spoofing امنیت در شبکه های کامپوتری ( دکتر بهروز ترک لادانی...

Spoofing

بهروز ) دکتر کامپوتری های شبکه در امنیتالدانی (1386ترک

مرتضایی فهیمه

به نام خدا

به حمالتی اطالق می شود که فرد یا مرکزی •خود را به جای افراد یا مراکز قابل اطمینان معرفی نموده و از این طریق سعی در ایجاد ارتباط با اهداف مورد نظر در جهت رسیدن به اطالعات و یا منابع دلخواه خواهد داشت.


• IP Spoofing• ARP Spoofing• DNS Spoofing• Email Spoofing• Web Spoofing


IP Spoofing

تکنیکی است برای نفوذ غیر مجاز به • کامپیوترها به صورتی که نفوذگر بسته ای را با

IP کامپیوتر مورد اعتماد هدف به هدف میفرستد.


امنیت در شبکه های کامپوتری )دکتر بهروز (1386ترک الدانی

sender ip spoofed packet

victim

partner

dst: victim

src: partner

Oh, my partner sent me a packet. I’ll process this.

:مراحل کار

کامپیوتر مورد IP هدف وIPبدست آوردن •اعتماد آن

•Sniff اطالعات مبادله شده بین این دو SYN Attackقطع ارتباط ان ها از طریق •Sequence Numberحدس •IPتغییر در سرایند بسته •


:IP Spoofingدالیل استفاده از

نفوذگربا آدرس اشتباه امکان تعقیب و کشف •ماشینش را از طرف مقابل می گیرد. چرا که بسته هایی که از طرف ماشین او ارسال می

شود آدرس مبدأی دارند که متعلق به یک ماشین بیگناه یا موهوم در شبکه است .

از طریق آدرس دهی دروغین نفوذگر گاهی • خود از میان فیلتر IPموفق به عبور بسته های

IPیا دیواره آتش یک سیستم که به آدرس حساسیت دارند خواهد شد.


ARP Spoofing:

هم گفته Arp Spoofing ، Arp cache poisoning به • محتویات جدول Spoofمی شود و روشی برای

Arp یک کامپیوتر remote .روی شبکه است

Arp Responseدر این حمله نفوذگر یک پیغام • خود برای MAC مورد نظر و IPجعلی با آدرس

میزبان های هدف ارسال می کند و این باعث میشود کامپیوتر های هدف اطالعات خود را به

جای فرستادن به مقصد مورد نظر برای نفوذگر ارسال کنند.


DNS ID Spoofing


کاربر را استراقع سمع نموده و DNSنفوذ گر در خواست یک بسته جعلی به عنوان جواب در خواست مطرح شده

برای او ارسال می کند

DNS ID Spoofing


DNS cache Poisonning

را که در DNS cacheنفوذ گر سعی می کند •طرف کاربر قرار گرفته است آلوده به

اطالعات غلط کند.


Basic DNS

• Client queries local nameserver• Local nameserver queries root nameserver for

authoritative nameservers for some domain• Local nameserver queries authoritative

nameserver• Returns result to client

DNS Queries

• Recursive query example

requesting host

gaia.cs.umass.edu

root DNS server

local DNS serverNs.ui.ac.ir

1

2

45

6

authoritative DNS serverdns.cs.umass.edu

7

8

TLD DNS server

3

DNS Queries

• Iterative query example

requesting host

gaia.cs.umass.edu

root DNS server

local DNS serverns.ui.ac.ir

1

23

4

5

6

authoritative DNS serverdns.cs.umass.edu

78

TLD DNS server

Problem

• DNS request sends transaction Id• DNS will accepts any reply containing

transaction and assuming remote IP and TCP/UDP ports match

• Transaction Ids are only 16-bits

پارادکس روز تولد

چقدر است به نحوي كه در يك kحداقل مقدار • نفري احتمال اينكه دو نفر در يك روز kگروه

باشد؟0.5به دنيا آمده باشند بيش از


افتن دو نفر که در ي نفر، احتمال 23ان يدر م•باشد. ي% م50ش از يک روز متولد شده اند بي


چقدر است به نحوي كه با k تعميم مسئله: حداقل • عنصر داشته باشيم k يك تكرار در 0.5احتمال بيش از

بتواند n تا 1به نحوي كه هر عنصر مقاديري در بازة اختيار كند؟

با تعميم حل قبلي مي توان به دست آورد كه:•k=1.18 * n0.5 = n0.5

n= 365 k=23

Birthday Attack

• BIND sends multiple queries for the same domain name

• Possible to flood BIND with replies using randomly generated transaction Ids

• If you guess correctly, then BIND will accept your reply

• ~50% with 300 packets, • ~100% with 700 packets

Birthday Attack

TCP/UDP port

• BIND reused same source TCP/UDP port• Made it easy for attacker to “guess” the

destination TCP/UDP port for the false reply• Newer versions randomize source ports

Birthday Attack

Why DNS Cache Poisoning?

• Redirect traffic• MITM attacks

Defenses

• Upgrade to BIND 9.x• Split-split DNS

– Internal DNS performs recursive queries for users, and cannot be accessed from outside

– External DNS does not do recursive queries– Makes it harder for attacker to guess what

transaction Ids your external DNS will use

Defenses

E mail spoofing:

پس�ت ارس�ال ب�ه اق�دام گ�ر نف�وذ حمل�ه این در از ط�رف دیگ�ران می ی�ا ن�ام جعلی ب�ا الک�ترونیکی

کند .متف�اوتی emil spoofing عم�ل ه�ای ش�یوه ب�ه

ص�ورت می گ�یرد ولی نت�ایج مش�ابهی را ب�ه ب�ار می آورد:

نظ�ر می ب�ه ک�ه کن�د دری�افت می را ایمیلی کاربر رس�د از ی�ک منب�ع معت�بر رس�یده در ح�الی ک�ه از ی�ک

منبع جعلی رسیده است .Email spoofing را ک�اربر ک�ه کن�د می تالش غالب�ا

اطالع�ات ک�ردن وارد ی�ا تخری�بی احک�ام ب�ه وادار حس�اس )مانن�د کلم�ه عب�ور ی�ا ش�ماره ک�ارت اعتب�اری

( خود بکند.

های جعل شده که می توانند در امنیت سایت شما را مثال هایی از ایمیل

تحت تاثیرقرار دهند :

ایمیلی ک�ه ادع�ا می کن�د ازط�رف م�دیر سیس�تم شماس�ت و از •تغی�یر دهی�د وگرن�ه را ش�ما می خواه�د ک�ه کلم�ه عب�ور خودت�ان

حساب کاربری شما را معلق می کند. ط�رف • از اختی�اراتی دارای کن�د می ادع�ا ک�ه شخص�ی یا

موسس�ات م�الی ی�ا حق�وقی شماس�ت و از ش�ما می خواه�د ک�ه کنی�د ارس�ال ب�رای وی را ی�ا اطالع�ات حی�اتی خ�ود کلم�ه عب�ور

و....


که SMTPامکان پذیر است چرا که پرتکل spoofعمل •پرکاربرد ترین پرتکل ارسال ایمیل است عمل احراز

.را انجام نمی دهد1 اصالت کاربر

______________________________________1 .authentication


The Entire E-mail SystemThe Entire E-mail System

SMTP

• Simple Mail Transfer Protocol is standard application protocol for delivery of mail from source to destination

• Built on top of TCP: provides reliable delivery of data

• SMTP does not normally use intermediate mail servers for sending mail

• SMTP uses persistent connections• Other functions:

– E-mail address lookup– E-mail address verification

• Example protocol exchange

Sample SMTP interaction

c:\Telnet payk.ui.ac.ir 25

:email spoofingراهکارهای جلوگیری از

استفاده از امضا دیجیتال به منظور احراز اصالت ایمیل •

، یک سرور به صورت امن برای SMTPدر صورت وجود چند سرور•شود . ارتباط با خارج پیکر بندی

شما مجهز به فایل های واقعه mail اطمینان ازاین که سرویس دهنده •نگاری است.

آموزش و آشنا کردن کاربران با سیاست ها و دستورالعمل های سایت • توسط کاربران وآگاه کردن سریع مدیر شبکه از موارد مشکوک

__________________________________________________1. cryptographic signature


Web Spoofing:

• Another name: “Phishing”• Allows an attacker to create a “shadow copy”

of the entire World Wide Web.• Attacker creates misleading context in order

to trick the victim. • Online fraud.

Web Spoofing Importance

Web Spoofing Information Flow Model

Starting the Attack

• The attacker must somehow lure the victim into the attacker’s false web. there are several ways to do this.

• An attacker could put a link to false Web onto popular Web page.

• If the victim is using Web-enabled email, the attacker could email the victim a pointer to false Web.

• Finally, the attacker could trick a web search engine into indexing part of a false Web.

Have you ever received an e-mail that looked like this?

From: Bank Melli IranTo: <Behrouz Tork Ladani> [email protected]: Your Online Banking Account is Inactive

Your Online Banking Account isInnactive

We closed your online access for security reasons.

Click here to access your accountWe must verify your account information.

Bank Melli Iran, N.A. Member FDIC. © 2008 Bank Melli Iran Corporation. All rights reserved.

Spoofing attacks in the physical world

• In the physical world For example, there have been several incidents in which criminals set up bogus automated teller machines. the criminal copy the victim’s card and use the duplicate.

• In these attacks people were fooled for the context what they saw. The location of the machine and The appearance of their electronic displays.

• People using computer system often makes security relevant decisions based on contextual cues they see. For example you might decide to type in you account number because you believe you are visiting your bank’s web page. This belief might arise because the page has a familiar look.

Context

• A browser presents many types of context that users might rely on to make decisions.– Appearance – the appearance of an object might convey a

certain impressions. – Name of Objects – people often deduce what is in a file by

its name. – Timing of Events – if 2 things happen at the same time, the

user might think they are related.

Is MICR0SOFT.COM or MICROSOFT.COM the correct address for Microsoft?

Consequences

• Surveillance – the attacker can passively watch the traffic, recording which pages the victim visits and the contacts of those pages. (This allows the attacker to observe any account numbers or passwords the victim enters.)

• Tampering – the attacker can modify any of the data traveling in either direction between the victim and the Web. (The attacker would change the product number, quantity or ship to address.)

How the Attack Works

• URL Rewriting• Forms• “Secure” Connections

URL Rewriting

• The attacker’s first trick is to rewrite all of the URLs on some web page so that they point to the attacker’s server rather than the real server. Assuming the attacker’s server is on the machine www.attacker.org, the attacker rewrites a URL by adding http://www.attacker.org to the front of the URL. For example, http://home.netscape.com becomes http://www.attacker.org/http://home.netscape.com.

• Once the attacker’s server has fetched the real document needed to satisfy the request, the attacker rewrites all of the URLs. in the document into the same special form. Then the attacker’s server provides the rewritten page to the victim’s browser.

• If the victim fallows a link on the new page, the victim remains trapped in the attacker’s false web.

Forms

• When the victim submits a form, the submitted data goes to the attacker’s server. The attacker’s server can observe and even modify the submitted data, doing whatever malicious editing desired, before passing it on to the real server.

“Secure” Connections

• The victim’s browser says it has secure connection because it does have one. Unfortunately the secure connection is to the www.attacker.org and not the place the victim is think it is. The victim’s browser think everything is fine: it was told to access a URL at www.attacker.org. the secure connection indicator only gives the victim a false sense of security.

Remedies

• Follow a three part strategy:• Disable JavaScript in your browser so the attacker

will be unable to hide the evidence of the attack;• Make sure your browser’s location line is always

visible;• Pay attention to the URLs displayed on your

browser’s location line, making sure they always point to the server you think you are connected to.

Protecting yourself against online fraud

• Do not click on links you receive in an e-mail message asking for sensitive personal, financial or account information.

• Call the company directly to confirm requests for updating or verifying personal or account information.

• Do not share your ID’s or pass codes with anyone.• Look for secure connections on Web sites.• Always sign off Web sites or secure areas of Web

Sites.• When your computer is not in use, shut it down or

disconnect it from the Internet.

:ابزارها

• Despoof -v0.9 http://www.l0t3k.net/tools/Spoofing/despoof-0.9.tgz

• HUNT -v1.5 http://www.l0t3k.org/tools/Spoofing/hunt-1.5.tgz.gz

• Mac makeup http://www.gorlani.com/publicprj/mac.../macmakeup.asp

• Ethereal : www. Ethereal.com

spoofing امنیت در شبکه های کامپوتری ( دکتر بهروز ترک لادانی...

Documents