Какво е spoofing? Видове spoofing и методи за защита.
-
Upload
nellylazarova -
Category
Education
-
view
284 -
download
5
Transcript of Какво е spoofing? Видове spoofing и методи за защита.
ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА
ЦЕНТЪР „МАГИСТЪРСКО ОБУЧЕНИЕ“
Варна, 2014
Реферат
по
Безопасност и защита на Microsoft мрежи и
приложения
на тема
Какво е spoofing? Видове spoofing и методи
за защита.
Изготвил: Проверили: Нели Лазарова доц. д-р Стефан Дражев спец. Информатика ас. Радка Начева курс 5, 61гр., фак. № 11886
Нели Лазарова
Какво е spoofing? Видове spoofing и методи за защита.
Нели Лазарова, | фак. № 11886
2
Съдържание
1. Какво е spoofing? ................................................................ 3
2. Видове spoofing .................................................................. 4
2.1. IP spoofing ...................................................................... 4
2.2. ARP spoofing .................................................................. 5
2.3. Email spoofing ................................................................. 6
2.4. Network spoofing ............................................................. 6
3. Методи за защита от spoofing ........................................... 9
4. Използвана литература ................................................... 12
Какво е spoofing? Видове spoofing и методи за защита.
Нели Лазарова, | фак. № 11886
3
1. Какво е spoofing?
Терминът spoofing (от англ. spoof - измама) се определя като акт на
човек, представящ се за някой друг, обикновено в опит за измама. Думата
“spoof” е често използвана в областта на забавленията в смисъл на пародия
на шоу или представление. В този смисъл, под думата спуфинг в областта
на сигурността и измамите се разбира имитирането на човек или услуга с
цел да се получи достъп до чувствителни данни и информация като
потребителски имена, пароли, номера на банкови сметки, лични данни.
Една от известните спуфинг атаки, която е била популярна в
продължението на много години по време на използване на ранните
версии на Unix, е фалшивата logon програмата на един програмист.
Програма имала за цел да напомни, да подтикне потребителят да въведе
своите потребителско име и парола. Без значение, обаче, какво той
въвежда, програмата връщала съобщение за опит за невалидни данни, след
което връщала контрола към реалната програма за идентификация/ logon.
Така, спуфинг програмата записвала във файл получените потребителско
име и парола, след което те биха послужили за получаването на достъп.
Този пример е представен на фиг.1.
Фиг.1. Спуфинг атака при опит за вход/логване
Какво е spoofing? Видове spoofing и методи за защита.
Нели Лазарова, | фак. № 11886
4
2. Видове spoofing
Познати са няколко вида на spoofing атаки, сред които IP spoofing,
ARP spoofing, email spoofing, network spoofing. Ще разгледаме всеки един
от тях.
2.1. IP spoofing
IP spoofing е класическият начин за прилагането на спуфинг атаки,
тъй като е един от най-често използваните методи. При този тип атаки се
изпращат IP пакети от подправен източник (IP адрес). Основната цел е да
се замаскира така адресът, за да изглежда, че пакетите идват от сигурен
източник, а в действителност да не е. Това е атака спрямо IP адреса на
изпращащия хост. Промяната на адреса се постига по следния начин. В
заглавната част на всеки IP пакет се съдържа адресите на източника и на
получателя. Обикновено адреса на източника е този адрес, от които е
изпратен пакета. Чрез подправяне на адреса в заглавната част,
атакуващият може да направи така, че да изглежда, че пакетът идва от
друга машина. Така получателят ще получи пакети и ще върне отговор
към променения адрес. Честа проява на този вид спуфинг е подменянето
на адреса на LAN или WAN мрежи.
IP спуфингът е наистина лесен за изпълнение, което се дължи на
някои пропуски в TCP/IP модела. В общи линии TCP/IP приема, че всеки
компютър „казва“ истината. Не се прилага почти никаква проверка на
това, дали пакетът идва от адреса, който е записан в заглавната му част.
Denial-of-service атаките често използват спуфинг атаките, за да
претоварят мрежите и устройствата с пакети, които изглежда, че са
изпратени от легитимни за атакуваната мрежа или устройство IP адреси.
Има два начина, по които spoofing атаките се използват, за да се натоварят
Какво е spoofing? Видове spoofing и методи за защита.
Нели Лазарова, | фак. № 11886
5
мрежите с прекомерен трафик. При първия – blind spoofing attack, целта е
просто да се залее набелязаната жертва с пакети информация, изпращани
от множество фалшиви адреси. Този метод работи като директно се
изпратят повече пакети от колкото може да поеме. При втория начин –
informed attack, атакуващия има за цел да прихване IP адреса на
получателя и да започне изпращането на пакети по мрежата от него на
различни получатели. Когато отсрещната страна получи пакети, тя
автоматично връща пакет на подателя с информация. И тъй като изглежда,
че пакетите са изпратени от набелязания IP адрес, пакетите в отговор се
изпращат към него и буквално бива заливан с информация.
2.2. ARP spoofing
Този тип спуфинг атака е насочена към протокола ARP (Address
Resolution Protocol). Функциите на протокола са свързани с асоциирането
на IP адрес с MAC адреси при предаване на данни. Атаката се
характеризира с изпращането на фалшиви ARP съобщения чрез локалната
мрежа. Основната цел в случая е MAC адреса на атакуващия да бъде
асоцииран в ARP таблицата с IP адреса на легитимен член на мрежата. По
този начин данните, насочени към жертвата ще бъдат препращани към
адреса на атакуващия. След като веднъж бъде осигурен този канал за
получаване на трафика на жертвата, злонамерените лица могат да
извършват с него почти всичко – анализиране на данни, променяне на
пакети и изпращането ми до другите членове на мрежата, спиране на
трафика в мрежата и т.н. Тази атака сама по себе си стои в основата при
осъществяването на други атаки, като например - Man-in-the-middle, DNS
spoofing, Session Hijacking и други. ARP спуфингът работи само в рамките
на локална мрежа (LAN), която използва ARP протокола.
Какво е spoofing? Видове spoofing и методи за защита.
Нели Лазарова, | фак. № 11886
6
2.3. Email spoofing
Email спуфинг се състои в изпращане на съобщения като преди това
адресът на подателя се подправя така, че да изглежда че съобщението идва
от някого, различен от реалният източник. Тази измама лесно би могла да
се осъществи, тъй като основните протоколи не правят никаква проверка
за достоверността на въведените адреси. Основният протокол SMTP
(Simple Mail Transfer Protocol), използван за изпращане на по електронна
поща, не включва използването на механизми за автентикация. Въпреки че
в разширенията на услугата вече е възможно използването на методи за
защити, те в най-честия случай не се прилагат. Така всеки, който
притежава необходимите знания, може да се свърже с мейл сървъра и да
го използва, за да изпраща съобщения.
Този тип измама се прилага най-често при спам и фишинг
съобщенията, като основната цел е получателят да бъде заблуден относно
произхода на имейла. При email спуфинг резултатът не винаги се свежда
до неудобството от получаването на фалшиви съобщения. По-
злонамерените хакери могат да причинят сериозни проблеми и рискове
относно сигурността на личните данни. Например, получените фалшиви
съобщения може да изглеждат, че са изпратени от различни институции,
които ви молят да предоставите лични данни, номера на банкови сметки,
пароли и други. Американската банка (The Bank of America), eBay и Wells
Fargo са сред потърпевшите компании, които са станали част от спуфинг
измами.
2.4. Network spoofing
Network Spoofing се изразява в получаването на достъп до мрежа без
това да бъде позволено, с цел извличането на поверителни данни и
Какво е spoofing? Видове spoofing и методи за защита.
Нели Лазарова, | фак. № 11886
7
информация. Процесът се извършва чрез взимане на IP адреса на доверен
на атакуваната мрежа компютър, чийто легитимен статут позволява
обмяна на информация с атакуваната мрежа.
За разлика от останалите видове спуфинг, които имат опасен и
злонамерен характер, мрежовия спуфинг може да се използва и за полезни
цели. Такова приложение например е използването на мрежовия спуфинг
за регулиране на трафика в мрежата. Ако мрежовия трафик е прекалено
висок, gateway-ът не би могъл да се справи с валидирането на всички
пакети от информация по мрежата. В тези случаи, когато е необходимо
минимизирането на трафика, би могло да се приложи техниката на
мрежовия спуфинг.
Познати са три вида мрежови спуфинг. Това са:
Protocol spoofing;
DNS spoofing;
MAC spoofing;
Protocol spoofing
Във всяка мрежа съществува протоколна група, наречена
Transmission Control Protocol (TCP). Тази протоколна група създава,
поддържа и разрушава мрежовите връзки. В процеса на свързване
компютърът, искащ достъп до мрежата, изпраща пакети от данни за
верификация, което на свой ред добавя допълнителен трафик към
мрежата. От друга страна, изграждането на такава мрежа също ще доведе
до повишаване на трафика. За да избегне такава ситуация, шлюзът
(gateway-ът) може да приеме ролята на отдалечен компютър и да отговоря
на TCP съобщенията. Така, шлюзът на мрежата изиграва ролята на
свързващ компютър и се редуцира мрежовия трафик.
Какво е spoofing? Видове spoofing и методи за защита.
Нели Лазарова, | фак. № 11886
8
DNS spoofing
Domain Name System (DNS) „представлява разпределена база от
данни за компютри, услуги или други ресурси, свързани към Интернет или
частни мрежи, с чиято помощ се осъществява преобразуването на
имената на хостовете в IP-адреси“1. Това улеснява изключително много
работата на потребителите при използването на Интернет услуги. Вместо
да въвежда IP адреса, за да достигне до даден ресурс в мрежата,
потребителят може просто да въведе неговото име (домейн). Цялата
информация за IP адресите и имената на домейните се съхраняват в DNS
сървъри.
При извършването на спуфинг атака към DNS сървър, атакуващият
променя DNS сървъра с цел да пренасочи дадено име на домейн към друг
различен от реалния IP адрес. В много от случаите, зададеният нов IP
адрес е към сървър, който се управлява от атакуващия и съдържа файлове
със злонамерен софтуер. Ето защо, DNS спуфингът се използва най-често
за разпространение на компютърни червеи и вируси.
MAC spoofing
Всяко едно устройство, свързано с мрежа има MAC (Media Access
Control) адрес. Когато се подава заявка за свързване, интернет доставчикът
регистрира МАС адресът на устройството за по-сигурна връзка и само
устройството с този МАC адрес може да се свърже с мрежата. Ако
потребителят се опита да се свърже с друго устройство към мрежата,
такова свързване няма да бъде позволено.
MAC спуфингът е насочен към промяна точно на фабричния MAC
адрес на устройство, което е свързано към определена мрежа. MAC
адресът е закодиран на високо ниво в мрежовия интерфейсен контролер
1 Domain Name System, http://bg.wikipedia.org/wiki/Domain_Name_System, 13.04.2014
Какво е spoofing? Видове spoofing и методи за защита.
Нели Лазарова, | фак. № 11886
9
(NIC = network interface controller) и не може да бъде променян. Въпреки
това, съществуват инструменти, с които може да се заблуди
операционната система да мисли, че мрежовия контролер разполага с
MAC адреса на избраното устройство, а всъщност той да е друго. Това е
процеса по замаскирване на MAC адреса. Новото устройство ще изпрати
информация през регистрираният MAC адрес, за да получи достъп до
мрежата, като използва регистрираният MAC адрес за да се прикрие.
3. Методи за защита от spoofing
Съществуват множество методи и инструменти, които компаниите и
организациите използват, за да намалят риска от спуфинг атаки. Сред най-
често срещаните такива мерки са:
Packet filtering – Филтриране на предаваните пакети – Този
метод проверява потока от пакети с информация в мрежата и
анализира както входящите, така и изходящите пакети. В
зависимост от съдържанието на заглавната част (header) на
пакетите, те биват изпращани или провалени. Този инструмент
е успешен при превенцията на IP спуфинг атаки, тъй като е
способен да филтрира и да блокира пакети от данни с
противоречива информация за адреса на източника – по-точно
пакети от информация, идващи от външен за мрежата
източник и обратното.
Избягване на доверени взаимовръзки – Същността на този
метод е изграждането на колкото се може по-малко протоколи,
изградени на доверени взаимовръзки. Това ще намали
възможността на хакерите да използват спуфинг атаките, тъй
Какво е spoofing? Видове spoofing и методи за защита.
Нели Лазарова, | фак. № 11886
10
като доверените връзки използват само IP адресът за
индетификация на източника.
Използване на софтуер за засичане на спуфинг –
Съществуват множество програмни продукти, които помагат
на организациите да засекат спуфинг атаките и особено ARP
спуфинг. Тези програми работят като инспектират и
сертифицират информацията преди да бъде предадена, и
съответно я блокират, ако се предположи, че е спуфинг атака.
Пример за такъв софтуер е програмата WireShark.
Използване на криптирани мрежови протоколи – Примери
за такива протоколи са Transport Layer Security (TLS), Secure
Shell (SSH), HTTP Secure (HTTPS). Тяхната функция е да
криптират изпратената информация преди да бъде предадена и
съответно да разрешат достъпът при получаването й.
Други методи за защита от спуфинг атаки са свързани главно с
поведението на потребителите. Така например, за да се предпази от Email
спуфинг, е препоръчително потребителя да спазва следните съвети:
Да се използва добра антивирусна програма;
Да не се отварят електронни съобщения, без да бъде разпознат
подателя;
Да се игнорират съобщения, без посочен подател;
Да се игнорират съобщения, които съдържат данни на получателя в
полето за подател;
Да не се отварят съобщения, които съдържат само хипервръзка;
Какво е spoofing? Видове spoofing и методи за защита.
Нели Лазарова, | фак. № 11886
11
Да се активира опцията за филтриране на съобщения с непосочен
подател;
Да се използва една от трите системи за автентикация на имейли –
Sender Policy Framework, SenderID или Domain Keys Identified Mails).
За защита от IP спуфинг е добре потребителя да изпълнява следните
действия:
Да се използват защитни стени (firewalls) при непозволено
прехвърляне на данни;
Прилагането на криптографски алгоритми за осигуряването на
различни нива на автентикация;
Какво е spoofing? Видове spoofing и методи за защита.
Нели Лазарова, | фак. № 11886
12
4. Използвана литература
1. Dulaney, Emmett, CompTIA Security + Study Guide, Wiley publishing,
Canada 2009
2. Dubrawsky, Ido How To Cheat At Your Securing Network, Syngress
Publishing, USA 2007
3. Jamsa, Kris, Hacker Proof the Ultimate Guide to Network Security,
Delmar Learning, Canada 2002
4. Rouse, Margaret Email spoofing,
http://searchsecurity.techtarget.com/definition/email-spoofing,
12.04.2014
5. Fergal Glynn, Spoofing Attack,
http://www.veracode.com/security/spoofing-attack, 12.04.2014
6. What is Spoofing, http://www.wisegeek.com/what-is-spoofing.htm,
12.04.2014
7. Email spoofing, http://en.wikipedia.org/wiki/Email_spoofing, 13.04.2014
8. MAC spoofing, http://en.wikipedia.org/wiki/MAC_spoofing, 13.04.2014
9. What is Network Spoofing and what are the types of it?,
http://www.combofix.org/what-is-network-spoofing-and-what-are-the-
types-of-it.php, 13.04.2014
10. Domain Name System,
http://bg.wikipedia.org/wiki/Domain_Name_System, 13.04.2014
11. How to use Wireshark to detect and prevent ARP spoofing,
http://searchsecurity.techtarget.com/video/How-to-use-Wireshark-to-
detect-and-prevent-ARP-spoofing, 13.04.2014