spoofing امنیت در شبکه های کامپوتری ( دکتر بهروز ترک لادانی...
Post on 16-Jan-2016
247 Views
Preview:
TRANSCRIPT
Spoofing
بهروز ) دکتر کامپوتری های شبکه در امنیتالدانی (1386ترک
مرتضایی فهیمه
به نام خدا
به حمالتی اطالق می شود که فرد یا مرکزی •خود را به جای افراد یا مراکز قابل اطمینان معرفی نموده و از این طریق سعی در ایجاد ارتباط با اهداف مورد نظر در جهت رسیدن به اطالعات و یا منابع دلخواه خواهد داشت.
بهروز ) دکتر کامپوتری های شبکه در امنیتالدانی (1386ترک
• IP Spoofing• ARP Spoofing• DNS Spoofing• Email Spoofing• Web Spoofing
بهروز ) دکتر کامپوتری های شبکه در امنیتالدانی (1386ترک
IP Spoofing
تکنیکی است برای نفوذ غیر مجاز به • کامپیوترها به صورتی که نفوذگر بسته ای را با
IP کامپیوتر مورد اعتماد هدف به هدف میفرستد.
بهروز ) دکتر کامپوتری های شبکه در امنیتالدانی (1386ترک
امنیت در شبکه های کامپوتری )دکتر بهروز (1386ترک الدانی
sender ip spoofed packet
victim
partner
dst: victim
src: partner
Oh, my partner sent me a packet. I’ll process this.
:مراحل کار
کامپیوتر مورد IP هدف وIPبدست آوردن •اعتماد آن
•Sniff اطالعات مبادله شده بین این دو SYN Attackقطع ارتباط ان ها از طریق •Sequence Numberحدس •IPتغییر در سرایند بسته •
بهروز ) دکتر کامپوتری های شبکه در امنیتالدانی (1386ترک
:IP Spoofingدالیل استفاده از
نفوذگربا آدرس اشتباه امکان تعقیب و کشف •ماشینش را از طرف مقابل می گیرد. چرا که بسته هایی که از طرف ماشین او ارسال می
شود آدرس مبدأی دارند که متعلق به یک ماشین بیگناه یا موهوم در شبکه است .
از طریق آدرس دهی دروغین نفوذگر گاهی • خود از میان فیلتر IPموفق به عبور بسته های
IPیا دیواره آتش یک سیستم که به آدرس حساسیت دارند خواهد شد.
بهروز ) دکتر کامپوتری های شبکه در امنیتالدانی (1386ترک
ARP Spoofing:
هم گفته Arp Spoofing ، Arp cache poisoning به • محتویات جدول Spoofمی شود و روشی برای
Arp یک کامپیوتر remote .روی شبکه است
Arp Responseدر این حمله نفوذگر یک پیغام • خود برای MAC مورد نظر و IPجعلی با آدرس
میزبان های هدف ارسال می کند و این باعث میشود کامپیوتر های هدف اطالعات خود را به
جای فرستادن به مقصد مورد نظر برای نفوذگر ارسال کنند.
بهروز ) دکتر کامپوتری های شبکه در امنیتالدانی (1386ترک
DNS ID Spoofing
بهروز ) دکتر کامپوتری های شبکه در امنیتالدانی (1386ترک
کاربر را استراقع سمع نموده و DNSنفوذ گر در خواست یک بسته جعلی به عنوان جواب در خواست مطرح شده
برای او ارسال می کند
DNS ID Spoofing
بهروز ) دکتر کامپوتری های شبکه در امنیتالدانی (1386ترک
DNS cache Poisonning
را که در DNS cacheنفوذ گر سعی می کند •طرف کاربر قرار گرفته است آلوده به
اطالعات غلط کند.
بهروز ) دکتر کامپوتری های شبکه در امنیتالدانی (1386ترک
Basic DNS
• Client queries local nameserver• Local nameserver queries root nameserver for
authoritative nameservers for some domain• Local nameserver queries authoritative
nameserver• Returns result to client
DNS Queries
• Recursive query example
requesting host
gaia.cs.umass.edu
root DNS server
local DNS serverNs.ui.ac.ir
1
2
45
6
authoritative DNS serverdns.cs.umass.edu
7
8
TLD DNS server
3
DNS Queries
• Iterative query example
requesting host
gaia.cs.umass.edu
root DNS server
local DNS serverns.ui.ac.ir
1
23
4
5
6
authoritative DNS serverdns.cs.umass.edu
78
TLD DNS server
Problem
• DNS request sends transaction Id• DNS will accepts any reply containing
transaction and assuming remote IP and TCP/UDP ports match
• Transaction Ids are only 16-bits
پارادکس روز تولد
چقدر است به نحوي كه در يك kحداقل مقدار • نفري احتمال اينكه دو نفر در يك روز kگروه
باشد؟0.5به دنيا آمده باشند بيش از
پارادکس روز تولد
پارادکس روز تولد
افتن دو نفر که در ي نفر، احتمال 23ان يدر م•باشد. ي% م50ش از يک روز متولد شده اند بي
پارادکس روز تولد
چقدر است به نحوي كه با k تعميم مسئله: حداقل • عنصر داشته باشيم k يك تكرار در 0.5احتمال بيش از
بتواند n تا 1به نحوي كه هر عنصر مقاديري در بازة اختيار كند؟
با تعميم حل قبلي مي توان به دست آورد كه:•k=1.18 * n0.5 = n0.5
n= 365 k=23
Birthday Attack
• BIND sends multiple queries for the same domain name
• Possible to flood BIND with replies using randomly generated transaction Ids
• If you guess correctly, then BIND will accept your reply
• ~50% with 300 packets, • ~100% with 700 packets
Birthday Attack
TCP/UDP port
• BIND reused same source TCP/UDP port• Made it easy for attacker to “guess” the
destination TCP/UDP port for the false reply• Newer versions randomize source ports
Birthday Attack
Why DNS Cache Poisoning?
• Redirect traffic• MITM attacks
Defenses
• Upgrade to BIND 9.x• Split-split DNS
– Internal DNS performs recursive queries for users, and cannot be accessed from outside
– External DNS does not do recursive queries– Makes it harder for attacker to guess what
transaction Ids your external DNS will use
Defenses
E mail spoofing:
پس�ت ارس�ال ب�ه اق�دام گ�ر نف�وذ حمل�ه این در از ط�رف دیگ�ران می ی�ا ن�ام جعلی ب�ا الک�ترونیکی
کند .متف�اوتی emil spoofing عم�ل ه�ای ش�یوه ب�ه
ص�ورت می گ�یرد ولی نت�ایج مش�ابهی را ب�ه ب�ار می آورد:
نظ�ر می ب�ه ک�ه کن�د دری�افت می را ایمیلی کاربر رس�د از ی�ک منب�ع معت�بر رس�یده در ح�الی ک�ه از ی�ک
منبع جعلی رسیده است .Email spoofing را ک�اربر ک�ه کن�د می تالش غالب�ا
اطالع�ات ک�ردن وارد ی�ا تخری�بی احک�ام ب�ه وادار حس�اس )مانن�د کلم�ه عب�ور ی�ا ش�ماره ک�ارت اعتب�اری
( خود بکند.
های جعل شده که می توانند در امنیت سایت شما را مثال هایی از ایمیل
تحت تاثیرقرار دهند :
ایمیلی ک�ه ادع�ا می کن�د ازط�رف م�دیر سیس�تم شماس�ت و از •تغی�یر دهی�د وگرن�ه را ش�ما می خواه�د ک�ه کلم�ه عب�ور خودت�ان
حساب کاربری شما را معلق می کند. ط�رف • از اختی�اراتی دارای کن�د می ادع�ا ک�ه شخص�ی یا
موسس�ات م�الی ی�ا حق�وقی شماس�ت و از ش�ما می خواه�د ک�ه کنی�د ارس�ال ب�رای وی را ی�ا اطالع�ات حی�اتی خ�ود کلم�ه عب�ور
و....
بهروز ) دکتر کامپوتری های شبکه در امنیتالدانی (1386ترک
که SMTPامکان پذیر است چرا که پرتکل spoofعمل •پرکاربرد ترین پرتکل ارسال ایمیل است عمل احراز
.را انجام نمی دهد1 اصالت کاربر
______________________________________1 .authentication
بهروز ) دکتر کامپوتری های شبکه در امنیتالدانی (1386ترک
The Entire E-mail SystemThe Entire E-mail System
SMTP
• Simple Mail Transfer Protocol is standard application protocol for delivery of mail from source to destination
• Built on top of TCP: provides reliable delivery of data
• SMTP does not normally use intermediate mail servers for sending mail
• SMTP uses persistent connections• Other functions:
– E-mail address lookup– E-mail address verification
• Example protocol exchange
Sample SMTP interaction
c:\Telnet payk.ui.ac.ir 25
:email spoofingراهکارهای جلوگیری از
استفاده از امضا دیجیتال به منظور احراز اصالت ایمیل •
، یک سرور به صورت امن برای SMTPدر صورت وجود چند سرور•شود . ارتباط با خارج پیکر بندی
شما مجهز به فایل های واقعه mail اطمینان ازاین که سرویس دهنده •نگاری است.
آموزش و آشنا کردن کاربران با سیاست ها و دستورالعمل های سایت • توسط کاربران وآگاه کردن سریع مدیر شبکه از موارد مشکوک
__________________________________________________1. cryptographic signature
بهروز ) دکتر کامپوتری های شبکه در امنیتالدانی (1386ترک
Web Spoofing:
• Another name: “Phishing”• Allows an attacker to create a “shadow copy”
of the entire World Wide Web.• Attacker creates misleading context in order
to trick the victim. • Online fraud.
Web Spoofing Importance
Web Spoofing Information Flow Model
Starting the Attack
• The attacker must somehow lure the victim into the attacker’s false web. there are several ways to do this.
• An attacker could put a link to false Web onto popular Web page.
• If the victim is using Web-enabled email, the attacker could email the victim a pointer to false Web.
• Finally, the attacker could trick a web search engine into indexing part of a false Web.
Have you ever received an e-mail that looked like this?
From: Bank Melli IranTo: <Behrouz Tork Ladani> ladani@eng.ui.ac.irSubject: Your Online Banking Account is Inactive
Your Online Banking Account isInnactive
We closed your online access for security reasons.
Click here to access your accountWe must verify your account information.
Bank Melli Iran, N.A. Member FDIC. © 2008 Bank Melli Iran Corporation. All rights reserved.
Spoofing attacks in the physical world
• In the physical world For example, there have been several incidents in which criminals set up bogus automated teller machines. the criminal copy the victim’s card and use the duplicate.
• In these attacks people were fooled for the context what they saw. The location of the machine and The appearance of their electronic displays.
• People using computer system often makes security relevant decisions based on contextual cues they see. For example you might decide to type in you account number because you believe you are visiting your bank’s web page. This belief might arise because the page has a familiar look.
Context
• A browser presents many types of context that users might rely on to make decisions.– Appearance – the appearance of an object might convey a
certain impressions. – Name of Objects – people often deduce what is in a file by
its name. – Timing of Events – if 2 things happen at the same time, the
user might think they are related.
Is MICR0SOFT.COM or MICROSOFT.COM the correct address for Microsoft?
Consequences
• Surveillance – the attacker can passively watch the traffic, recording which pages the victim visits and the contacts of those pages. (This allows the attacker to observe any account numbers or passwords the victim enters.)
• Tampering – the attacker can modify any of the data traveling in either direction between the victim and the Web. (The attacker would change the product number, quantity or ship to address.)
How the Attack Works
• URL Rewriting• Forms• “Secure” Connections
URL Rewriting
• The attacker’s first trick is to rewrite all of the URLs on some web page so that they point to the attacker’s server rather than the real server. Assuming the attacker’s server is on the machine www.attacker.org, the attacker rewrites a URL by adding http://www.attacker.org to the front of the URL. For example, http://home.netscape.com becomes http://www.attacker.org/http://home.netscape.com.
• Once the attacker’s server has fetched the real document needed to satisfy the request, the attacker rewrites all of the URLs. in the document into the same special form. Then the attacker’s server provides the rewritten page to the victim’s browser.
• If the victim fallows a link on the new page, the victim remains trapped in the attacker’s false web.
Forms
• When the victim submits a form, the submitted data goes to the attacker’s server. The attacker’s server can observe and even modify the submitted data, doing whatever malicious editing desired, before passing it on to the real server.
“Secure” Connections
• The victim’s browser says it has secure connection because it does have one. Unfortunately the secure connection is to the www.attacker.org and not the place the victim is think it is. The victim’s browser think everything is fine: it was told to access a URL at www.attacker.org. the secure connection indicator only gives the victim a false sense of security.
Remedies
• Follow a three part strategy:• Disable JavaScript in your browser so the attacker
will be unable to hide the evidence of the attack;• Make sure your browser’s location line is always
visible;• Pay attention to the URLs displayed on your
browser’s location line, making sure they always point to the server you think you are connected to.
Protecting yourself against online fraud
• Do not click on links you receive in an e-mail message asking for sensitive personal, financial or account information.
• Call the company directly to confirm requests for updating or verifying personal or account information.
• Do not share your ID’s or pass codes with anyone.• Look for secure connections on Web sites.• Always sign off Web sites or secure areas of Web
Sites.• When your computer is not in use, shut it down or
disconnect it from the Internet.
:ابزارها
• Despoof -v0.9 http://www.l0t3k.net/tools/Spoofing/despoof-0.9.tgz
• HUNT -v1.5 http://www.l0t3k.org/tools/Spoofing/hunt-1.5.tgz.gz
• Mac makeup http://www.gorlani.com/publicprj/mac.../macmakeup.asp
• Ethereal : www. Ethereal.com
top related