 Спокойное чтение бюллетеня по безопасности ISS X-Force Security Alert (http://xforce. iss. net) было прервано звуковым сигналом, который дал знать администратору, что управляемый им межсетевой экран обнаружил несанкционированное действие. Увидев мигающую иконку на экране монитора и щелкнув на ней мышью, администратор погрузился в строки символов, характеризующих адрес злоумышленника. "Ну вот ты и попался, голубчик", - про себя сказал администратор, который вот уже вторую неделю безуспешно пытался обнаружить хакера, пытающегося вломиться в корпоративную сеть банка. Однако при ближайшем рассмотрении все оказалось не так просто. Попытка определить, кому принадлежит данный адрес с помощью сервиса whois показал, что это американский университет DePaul в Чикаго. Обращение к администратору университета не внесло ясности, а еще больше запутало. По его словам, в указанный момент времени (даже с учетом разницы в часовых поясах) с указанного IP-адреса никаких действий не осуществлялось.
И вообще, в это время в Чикаго была ночь и университетский вычислительный центр был закрыт. Такое обескураживающее сообщение показало администратору атакованной сети всю сложность его положения и заставило призадуматься. Выходило, что сеть была атакована не неопытным юнцом, а достаточно квалифицированным хакером, который знал "как" осуществлять подмену адреса. Мне можно возразить, что так делают не все. Да, не все. Существует огромнейшая категория пользователей, называющих себя настоящими хакерами, но таковыми не являющимися. Для них даже придуман специальный термин "script kiddies", что означает любителей, использующих готовые средства реализации атак, не понимая сути их действия. Получив какую-либо программу для взлома, они сразу задают в ней адрес своего друга, насолившего им соседа или просто случайного компьютера и приводят ее в действие. Если видимого результата нет, то они переходят к следующему адресу и т. д. На такую удочку попадаются только неискушенные администраторы, не следящие за защищенностью своей сети. Мы же будем исходить из худшего. В данной статье я хотел бы вкратце описать способы сокрытия своего реального адреса, используемые квалифицированными злоумышленниками. Подмена адресаБольшинство злоумышленников организовывают свои атаки с промежуточных серверов, которые они уже взломали, с proxy-серверов или иными способами, описываемыми ниже. Таким образом, найти того, кто вас атакует, будет очень трудно. При этом, активное блокирование атак на основе адреса с помощью межсетевых экранов, фильтров на маршрутизаторах и других устройствах может привести к отрицательному результату, то есть к тому, что вы заблокируете не злоумышленника, а вполне реальный адрес (возможно, принадлежащий вашему клиенту или партнеру), которому необходим доступ к вашим информационным ресурсам. Частота подмены адреса источника для различных типов атак выглядит так, как это показано в таблице. Таблица 1. Вероятность подмены адреса при различных атакахТип атакПримерВероятность подмены адресаСбор информацииTraceroute, ping< 1%Сканирование портовОдин узел или подсеть5%Многопакетные атаки типа "отказ в обслуживании"Ping Flood, SMURF, FraggleИсточником может быть промежуточный узелОднопакетные атаки типа "отказ в обслуживании" (или из нескольких пакетов)WinNuke. Ping of Death, SYN Flood95%Переполнение буфераДлинные имена файлов, длинные URL50%КомандыTelnet, BackOrifice, Netcat5%Изменение заголовка пакетаСуществующая версия протокола IP является очень незащищенной, о чем писалось уже не раз. Именно эта незащищенность и используется злоумышленниками для своих атак. Простое изменение поля "Адрес источника" (Source Address) в заголовке IP-пакета приводит к тому, что во всех журналах регистрации фиксируется именно этот адрес, а не реальный адрес, с которого осуществлялась атака. Именно этот механизм используется при реализации атак типа "отказ в обслуживании".Однако у данного механизма есть существенный недостаток, который не влияет на реализацию однопакетных атак, но становится непреодолимой преградой при реализации многопакетных атак. Если хакер меняет адрес источника в сетевом пакете, то атакуемый узел будет отвечать не на реальный адрес атакующего узла (ведь он его не знает), а на адрес, указанный в заголовке IP-пакета. Именно поэтому реализация вторжений с подменой адреса в заголовке возможна только для однопакетных атак или в том случае, если атакующий и атакуемый находятся в одном физическом сегменте сети. Существует и еще два редких случая, когда возможна подмена адреса. В первом случае злоумышленник должен находиться на пути между атакуемой стороной и узлом, чей адрес используется в подменяемом пакете. Во втором случае, злоумышленник может попытаться угадать определенные характеристики заголовка IP-пакета, чтобы вести "переговоры" с атакуемым узлом, не видя его ответов.
|