast poruke); poruke se šalju periodično na svakih 30 sekundi ili pri promeni topologije; kao adrese mreža, koristi klasne IP adrese (u porukama se ne šalje maska).

RIPv2 uvodi sljedeća poboljšanja u odnosu na RIPv1: predstavlja besklasan protokol rutiranja, pored adrese mreže navodi i podmrežnu masku; poseduje mehanizme autentikacije, uvedene radi sigurnosti; podržava podmrežne maske promenljive dužine VLSM (engl. Variable Length Subnet Masking); umjesto broadcast adresa koristi multicast adrese; podržava manuelno sumiranje ruta.

RIPng (Routing Information Protocol next generation) definisan je u dokumentu RFC 2080, predstavlja jednostavan protokol rutiranja, kao i njegovi prethodnici. RIPng je interni protokol rutiranja na osnovu vektora udaljenosti i ima sljedeće karakteristike:

sličan je RIPv2, na njemu je baziran; koristi grupu multicast adresa FF02::9 za slanje paketa; koristi IPv6 za transport, sadrži pored IPv6 adrese mreže i prefiks; za slanje izmjena uzima UDP port 521.

12




Jednostavnost RIP-a se često daje kao glavni razlog njegove popularnosti. Ali cijena jednostavnosti je pojavljivanje problema u specijalnim situacijama i ne uobičajenim slučajevima. Tako da RIP većinu vremena radi veoma dobro, ali posjeduje neke značajne slabosti:

SPORA KONVERGENCIJA - Algoritam vektora udaljenosti koji koristi RIP je dizajniran tako da svi ruteri dijele sve njihove informacije o rutiranju redovito. Tokom vremena, svi ruteri će dobiti identične informacije o lokaciji mreža i koje su najbolje rute za njihovo povezivanje. Na nesreću, osnovni algoritam RIP-a je prilično spor u postizanju konvergencije. Potrebno je mnogo vremena da bi svi ruteri dobili identične informacije, i posebno, potrebno je dosta vremena za propagaciju informacija o promjeni topologije. Ovaj problem je još više izražen kod propagacije informacija o prekidima ruta. Prekid u ruti se primjećuje tek nakon isteka timera od 180 sekundi, iz čega slijedi da je potrebno proteći 3 minute prije nego što uopće počne konvergencija.

BROJANJE DO BESKONAČNOSTI - Poseban slučaj spore konvergencije može dovesti do petlje u rutiranju, gdje jedan ruter predaje lošu informaciju o ruti drugom ruteru, koji onda šalje više loših informacija sljedećem ruteru i tako dalje. Ovo proizvodi situaciju gdje se protokol nekad opisuje kao nestabilan. Kao primjer ove situacije može se navesti prijenos informacija o rutiranju koja se dešava između dva rutera od kojih jedan nakon što je primijetio prekid rute bude prevaren da može doći do odredišta preko drugog rutera na osnovu informacija koje je primio. Proces, tokom kojeg se oba rutera napokon slože da je ruta u prekidu, se naziva brojanje do beskonačnosti.

PROBLEMI SA METRIKOM - Broj skokova kao mjera troškova prijenosa podataka je loš izbor. Izbor ove metode unutar RIP-a vjerovatno ima svoj uzrok u pokušaju održavanja što veće jednostavnosti protokola zajedno sa njegovom starosti. U vrijeme kada je protokol dizajniran, većina kašnjenja se dešavala prilikom obrade datagrama u ruteru, pa je ovakva metrika bila puno bliža stvarnim vremenima nego što je sad. U današnjim sistemima broj skokova nema nikakve veze sa stvarnom brzinom prijenosa podataka. Kao nedostatak može se navesti i nepostojanje podrške za dinamičku metriku (metriku u realnom vremenu). Čak kada bi protokol koristio metriku koja bolje odgovara stvarnosti, implementacija protokola zahtjeva da ona bude fiksna za svaku pojedinu rutu. Ne postoji način na koji bi se mogla izračunati najbolja ruta na osnovu trenutnih informacija o pojedinim vezama.

2.2.2 IGRP

IGRP (Interior Gateway Routing Protocol) je interni ruting protokol, razvijen od strane kompanije Cisco. IGRP je napravljen djelimično da prevaziđe ograničenja RIP-a kada se koristi u velikim mrežama (maksimalni broj skokova samo 15). IGRP podržava više metrika za svaku rutu, uključujući protok, kašnjenje, opterećenja, MULTICAST MTU i pouzdanost. Maksimalan broj skokova IGRP paketima je 255 , kao i to da se tabele sa rutama emituju svakih 90 sekundi. IGRP se smatra klasnim ruting protokolom, jer protokol nema polje za mrežnu masku, ruter pretpostavlja da su sve adrese interfejsa u okviru iste klase A, B ili C. Klasni protokoli su postali manje popularni zbog rasipajna adresnog prostora.

13




2.2.3 EIGRP

EIGRP (Enhanced Interior Gateway Routing Protocol) je razvijen 1992. godine i predstavlja interni,besklasni protokol rutiranja, koji radi po algoritmu na osnovu vektora udaljenosti. Razvio se kao nadogradnja klasnog IGRP. Za razliku od većine ostalih standardizovanih protokola, ovi protokoli su vlasništvo Cisco Systems korporacije, podržani samo u njihovim mrežnim uređajima (ruterima). Umjesto broj skokova (udaljenost izražena u broju rutera do mreže), EIGRP kao metriku uzima broj skokova pri čemu svakom, do odredišne rute, daje težinu formiranu na osnovu propusnih opsega, kašnjenja, pouzdanosti i opterećenosti. Mehanizam pomoću kojeg razmjenjuje i obrađuje informacije o putanjama je DUAL (Diffusing Update Algorithm), umjesto Belman-Fordovog algoritma.

2.2.4. OSPF

OSPF (Open Shortest Path First) predstavlja interni protokol rutiranja stanja linka. OSPF je bezklasni protokol rutiranja, koji je uveo koncept podjele autonomnog sistema na zone radi veće skalabilnosti.

Baziran je na Dijkstra algoritmu i koristi besklasno rutiranje. Za metriku koristi cijenu putanje koja se

pamti u 16 - bitnom broju, što je cijena manja - to je bolja putanja. Ima bržu konvergenciju nego protokoli koji koriste distance vector algoritam. Podržava autentifikaciju korisnika, balansiranje saobraćaja i koristi neadresirane interfejse za serijske linkove. Cijena putanje je obrnuto proporcionalna protoku na linku (108/ protok). U slučaju velike mreže, proračun tabele rutiranja i SPF algoritma zahtjeva značajne resurse. U cilju smanjenja potrebnih resursa za rad OSPF protokola, velika mreža se dijeli na oblasti. Unutar oblasti se koristi LSA i SPF algoritam; između oblasti se oglašavaju rute po principu distance vector protokola. Podjelom na oblasti, postiže se da se ponovni proračun prilikom promjene topologije obavlja samo unutar jedne oblasti. Između oblasti se koristi i agregacija ruta u cilju smanjenja tabele rutiranja. Jedna oblast se proglašava za backbone oblast i ona ima identifikaciju 0 (nula). Ostale oblasti dobijaju identifikacije od 1 pa nadalje (32-bitna identifikacija). Sve oblasti moraju da imaju direktnu vezu sa backbone oblašću. Razmjena informacija o dostupnosti pojedinih mreža se obavlja kroz backbone oblast. Ako slučajno postoji oblast koja nije vezana za backbone oblast, tada se formira virtuelni link (tunel) do backbone oblasti. Kroz ovaj tunel se šalju informacije o dijelu mreže u oblasti ka backbone-u.

Format OSPF paketa je prikazan na slici:

8 16 32 bitaVerzija Tip paketa Dužina paketa

Router IDArea ID

Checksum Tip AuAutentifikacija (64 bita)

Slika 2.6 OSPF paket

Značenja polja su:

Verzija – Verzija OSPF protokola koja se koristi.

14




Tip paketa – Tip OSPF paketa. Valjani paketi su: 1. "Hello" paketi 2. Paketi za opis baze (engl. Database Description) 3. Paketi za zahtjev stanja veze (engl. Link State Request) 4. Paketi za osvježavanje stanja veze (engl. Link State Update) 5. Paketi za potvrdu stanja veze (engl. Link State Acknowledgment)

Dužina paketa – Dužina paketa u oktetima. Router ID – Identifikator routera koji je izvorište paketa. Area ID – Identifikator područja kojemu paket pripada. Checksum - Kontrolni zbroj zaglavlja, ne uključuje 64-bitno autentikacijsko polje. Tip Au – Autentikacijska shema koja se koristi. Autentifikacija - 64-bitno autentikacijsko polje.

Nasuprot RIP-u, OSPF može raditi hijerarhjiski. Najveća jedinica bez hijerarhije je autonomni sisitem (AS). Autnomni sistem je mreža ili skupina mreža pod javnom upravom koje dijele zajedničku usmjeravačku upravu. Iako je OSPF unutarnji usmjerivački protokol, sposoban je primati smjerove od drugih AS-ova i slati ih njima. Autonomni sistemi mogu biti podjeljeni u više područja kao što su skupine graničnih mreža i glavnih računala (host-ovi). Routeri sa više interfejsa mogu učestvovatii u više područja. Ovi routeri koji se zovu routeri za granična područja (area border routers) vode zasebnu topološku bazu podataka za svako područje. Topološka baza podataka sadrži skupinu LSA-ova od svih rutera u istom području. S obzirom na to da routeri unutar istog područja dijele istu informaciju, imaju jednake topološke baze podataka. Termin domena se ponekad koristi za opisivanje dijela mreže u kojem svi routeri imaju identične topološke baze podataka. Domena se često veže s AS-om. Topologija područja je nevidljiva entitetima izvan područja. Držeći topologije područja razdvojene, OSPF propušta manje prometa nego što bi da AS-ovi nisu razdvojeni. Razdvajanje područja stvara dva različita tipa OSPF usmjeravanja, ovisno o tome jesu li izvor i odredište u istom ili različitim područjima. Intraprostorno usmjeravanje se javlja kada su izvor i odredište u istom području, a međuprostorno usmjeravanje kada su u različitim područjima. Osnova OSPF-a je odgovorna za distribuiranje usmjerivačkiih informacija među područjima. Sastoji se od area border routera, mreža koje u cijelosti ne pripadaju nijednom području i njihovih rutera.

15




Slika 2.7 Princip rutiranja OSPF protokola

Na slici , vanjski routeri 4, 5, 6, 10, 11 i 12 čine glavnu mrežu (backbone). Ako glavni host H1 u području 3 želi poslati paket host-u H2 u području 2, paket se šalje routeru 13, koji ga prosljeđuje routeru 12, koji šalje paket routeru 11. Router 11 tada šalje paket area border routeru 10 koji ga opet prosljeđuje intraprostornim routerima 9 i 7 preko kojih paket dolazi do H2. Sama okosnica je OSPF područje tako da svi backbone ruteri koriste iste procedure i algoritme da provedu informaciju. Backbone topoligija je nevidljiva intraprostornim ruterima, kao što su i njihove topologije nevidljive backbone-u.

Nedostaci OSPF protokola: OSPF je složeni protokol koji zahtjeva strukturiranu mrežnu topologiju. Neorganiziranost mreže,

bez dobre IP adresne šeme, agregacije puteva, veličine baze ili performansi routera, rezultirat će haosom u mreži;

Potrebno je stručno osoblje koje će brinuti o izgradnji i održavanju mreže; OSPF održava bazu koja treba dosta prostora u memoriji routera, a ni procesorski zahtjevi nisu

zanemarivi. Smanjivanje OSPF područja kako bi se ti zahtjevi smanjili nije uvijek jednostavno; Protokol zahtjeva hijerarhijsku organizaciju mreže, pa će migracija s nekog drugog usmjerivačkog

protokola na OSPF tražiti vrlo kvalitetno planiranje i reorganizaciju.

2.5.5 IS – IS

IS-IS (Intermediate System to Intermediate System) je mrežni protokol rutiranja. Osnovna uloga ovog protokola je računanje najkraće putanje za mrežni paket unutar autonomnog sistema, a ne između autonomnih sistema. Zbog ovoga, IS-IS je interni protokol rutiranja. Zasniva se na Dijkstrinom algoritmu.

16




Osmišljen je da se koristi u složenim mrežama koje se mogu dinamički razvijati. Iz tog razloga, autonomni sistem, tj. IS-IS mrežni domen, organizovan je hijerarhijski po zonama. To omogućava bolju kontrolu domena, manju tabelu ruta (mreža) i samim tim brže funkcionisanje rutera. IS-IS zone se mogu smatrati kao mali podskupovi autonomnog sistema. Pritom, zone su mrežni domeni u tehničkom, a ne administrativnom smislu, jer nisu rezultat polisa, već su jednostavno granica jedne grupe rutera.

IS-IS ruter može funkcionisati unutar jedne zone ili između više zona. Analogija se može pronaći u odnosu između IGP-EGP protokola rutiranja. Za razliku od OSPF rutera, IS-IS ruter pripada jednoj i samo jednoj zoni.

2.2.6 EGP

EGP (Exterior Gateway Protocol) je prvi inter-AS protokol namjenjen povezivanju AS-ova sa jednim središnjim AS-om. On pretpostavlja da središnji AS zna sam kako upućivati podatke drugim AS-ovima. EGP uzima u obzir samo dostupnost, a ne i brzinu i opterećenje veze. EGP postoji u svrhu prijenosa mrežno dokučivih informacija između susjednih vrata, po mogućnosti u različitim autonomnim sistemima. Protokol je baziran na periodičkom prozivanju koristeći Hello/I-heard you (I-H-U) razmjene poruka.

2.2.7 BGP

BGP (Border Gateway Protocol) je noviji protokol koji je nadogradnja EGP protokola. Podržava složenije topologije mreže od zvjezdaste kakvu održava EGP. BGP je interautonomni sistemski routing protokol, standard za razmjenu informacija između pružatelja internetskih usluga (ISP - Internet service provider), te između ISP-ova i većih korisnika. BGP je vrlo kompleksan, koji omogućava mrežnom administratoru detaljan utjecaj na tokove informacija. Korisničke mreže se priključuju na ISP-ove i koriste BGP za razmjenu ruta između korisnika i ISP-a. Kada se BGP protokol koristi između dva ili više autonomnih sistema onda ga još nazivamo i EBGP (External BGP), dok su oni unutar jednog AS-a poznati pod nazivom IBGP (Interior BGP). IBGP se koristi samo za koordinaciju i sinhronizaciju BGP informacija kroz autonomni sistem, ali ne kao klasični unutarnji usmjeravački protokol (jer je spor).

Slika 2.8 Usporedba IBGP i EBGP

17




Routeri koji podržavaju BGP obično su najjači i najskuplji uređaji u cijeloj mreži, a mogu sadržavati kompletne routing tablice cijelog Interneta (preko 100 000 ruta). BGP je upravo zbog toga spor i trom protokol, kako mrežni uređaji ne bi trpili velike kalkulacije ruta zbog kratkotrajnih ispada pojedinih lokalnih mreža.

Jako je puno kriterija koje BGP provjerava da bi odabrao najprihvatljiviju putanju za pakete. BGP koristi ove kriterije da bi odredio destinacijsku stazu:

ako je next hop nedostupan paket se odbacuje; preferira se najveći weight; ako je weight isti gleda se najveći local preference; ako su local preference isti, preferira se put koji ima početak(origin) na BGP pokretanju na ovom

ruteru; ako nikakva ruta nema origin, preferira se ruta koja ima najkraći AS_path; ako sve rute imaju isti AS_path,preferira se ruta koja ima nižu origin klasu; ako su origin klase iste, preferira se staza sa manjim MED atributom; ako staze imaju isti MED, preferiraju se vanjske nad unutarnjim; ako su staze i dalje iste,preferira se staza prema najbližem IGP susjedu; preferira se staza sa manjom IP adresom.

Dakle BGP najveću primjenu nalazi van oblasti IGP-ova, npr. unutar neke velike mreže koja je unutar sebe podijeljena na više segmenata, koji pak unutar sebe vrte neki od IGP protokola, te preko BGP-a razmjenjuju routing informacije.

18




3. NAPADI NA PROTOKOLE MREŽNOG NIVOA

U posljednje vrijeme vidljivo je kako pojam sigurnosne prijetnje predstavlja mnogo više nego nekad. Napadači mjesecima, pa čak i godinama „pripremaju teren“ skupljajući maksimalno širok spektar informacija o specifičnoj meti, testiraju svoj maliciozni softver u simuliranim uvjetima, pokušavaju pridobiti na svoju stranu osoblje blisko meti ili pak treniraju svoje vlastite špijune koji im mogu pomoći u svojem naumu.

Mrežni napadi koriste razne sigurnosne propuste u operacijskim sistemima i korisničkim programima. Nakon izvršenog napada preuzimaju potpunu kontrolu nad računarom. Takvi “ukradeni“ računari u žargonu se nazivaju zombiji. Prosječni korisnici ne brinu se previše oko napada, jer su pod dojmom da nisu zanimljivi potencijalnim napadačima. Međutim, to je upotpunosti krivo. Napadači obično imaju za cilj iskoristiti ukradeni računar (zombi) za slanje spama, distribuciju ilegalnog sadržaja i sličnih ilegalnih radnji. Također, za same troškove koji pri tome nastanu odgovara vlasnik računara. Ti troškovi su obično promet ostvaren Internet vezom, međutim isto tako korisnik se može naći u neugodnoj pravnoj situaciji ukoliko je njegov zombi računar iskorišten za napad na primjerice neki javni poslužitelj. Zadnjih desetak godina, mogu se vidjeti različiti primjeri napada koji su nagovijestili pojavu sofisticiranih sigurnosnih prijetnji.

Vrijeme kada se korisnicima Interneta moglo vjerovati je prošlo. Nažalost, uz tako velik broj korisnika svakodnevno priključenih na Internet, među njima se razotkriva sve veći broj zlonamjerno orijentiranih korisnika. Ti pojedinci kojima je u interesu onemogućavati normalno korištenje računala i Interneta, čine to različitim oblicima devijantnog ponašanja.

Na mrežnom sloju se javljaju sljedeći tipovi napada:

3.1 Denial of Service – DOS

Napadi uskraćivanja resursa (eng. DoS - Denial of Service) su aktivnosti poduzete od strane zlonamjernih korisnika sa ciljem onemogućavanja ispravnog funkcionisanja različitih računarskih i/ili mrežnih resursa čime određene usluge postaju nedostupne. Često korišten izraz je i DoS stanje, a odnosi se na vremenske trenutke nepravilnog rada ili potpune onemogućenosti funkcionisanja aplikacija i računarskih ili mrežnih usluga. Klasični napad temelji se na generisanju velike količine prometa na segmentu računarske mreže na kojoj se nalazi žrtva ili preopterećenjem računarskih resursa napadnutog računara.

Osnovne metode ovog napada su: poremećaj ili preopterećenje mrežnog ili računarskog sistema; poremećaj informacija poslanih od strane rutera; poremećaj fizičke ili dijela fizičke mrežne komponente;

Najčešći oblici DOS napada sastoje se od više napadača koji šalju ogromne količine prometa prema odredišnom računaru tj. žrtvi. Paketi koje šalje napadač sadrže lažne izvorišne adrese i konstantno se mijenjaju tako da mu je jako teško ući u trag. Kada govorimo o ovakvom tipu napada onda ga nazivamo ditribuirani DOS napad, jer započinje s više od jednog izvorišta. Obično su u pitanju računari koju su prethodno bili žrtva napada na kojem je ostavljen stražnji ulaz (eng. backdoor) kao poligon za slijedeći

19




napad.

Jedan od razloga za provođenje DoS napada je i prikrivanje nekih drugih zlonamjernih aktivnosti koje izvođači DoS napada paralelno izvode. Tako na primjer napadači mogu izvršiti DoS napad na računare koji prikupljaju log zapise ili detektuju neovlaštene aktivnosti. Da bi uzrokovali uvjete nedostupnih resursa, napadači mogu izvršiti različite oblike destruktivnih aktivnosti:

rušenjem pojedinih aplikacijskih servisa (HTTP, električna pošta, itd.), napadači onemogućavaju legitimne korisnike u pristupanju istima,

onemogućavanje pristupa pojedinim aplikacijskim servisima napadači mogu obaviti i postavljanjem izrazito velikog broja zahtjeva na ciljane servise čime poslužitelj nije u mogućnosti odgovoriti na sve upite ili su odgovori toliko spori pa se servis može proglasiti nefunkcionalnim,

napadima na komunikacijske uređaje napadači mogu ili onemogućiti komunikacijski link ili ga usporiti na granicu neupotrebljivosti,

neovlaštenom izmjenom konfiguracijskih podataka napadači uzrokuju neispravno ponašanje servisa ili računara (npr. neovlaštenom promjenom tabela usmjeravanja na usmjerivačima, napadači uzrokuju nepravilno usmjeravanje mrežnih paketa), itd…

Od iznimne važnosti je napomenuti da se DoS napadi mogu dogoditi i spontano (nenamjerno), iako su rijetki. Konkretno, specifikacija nekog protokola može biti korektno izvedena, ali se tek dugotrajnim funkcionisanjem istog primijeti da kod npr. povećanog broja zahtjeva za nekim resursom, sistem bez razloga biva opterećen duže nego je to potrebno. Rezultat je stanje onemogućenog korištenja resursa, ali nije uzrokovano osmišljenim napadom.

Napadi uskraćivanjem usluga najčešće se obavljaju od strane udaljenih napadača pa se globalno dijele na dvije skupine prema sloju OSI modela na kojeg su usmjereni. Na taj način moguće ih je podijeliti u dvije skupine:

napadi usmjereni na aplikacijski sloj i napadi usmjereni na mrežne resurse, odnosno mrežni sloj.

Cilj DoS napada na mrežnom sloju je onemogućavanje ispravnog funkcionisanja mrežnih usluga i komunikacijskih kanala. Navedeno je moguće postići na dva načina:

pretrpavajući komunikacijske kanale (eng. Flooding attacks ) i iskorištavanjem ranjivosti mrežnih usluga i protokola (eng. Vulnerability attacks ).

Napadi su uglavnom usmjereni na zauzeće komunikacijskog kanala i onemogućavanja uspostave veze pa su to napadi koji za cilj imaju pretrpavanje računarslih i mrežnih resursa. Drugi najčešći tip su napadi koji iskorištavaju ranjivosti u mrežnim uslugama.

Napadi pretrpavanjem komunikacijskog kanala izvode se slanjem velike količine podataka na mrežu što uzrokuje nemogućnost normalnog prenošenja legitimnih podataka. Slanje velike količine zahtjeva za uspostavom veze onemogućit će rad računarskim resursima i računar više neće biti u mogućnosti obrađivati legitimne zahtjeve niti uspostaviti vezu s legitimnim korisnikom. Pri tome napadači uobičajeno lažiraju izvorne IP adrese ili ignoriraju odgovore.

20




Najjednostavniji oblik napada, s obzirom na broj računara uključenih u napad, jest situacija u kojoj se napad izvodi s jednog računara, a odredište je također jedan računar. Efektivnije mogućnosti zasnovane su na korištenju više računara kao izvora napada, pri čemu jedan računar predstavlja žrtvu. Međutim, napadi iz više izvora na više ciljeva, kao ni napadi na više ciljeva iz jednog izvora, nisu rijetkost.

3.1.1 Napadi korištenjem posebno oblikovanih mrežnih paketa

Opis napada zasnovanih na posebnom oblikovanju mrežnih paketa pretpostavlja poznavanje važnijih mrežnih protokola i pojmova vezanih uz njih. Ovdje su pojašnjeni samo najznačajniji pojmovi.

TCP (eng. Transmission Control Protocol) označava protokol koji određuje način komuniciranja između računara. Protokol je zadužen za uspostavu, održavanje i prekid veze. Uspostavljanje veze korištenjem TCP protokola naziva se „Three-Way Handshake“, a odvija se postavljanjem odgovarajućih zastavica (eng. flag ) u mrežnim paketima. Uloga zastavica upravo je određivanje sadržaja i tipa paketa. Primjerice, zastavica SYN (eng. synchronize) koristi se kod uspostave veze, ACK (eng. acknowledge) se koristi kao potvrda za primljeni paket, a zastavica FIN (eng. finish ) se koristi za prekid uspostavljene veze.

Uspostava veze odvija se na način da klijent pošalje poslužitelju paket s postavljenom zastavicom SYN. Ukoliko poslužitelj može uspostaviti vezu s klijentom, poslužitelj mu vraća paket s postavljenim SYN i ACK zastavicama kao potvrdu o otvaranju veze s njegove strane. Ako pak nije u mogućnosti uspostaviti vezu, vraća ICMP paket ili paket s postavljenim RST (eng. reset) i ACK zastavicama. Konačno, kada klijent primi paket sa SYN/ACK zastavicama, odgovara paketom s postavljenom ACK zastavicom i razmjena podataka može početi. Uspostavljanje veze između klijenta i poslužitelja prikazano je na slici 3.1, a prikaz mrežnog prometa dat je na slici Slika 3.2.

Slika 3.1 „Three-Way Handshake“

21




Slika 3.2 Uspotava TCP konekcije sa www.etf.unsa.ba (linije 7,8 i 9)

3.1.1.1 Napadi pretrpavanja paketima s postavljenom SYN zastavicom

Primanjem paketa s postavljenom SYN zastavicom, poslužitelj je upozoren na stvaranje nove veze prema njemu. Pripremanje za prihvat nove veze obuhvata alokaciju memorijskog prostora za primanje i slanje podataka te za podatke vezane uz opis veze. Poslužitelj potom šale klijentu SYN/ACK paket i čeka na odgovor. Na taj način je poslužitelj spreman za primanje klijentskog ACK paketa i za razmjenu podataka. Ukoliko ne primi odgovor u nekom roku, poslužitelj ponovo šalje SYN/ACK paket smatrajući kako se prethodni izgubio na putu do odredišta. Upravo je ova činjenica omogućila napade pretrpavanja poslužitelja paketima s postavljenom SYN zastavicom i lažnom izvornom IP adresom. Ukoliko lažna adresa nije dodijeljena niti jednom računaru na Internetu, poslužitelj šalje SYN/ACK paket na nepostojeću adresu čekajući odgovor koji nikad neće dobit. Resursi napadnutog računara nisu beskonačni i nakon dovoljne količine takvih zahtjeva, poslužitelju je onemogućeno normalno funkcioniranje i odgovaranje na legitimne zahtjeve. Ukoliko je pak lažna izvorna adresa slučajno odabrana i to tako da postoji računar na Internetu kojem je dodijeljena, tada će taj računar poslati napadnutom poslužitelju paket s postavljenom RST zastavicom i na taj način dati mu do znanja da ono nije zatražilo uspostavu veze.

Ne postoji jednostavan način za pronalaženje izvora ovih napada jer im je izvorna adresa lažna. Odbrana se može temeljiti na detektovanju povećanog broja primljenih SYN paketa. U tom slučaju se stvaraju privremene datoteke na računaru unutar kojih se bilježe podaci o mogućim uspostavama veza, a datoteke se nazivaju SYN-kolačićima (eng. SYN-cookie). Ukoliko se primi odgovarajući ACK paket, alociraju se potrebni resursi za omogućavanje nove veze. Drugo rješenje je konfigurisanje vatrozida kao tzv. SYN-proxy poslužitelja. Tada vatrozid umjesto poslužitelja prima veze i tek kada je veza uspješno uspostavljena, vatrozid prosljeđuje zahtjeve poslužitelju simulirajući proces uspostave veze u tri koraka.

3.1.1.2 Napadi pretrpavanja otvorenim vezama

Ovaj napad je proširenje napada pretrpavanjem SYN paketima. Izvorna zamisao je ostvariti što veći broj uspostavljenih veza prema napadnutom sistemu, najčešće je riječ o web poslužiteljima, kako bi ih onemogućili u ispravnom funkcionisanju. Cilj ostvarivanja velikog broja uspješno otvorenih veza je iscrpljivanje ograničenog broja mrežnih priključaka (eng. socket) na napadnutom računaru. Odbrana se temelji na brojanju otvorenih veza i ograničavanju količine uspješno ostvarenih veza u sekundi. Drugi način za odbranu ne postoji, jer je količina mrežnog prometa generisana ovim napadima vrlo mala i veza se uspostavlja na potpuno ispravan način.

22

http://www.etf.unsa.ba/




3.1.1.3 Napadi pretrpavanja paketima s postavljenom ACK zastavicom

Iz navedene procedure uspostavljanja veze u tri koraka moguće je iskoristiti još jedan način napada, a to je generisanjem paketa s postavljenom ACK zastavicom. Napadnuti računar dodijelit će određeno procesorsko vrijeme obradi pristiglog paketa, kako bi na kraju ustanovio da se radi o paketu koji mu nije namijenjen, odnosno kojem nije prethodio SYN paket. Velika količina primljenih paketa onemogućava ispravno funkcionisanje računara.

3.1.1.4 Napadi pretrpavanja ICMP paketima (Ping poplava)

U slučaju kada velika količina ICMP paketa, tipa ECHO REQUEST, optereti poslužitelj zahtijevajući povratne odgovore, resursi napadnutog sistema se u određenom trenutku opterete u tolikoj mjeri da nisu u mogućnosti zadovoljiti pristigle legitimne mrežne pakete. Ukoliko se napadačev računar nalazi na sporijoj vezi nego je napadnuti računar, te ukoliko se napad izvede na pogrešan način, mogući ishod napada može biti pretrpavanje računara zlonamjernog korisnika velikim količinama ICMP odgovora. Jedno od mogućih rješenja nalazi se u ograničavanju broja ICMP paketa u jedinici vremena pri čemu se svi ostali odbacuju kada je prag pređen. Također, moguće je i u potpunosti zabraniti ICMP pakete na ulazu u mrežni segment. Ovakvi napadi često se izvršavaju na DNS poslužitelje kako bi onemogućili legitimne korisnike u pristupu željenim odredištima preko naziva tih odredišta (web, ftp, …). Ovo je jednostavan napad, jer mnogi ping programi podržavaju ovu operaciju, a haker ne treba puno znanja.

3.1.1.5 Napadi pretrpavanja UDP paketima

UDP (eng. User Datagram Protocol) je izvorno zamišljen i implementiran kao protokol koji ne zahtijeva prethodnu uspostavu veze između dviju tačke Interneta kako bi mogao prenositi podatke. Stoga ovakvim napadima nije moguće jednostavno izvoditi pretrpavanje paketima koje bi onemogućilo stabilan rad sistema. Međutim, usmjeravanje paketa na nepostojeću (slučajno generiranu) pristupnu tačku (port), uzrokuje od strane odredišnog sistema provjeru postoji li neka usluga koja je otvorila taj port. Ukoliko ne postoji, napadnuti sistem odgovara ICMP „Destination Unreachable“ paketom kako ne može dosegnuti traženi port. Paket odgovora usmjeren je na adresu pročitanu iz zahtjeva. Ukoliko je ona lažna, paket će nakon nekog vremena biti odbačen. Dovoljno velika količina ovakvih paketa ne samo da može onemogućiti napadnuti računar u izvršavanju uobičajenih funkcija, nego je moguća i situacija u kojoj će se i količina prometa mrežom drastično povećati te će se otežati legitimno prometovanje mrežom.

23




Slika 3.3 Napad pretrpavanja UDP paketima

3.1.1.6 Smurf napadi

Smurf napad je jedan od DoS napada koji je svoje ime dobio po aplikaciji koja izvršava ovaj tip napada. Riječ je o stvaranju ICMP ECHO REQUEST paketa s lažnom izvornom adresom (koja je zapravo adresa “žrtve” ), koji se šalju na sve računare unutar mrežnog segmenta, koristeći tzv. broadcast adresu, da bi generisali ogroman broj ICMP ECHO REPLAY paketa . Razlog korištenja navedene adrese kao ciljne jest što takav paket biva isporučen svim računarima u mreži, a to pridonosi pojačanju intenziteta napada, odnosno količine paketa koji kolaju mrežom pa se ti napadi često nazivaju napadima pojačavanja (eng. amplification attacks). Ishod je velika količina ICMP ECHO REPLAY paketa usmjerenih na računar „žrtve“ i velika količina prometa na mrežnom segmentu. Tada je “žrtva”, tj. uređaj kojeg napadač napada, podvrgnuta zagušenju koje može učiniti mrežu potpuno neupotrebljivom.

Odbrana od Smurf napada se sastoji od pravilnog konfigurisanja usmjerivača na mreži: onemogućavanjem broadcast usmjeravanja ili podešavanjem vatrozida da ne propušta ECHO REQUEST pakete. Izbjegavanje primanja velike količine paket odgovora lako se može izvesti nepropuštanjem ECHO REPLY paketa ili ograničavanjem njihovog broja u odnosu na ukupan broj paketa koji prometuju mrežom po jedinici vremena. Odabrani računar koji je dio mreže i koji je naveden kao izvor ICMP zahtjeva ne može utjecati ni na koji način u sprječavanju ovih napada. Na stranicama h t t p :/ / ww w . po w er t ec h . n o / s mu r f / moguće je izvršiti provjeru ranjivosti na ovaj tip napada.

Napadači su razvili automatizirane alate koji mogu činiti ovakve vrste napada na više mreža istovremeno i tako natjerati sve uređaje iz svih napadnutih mreža da šalju svoje odgovore samo jednom uređaju kojeg će oni hakovati, tj. “žrtvi”.

24




Slika 3.4 Smurf napad

3.1.1.7 Fraggle napadi

Ideja Fraggle napada preuzeta je od Smurf napada, ali za razliku od Smurf napada koji koriste ICMP pakete, Fraggle koristi UDP pakete. UDP paketi se pri tome šalju na broadcast adresu mreže. Uklanjanje ovog napada je otežano jer korištenje UDP protokola često nije moguće zabraniti kao što je slučaj s ICMP protokolom. UDP se često koristi kod različitih aplikacija koje ne traže potvrdu o prjenosu već prvenstveno traže brz prijenos. Stoga nije moguće efikasno koristiti niti metode obrane zasnovane na ograničavanju brzine propuštanja UDP mrežnih paketa.

3.1.1.8 Targa3 napadi

Targa3 napadi se zasnivaju na oblikovanju neispravnih paketa bilo kojeg protokola. Izvorno su zamišljeni za izvođenje napada na računare s Windows operativnim sistemima, ali su se kasnije počeli primjenjivati i za ostale operativne sisteme. Ukoliko posebno oblikovani paket stigne na odredište, operativni sistem alocira potrebnu količinu memorije i ostalih resursa za njegovu obradu, a u konačnici je posao uzaludan jer paket nikad i nije bio ispravan. Danas vrlo malo ovakvih paketa uopće dosegne odredište jer bivaju odbačeni već pri odlasku od ISP-a (eng. Internet Service Provider).

25




3.1.1.9 Napadi fragmentacijom paketa

Svaka poruka koju je potrebno prenijeti komunikacijskim kanalima Interneta, ukoliko prelazi podrazumijevanu maksimalnu veličinu (MTU), dijeli se u manje pakete. Ti manji paketi ne moraju doći na odredište pravilnim redoslijedom, jer je to dozvoljeno od strane definicije protokola. Napadi zasnovani na fragmentaciji paketa koriste upravo tu osobinu razdjeljivanja poruke u više paketa pri čemu paketi ne moraju doći pravilnim redoslijedom. Da di se sakupljanje fragmenata na odredištu lakše odvijalo, nekoliko informacija mora biti prisutno u header-u fragmeta. Te informacije su: fragment ID, fragment offset, dužina payload i pokazatelj da li je dati fragment zadnji fragment u lancu. Treba ukazati na činjenicu da samo prvi fragment fragmentiranog paketa ima protokol header.

Između ostalih, jedan od poznatijih napada zasnovan na fragmentaciji napada naziva se Rose napadom. Ovim napadom se stvaraju samo prvi i zadnji paket. Ranjivi sistem očekuje i ostale pakete pa rezerviše resurse za obradu i postavlja se u stanje čekanja. Ukoliko su svi resursi u tom stanju, niti jedan legitiman zahtjev neće biti obrađen. Ciljni port pri tome uopće nije važan jer se prikupljanje paketa radi na nižoj razini od one na kojoj se radi interpretacija njegovog sadržaja. Slično vrijedi za izvornu IP adresu čijim se lažiranjem može samo dodatno otežati detektovanje izvora napada.

New Dawn napad se zasniva na prethodno opisanom Rose napadu, ali radi se o nešto složenijoj izvedbi. Fragmenti se generišu počevši od prvog do zadnjeg, ali uz manji broj propuštenih dijelova poruke. Računar koji prima takav nepotpuni niz paketa alocira dovoljno mjesta za čitavu poruku, ali je nikada ne primi u potpunosti. Ishod napada je povećano korištenje resursa sistema na štetu legitimnih zadataka koje sistem obavlja.

Starije verzije operativnih sistema imale su prilično loše implementacije sklapanja primljenih paketa u izvornu poruku pa se često ovim napadima moglo uzrokovati prestanak rada sistema ili ponovno pokretanje istog (Teardrop napad). Kod ovog napada, napadač koristi program Teardrop da šalje IP fragmente, koji se ne mogu adekvatno reasemblirati, manipuliranjem offset vrijednosti paketa što može izazvati ponovno pokretanje ili obustavu sistema žrtve. Vrijednosti fragment offseta se postavljaju na toliko malu vrijednost tako da umjesto da se fragment zakači na prethodni, IP prepisuje podatke i možda dio headera paketa u prethodni fragment. Koristeći ovu tehniku napadač može prenositi pogrešne pakete koji mogu biti detektovani pri dolasku gdje nisu podijeljeni u fragmente. Ova tehnika je pokazana ispod:

hacker.net 22 > target.org 33: UDP (frag 123:64@0++)hacker.net > target.org(frag 123:20@24)

Hakerov uređaj šalje dva UDP paketa nekom uređaju. Fragment ID je 123 u oba slučaja. Prvi paket kaže: „Ovaj paket sadrži 64 bita, počevši sa offsetom 0.“.Drugi paket kaže: „Ovaj paket sadrži 24 bita, počevši sa offsetom 24.“.

Kako se ponovno sakupljanje fragmenata odvija po redu , drugi UDP paket prepisuje bite 21-45 u originalni paket. Ova tehnika se koristi za kamufliranje potpisa u paketima koji bi inače bili označeni statičnim vatrozidima i starijim sistemima za detekciju upada koji zapravo nadgledaju pakete pojedinačno, ali ne čitav fragmentirani lanac. Ovim napadom ugroženi su Windows 3.1.x, Windows 95 i Windows NT operativni sistemi, kao i verzije Linux operativnog sistema s jezgrom (eng. kernel) starijom od 2.0.32 i 2.1.63.

26




Moguće rješenje za suzbijanje napada zasnovanih na fragmentaciji paketa, nalazi se u ograničavanju vremena tokom kojeg se čeka dok nepotpuni niz paketa bude odbačen te u ograničavanju broja ponovljenih zahtjeva za slanjem neprimljenih paketa. Novije implementacije sastavljanja poruke iz paketa ne rezerviraju unaprijed memoriju nego pridošle pakete spremaju u vezanu listu sve dok ne pristignu svi koji čine poruku.

Ostale varijante ovih napada su SYNdrop, Boink, Nestea Boink , TearDrop2 i New Tear.

3.1.1.10 Ping of Death napad (Ping smrti)

Jedan od poznatijih DoS napada je Ping o f Death. Ovaj napad se temelji na nemogućnosti obrade ping paketa veličine veće od najveće dopuštene veličine paketa unutar IPv4 definicije. Napadač šalje ICMP ECHO REQUEST paket, koji je mnogo veći od maximalne veličine IP paketa (MTU), prema žrtvi. Pretpostavljena veličina ICMP paketa je 56 okteta. Starije verzije operativnih sistema, poput Mac OS i Windows 95 nisu bile u stanju obraditi ICMP ECHO pakete veće od 1024 okteta. Prijem ovakvih paketa je kod Windows 95 operativnih sistema uzrokovao pojavu tzv. Blue Screen of Death (BSoD), plavog ekrana s prijavom nemogućnosti nastavka rada.

Jedan od načina obrane od ovih napada je zasnovan na nedozvoljavanju prolaska ICMP ECHO (tip 8) paketa na vatrozidu. Međutim, kada je to postao učestao način obrade, napadači su se dosjetili slanju ECHO REPLAY paketa te su na taj način zaobilazili odbranu i uspješno pretrpavali računare nepotrebnim i beskorisnim podacima. Ovaj napad je uticao na većinu sistema uključujući Linux, Unix, Mac, Windows, printere i routere. Danas je jedino od historijske važnosti, jer je greška u implementaciji davno sanirana.

3.1.1.11 Land napadi

Ukoliko napadač pošalje paket s istom odredišnom i izvornom IP adresom radi se o Land napadu. Operativni sistemi koji bi primili ovakav paket, najčešće su prestajali s radom i automatski bi se resetovali. Također, moguće je i uzrokovanje kontinuirane međusobne razmjene paketa između dva odredišta. Odbrana od ovih napada nije jednostavna kao što bi se u prvi mah zaključilo. Obrana se sastoji od pravilne konfiguracije vatrozida koja sprečava dolazak ovakvog paketa do sistema kojem je namijenjen.

3.1.2 Raspodijeljeni napadi

Raspodijeljeni napadi su oni napadi koji su zasnovani na korištenju više računara kao izvora napada, pri čemu jedan računar predstavlja žrtvu. Napadač pri tome može na određeni način preuzeti kontrolu nad posrednim računarima, ali to nije nužno. Detaljni opis raspoloživ je u nastavku ovog poglavlja.

3.1.2.1 DDoS napadi

DDoS (eng. Distributed DoS) su napadi izvršeni od strane raspodijeljenih napadača, odnosno

27




većeg broja napadača. Najčešće su to računari zvani zombijima (eng. zombie) čiji vlasnici nisu upoznati s činjenicom da njihov računar generiše DoS napade na neki računar ili računare na Internetu. Na ovaj način je moguće stvarati velike količine prometa na napadnutim mrežnim segmentima čiji dio jest i napadnuti računar ili mrežni uređaj. Cijela ideja je prikazana na sljedećoj slici.

Slika 3.5 Zombi računari kontrolisani od strane napadačaRaspodijeljeni napadi nisu namijenjeni aplikacijskom sloju iz jednostavnog razloga što je za

napade na aplikacije dovoljno iskoristiti ranjivosti istih, a za to nije potrebna veća količina mrežnog prometa. Ideja ostvarena ovim napadima je ispunjavanje komunikacijskih kanala beskorisnim prometom koji onemogućava prometovanje legitimnih mrežnih paketa, te iskorištavanje velikih količina resursa poslužitelja, računara korisnika i dugih mrežnih uređaja. Navedeno se realizira sticanjem kontrole nad računarima korisnika Interneta kako bi ih se iskoristilo u svrhu stvaranja mrežnog prometa.

Neki od poznatih alata korišteni za izvršavanje DDoS napada su MyDoom, Sub7Server, Trin00, Stacheldraht i TFN (Tribe flood network). Na narednoj slici prikazan je načelan rad napada uz korištenje Sub7Server alata na zombi računarima pri korištenju IRC poslužitelja kao veza između napadača i zlonamjernog alata.

28




Slika 3.6 Korištenje IRC poslužitelja kao veze između napadača i izvođača napada (zombi računara)

Slika 3.7 prikazuje odnose količina prometa generisanih DDoS napadima te primjenu na napadnuti računar, odnosno usmjerivač kojim je napadnuti računar povezan na Internet. Na slici je debljina strelica između pojedinih računara i usmjerivača proporcionalna količini mrežnog prometa između njih.

29




Slika 3.7 Količine mrežnog prometa na pojedinim segmentima

Iz prethodne slike je očito kako velike količine prometa s Interneta dolaze do usmjerivača mreže kojoj pripada žrtva. Svi oni paketi koji ne budu bili proslijeđeni u bilo kojem smjeru, biti će odbačeni. U navedeno su uključeni i legitimni paketi što dovodi napadnutu mrežu u stanje neispravnog funkcionisanja.

SYN, ACK i Fragment napadi, opisani u prethodnim poglavljima, izvode se korištenjem raspodijeljenih izvora te na taj način stvaraju mnogo veće količine prometa nego bi to mogao samo jedan napadač čak i uz veliku brzinu veze prema Internetu.

Napadi mogu uključivati i slanje poruka elektroničke pošte na jednu ili više adresa (navedeno kod napada na aplikacijskom sloju), a tada im najčešće nije potrebna kontrola napadača. Primjer su brojni crvi (eng. worm) koji se šire različitim načinima i šalju poruke elektroničke pošte nekom specifičnom korisniku ili češće svim korisnicima nađenim pretraživanjem primljenih poruka i adresara. Na ovaj način ne samo da je generisan neželjen skup elektroničkih poruka nego je i povećan promet Internetom zbog potrebe za isporukom istih.

Problemu raspodijeljenih napada mogli bi ISP uređaji stati na kraj ukoliko bi vodili računa o prometu koga stvaraju njihovi korisnici. Nažalost, najčešće oni to ne čine. Ovisno o vrsti napada mogu se stvoriti filteri na usmjerivačima koji povezuju napadnuti mrežni segment i Internet. Zadatak tih filtera bio bi odbacivanje neželjenog prometa koji mu pristiže s Interneta i namijenjen je nekom

30




računaru na njegovoj mreži. Pravilna konfiguracija vatrozida, korištenje antivirusnih aplikacija na korisničkim računarima (potencijalnim zombijima) i izbjegavanje javnog objavljivanja adrese elektroničke pošte, koraci su koji mogu spriječiti ili barem umanjiti ishode napada.

Na napad se može početi sumnjati već pri prvim pojavama usporenja mrežnog prometa, nedostupnosti neke web stranice, nemogućnosti pristupa bilo kojoj web stranici i slično.

3.1.2.1 DRDoS napadi

DRDoS (eng. Distributed Reflection DoS) napadi su vrlo slični DDoS napadima prema djelovanju na kranju žrtvu i količinu generisanog prometa. Razlika ipak postoji i vrlo je važna. Na slici 3.8 je grafički prikazana šema ovih napada u slučaju jednog napadača.

Slika 3.8 Shema izvršavanja DRDoS napada

DRDoS napadi se zasnivaju na uspostavi veze u tri koraka. Napadač (ili skupina napadača) stvara TCP paket s postavljenom SYN zastavicom kako bi inicirao vezu prema nekom postojećem računaru na Internetu. Međutim, paket je tako oblikovan da je na mjesto izvorne adrese postavljena IP adresa žrtve. SYN paket dospijeva na odredište, a ono odgovara na adresu iz izvorišnog polja. Ukoliko

31




poslužitelj može uspostaviti vezu, paket s postavljenim SYN i ACK zastavicama biva poslan prema žrtvi. Jednako tako moguće je za slanje ICMP paketa koristiti potpuno istu logiku. Tada će ECHO REPLAY paketi zatrpavati žrtvu. Razlog uspjeha ovih napada se nalazi u tome što se ne generiše veća količina podataka na pojedinim posrednim računarima od kojih se odbijaju paketi pa nema nikakve sumnje u odvijanje napada.

Privremeno rješenje u slučaju napada bila bi izmjena IP adrese žrtve ukoliko se radi o poslužitelju i promjeni odgovarajućih zapisa u DNS poslužiteljima. Moguće je i postaviti filtriranje na odgovarajućim usmjerivačima ukoliko dolazni paketi imaju neko zajedničko svojstvo. Ukoliko je napad privremeni i jednokratni, isplati se i povećati resurse i odolijevati napadu dok ne prestane iako to nije optimalno rješenje. Najbolja opcija je pripremiti se za napade unaprijed ukoliko se radi o važnoj usluzi koja mora biti neprekidno dostupna, rezervirati rang IP adresa kako bi se relativno brzo nakon detektovanja napada moglo preći na korištenje novih adresa i sl.

3.2 Usmjerivački (RIP) napadi

RIP prokol nema izgrađenu autentikaciju i informacije koje se nalaze u RIP paketu se često koriste bez vrerifikacije istih. Napadač može krivotvoriti RIP paket, tvrdeći da njegov host „X“ ima najbrži put iz mreže. Svi paketi koji se šalju van te mreže, će biti preusmjereni kroz „X“, gdje se mogu modificirati ili ispitivati. Napadač također može iskoristiti RIP efikasnim utjelovljenjem hostova, uzrokujuću da će sav saobraćaj koji se pošalje na te hostove, ustvari biti poslan na napadačev uređaj, umjesto na odredišni uređaj.

3.3 IP Spoofing ( “IP podvala“ )

Pojam spoofinga označava bilo kakvu pojavu u kojoj se pokušava prevara korisnika. IP spoofing je pokušaj neautoriziranog entiteta da dobije autoriziran pristup sistemu pretvarajući se da je autoriziran korisnik. IP Spoofing se ubraja u jedan od najraširenijih oblika „online kamuflaže“. Termin se odnosi i na krivotvorenje zaglavlja, ubacivanje lažnog sadržaja u e-mail ili netnews zaglavlja. U akademskim krugovima ideja IP spoofinga razmatrana je još u 80-im godinama prošlog stoljeća, a širenjem interneta i njegove primjene, IP spoofing je poprimio značajne razmjere.

Napadač koji je lociran na Internetu ili privatnoj mreži, predstavlja se kao povjerljivi, legitimni korisnik neke druge mreže. Ovo je moguće ukoliko napadač stvara IP pakete sa lažnom izvorišnom IP adresom, te šalje te pakete prema ciljanoj mreži. Naime, u zaglavlju svakog paketa se nalazi njegova izvorišna adresa i obično je riječ o adresi sa koje je IP paket i poslan, dok je odredišna adresa, adresa „žrtve“. Napadač može krivotovoriti zagavlje, tako što za izvorišnu adresu stavi adresu nekog drugog računara koji je član ste mreže kao i žrtva i time stvoriti dojam da je paket poslan sa drugog računara (Slika 3.9).

32




Slika 3.9 IP spoofingVažno je primijetiti da je za lažnu adresu računara izvan sistema postavljena izvorišna adresa

200.1.1.2, a koja je ispravna adresa od povjerljivog, legitimnog računara sistema. Kada paketi stignu do usmjerivača (eng. router), usmjerivač će proslijediti pakete na odredište misleći da paketi stižu od povjerljivog računara. Naravno, sve ovo podrazumijeva da na usmerivaču nije postavljeno filtriranje prometa prema izvorišnim adresama.

Postoji nekoliko tipova napada koji uspješno koriste IP spoofing. Iako su neki već zastarjeli, drugi još uvijek predstavljaju prijetnju za sadašnje sigurnosne postupke.

3.3.1 Spoofing na viđeno (non-blind)

Ovaj napad se odvija kad je napadač na istoj strani podmreže (subnet) kao i žrtva. Seq (Sequence Number – slijedni broj) i Ack (Acknowldgement Number – potvrdni broj) brojevi mogu se „njuškati“, pri tome eleminirajući potencijalne poteškoće koje se javljaju za njihovo tačno izračunavanje. Otimanje sesije (period razmjene podataka) je najveća prijetnja ovog tipa spoofing-a. Radi se na taj način da se pokvari prenos podataka već uspostavljene veze te ponovo uspostavi veza bazirana na tačnim Seq i Ack brojevima sa stranom koja napada. Pomoću ove tehnike, napadač je u stanju zaobići bilo koju mjeru utvrđivanja vjerodostojnosti koje se koriste pri uspostavi veze.

3.3.2 Spoofing na neviđeno (blind)

Ovo je sofisticiraniji napad jer su nedostupni Seq i Ack brojevi. Kako bi se to izbjeglo, pošalje se nekoliko paketa s namjerom prikupljanja Seq brojeva. Prije su se koristile osnovne tehnike za generisanje Seq brojeva. Bilo je jednostavno otkriti formulu za generisanje ako su se samo posmatrali paketi i TCP veze. Danas većina operativnih sistema ima implementirano nasumično generisanje Seq brojeva pa ih je teško predvidjeti. Prije nekoliko godina mnogo je uređaja koristilo tzv. Rlogin - autorizaciju na središnjem računaru (host-based authentication service). Napadom su se dodavali potrebni podaci u sistem (npr. novi korisnički račun) naslijepo, omogucavajući potpuni pristup napadaču koji se pretvarao da je autorizirani korisnik.

33




3.3.3 Čovjek u sredini (Man In The Middle attack, MITM)

U ovim napadima, zlonamjerna strana presreće zakonitu komunikaciju izmedu dvije prijateljske strane. Upadač tada kontolira protok podataka i ima mogućnost odstraniti ili izmijeniti informacije koje šalju originalni učesnici, a bez ikakvog znanja pošiljaoca ili primaoca kojima je informacija namjenjena. U tom slučaju, napadač može lahko prevariti žrtvu da mu otkrije povjerljive informacije.

3.3.4 Smurf IP DoS

Najpoznatiji računarski napad ove tehnike napada jest tzv. Smurf IP DoS. Napad se sastoji od dvije osnovne komponente, krivotvorenje paketa ICMP ECHO REQUEST i usmjeravanje paketa na IP broadcast adresu. ICMP najčešće je korišten za utvrđivanje dostupnosti računara na mreži, na način da se pošalje ICMP ECHO REQUEST te računar, nakon što primi zahtjev, uzvraća ICMP ECHO REPLY poruku. Najčešća implementacija ovog procesa jest PING komanda koja je sadržana u većini operativnih sistema i mrežnih programskih paketa. Kod računarskih mreža zasnovanih na IP protokolu, paketi mogu biti usmjereni na pojedinačnu IP adresu ili na IP broadcast adresu, tj. na sva dostupna računalaunutar mreže. Sljedećom slikom prikazan je tok napada, te su opisani pojedini koraci napada.

Slika 3.10 Smurf IP DoS

1. Napadač upućuje broadcast PING na privatnu mrežu koristeći lažiranu IP adresu ciljanog računara.

2. Broadcast PING na sve računare privatne mreže.3. Svaki pojedini računar salje ICMP ECHO REPLAY na ciljani računar.4. Ciljani računar zasut je PING odgovrima.

Zaštita računarskog sistema od ove vrste napada je jednostavna, a sastoji se od konfiguracije usmjerivača (eng. router) na način da usmjereni IP broadcast bude onemogućen.

34




IP spoofing-om se čestalo koriste napadači koji žele steći neovlašteni pristup nad mrežnom infrastrukturom pokušavajući zavarati sisteme za autentikaciju koji se temelje na IP adresama. Ovaj način napada je prilično složen i obično ga je nemoguće izvesti sa računara na kojime se nalazi instaliran operativni sistem Microsoft Windows.

3.4 Packet Sniffing ( “Njuškanje paketa“ )

Iz razloga što većina mreža raspoređuju pakete u vidu čistog teksta, “njuškalo” paketa može omogućiti svom korisniku značajne i obično osjetljive informacije, kao što su korisnikov username ili password. Njuškalo paketa može napadaču obezbijediti tražene informacije iz baze podataka, kao i informacije o kosničkom accountu i passwordu, koje su potrebne za pristup bazi podataka. Ovo uzrokuje velike probleme vezane za sigurnost i privatnost informacija, a predstavlja i jedan od alata za ozbiljne kriminalne aktivnosti.

35




ZAKLJUČAK (Za napade)

Kao za većinu sigurnosnih problema u mrežama, nema jednostavnog rješenja za ove probleme, ali ipak postoje tehnologije i rješenja koja umanjuju gore navedene sigurnosne probleme i koje omogućavaju praćenje mreže u cilju smanjivanja oštećenja mreže ako se napad desi.

Problemi kao što su Ping Flood (Ping poplava) mogu biti efikasno reducirani razvijanjem firewall-a u kritičnim lokacijama u mreži, da bi se filtrirao neželjeni saobraćaj sa sumnjivih destinacija. Korištenjem IPsec VPN u mrežnom sloju i korštenjem sesija, kao i autentifikacije korisnika ili hosta i enkripcije podataka na podatkovnom sloju, rizik za IP Spoofing i Packet Sniffing je značajno smanjen.

IPv6 u kombinaciji sa IPsec omogućava bolje sigurnosne mehanizme za komunikaciju na mrežnom sloju i višim slojevima.

36




LITERATURA

[1]

[2]

[3]

[4]

[5]

[6]

[7]

37

napadi na komunikacijske protokole mrežnog sloja_moj

Documents