[ Pobierz całość w formacie PDF ]
.Zazwyczaj komputery z systemem operacyjnym Unix akceptuj¹ pakiety skierowane doŸród³a i przesy³aj¹ je tam, gdzie wskazuje œcie¿ka Ÿród³owa.Podobnie zachowujesiê wiele ruterów i tylko niektóre z nich mo¿na skonfigurowaæ tak, abyblokowa³y pakiety skierowane do Ÿród³a.Na rysunku przedstawiony zosta³ schemat podszywania siê hakera pod adres IP.£atwiej jednak podszyæ siê pod klienta w inny sposób.Wystarczy poczekaæ, a¿jego system bêdzie zamykany i „podszyæ” siê pod niego.W wielu firmachpracownicy u¿ywaj¹ komputerów osobistych i oprogramowania sieciowego TCP/IP do³¹czenia siê i u¿ywania komputerów pos³uguj¹cych siê systemem Unix jak zserwerów sieci lokalnych.Komputery typu PC czêsto bowiem korzystaj¹ zuniksowego sieciowego systemu plików (NFS) do uzyskania dostêpu do plików ikatalogów serwera (system NFS u¿ywa adresów IP tylko do uwiarygodnieniaklientów).Haker mo¿e podszyæ siê pod prawdziwego klienta i skonfigurowaækomputer typu PC tak, aby mia³ tak¹ sam¹ nazwê i adres IP jak inny komputer, anastêpnie zainicjowaæ po³¹czenie z uniksowym komputerem g³Ã³wnym.Jest to bardzo³atwe.Co wiêcej — atak ten bêdzie prawdopodobnie atakiem „od wewn¹trz”,poniewa¿ tylko bêd¹c wewn¹trz chronionej sieci mo¿na wiedzieæ, które komputerys¹ wy³¹czone.Poczta elektroniczna— rodzaje hakerskich atakówPoczta elektroniczna, z której us³ug skorzystaæ mo¿na w Internecie nie jest dlahakerów trudnym do zdobycia celem.Na ogó³ nie mo¿na ufaæ wiadomoœciom, którenie s¹ opatrzone podpisem cyfrowym.Jako przyk³ad wystarczy przeanalizowaæwymianêe-maili, która odbywa siê przy u¿yciu nieskomplikowanego protoko³u,korzystaj¹cego z poleceñ znakowych zapisanych w systemie ASCII.Napastnik ³atwoje mo¿e rêcznie zmodyfikowaæ, u¿ywaj¹c Telnetu do bezpoœredniego po³¹czenia zportem protoko³u SMTP (Simple Mail Transfer Protocol).Odbieraj¹cy komputerg³Ã³wny „wierzy”, ¿e to¿samoœæ nadawcy jest prawdziwa, dziêki czemu haker mo¿e³atwo podszyæ siê pod niego, wpisuj¹c adres inny od swojego.W rezultacie ka¿dyu¿ytkownik mo¿e sfa³szowaæ listy wysy³ane poczt¹ elektroniczn¹.Ataki z pochodz¹cez wewn¹trz programu pocztowegoWiêkszoœæ ludzi, którzy korzystaj¹ z us³ug poczty elektronicznej albo nigdy niewidzi rzeczywistego adresu wys³anego e-maila, albo nie wie, jak go odczytaæ,wiêc podszywanie siê jest tutaj jednym z ³atwiejszych ataków hakerskich.Mo¿na— a nawet trzeba — stosowaæ odpowiedni¹ profilaktykê.Zatem aby ustawiæodpowiednio przegl¹darkê Netscape Navigator i sprawdzaæ podszywanie siê wpoczcie elektronicznej, nale¿y wykonaæ poni¿sze czynnoœci.W oknie Navigatora trzeba wybraæ z menu Options polecenie Mail andNews/Preferences.W efekcie Navigator wyœwietli okno dialogowe Preferences.Nastêpnie nale¿y w oknie dialogowym Preferences wyœwietliæ kartê Identyfi,na której powinna znajdowaæ siê informacja o pochodzeniu bie¿¹cej wiadomoœci.Aby zmieniæ zawartoœæ wiersza who w wiadomoœci, trzeba przejœæ do pola YourName, a nastêpnie do pola E-Mail Address i wpisaæ tam coœ innego.PóŸniej nale¿y wyœwietliæ kartê Servers.Navigator wyœwietli okno dialogowez list¹ serwerów pocztowych.Podszywaj¹c siê trzeba usun¹æ adres serwera pocztyprzychodz¹cej (POP3), aby nikt nie móg³ wyœledziæ adresu nadawcy.Nastêpnietrzeba usun¹æ zawartoœæ pola Mail server user name (pozostanie wtedy tylkopozycja serwera poczty wychodz¹cej).Teraz wystarczy ju¿ tylko nacisn¹æ przycisk OK, aby zamkn¹æ okno dialogowe.Wiadomoœæ jest przygotowana do sfa³szowania.Jedynym sposobem upewnienia siê, ¿e wiadomoœæ pochodzi od prawdziwego nadawcy,jest sprawdzenie podpisu cyfrowego.Gdy u¿ytkownik otrzymuje du¿¹ liczbêsfa³szowanych wiadomoœci, czêsto mo¿e wyœledziæ fa³szerza przegl¹daj¹cinformacje zawarte w nag³Ã³wku wiadomoœci, gdy¿ wskazuj¹ one zazwyczaj prawdziwyserwer nadawcy.Znaj¹c serwer nadawcy mo¿na porozmawiaæ z administratoremsystemu tego serwera i sprawdziæ, czy mo¿na jakoœ powstrzymaæ nieprzyjacielaprzed dalszymi atakami.Jak wykryæ atak metod¹ podszywania siê?W przeciwieñstwie do ataków polegaj¹cych na rozsynchronizowaniu, podszywaniesiê pod adresy IP jest trudne do wykrycia.Jeœli serwer internetowy mamo¿liwoœæ monitorowania ruchu w sieci w zewnêtrznym ruterze internetowym, tonale¿y kontrolowaæ przychodz¹ce przez niego dane.Podczas kontrolowania ruchuzapis rutera jest przechowywany w rejestrze systemowym.Korzystaj¹c z niegonale¿y sprawdzaæ, czy wœród przychodz¹cych danych s¹ pakiety zawieraj¹ce adresykomputera Ÿród³owego i docelowego mieszcz¹ce siê w obrêbie lokalnej domeny.Dosieci nie powinny przychodziæ z Internetu pakiety zawieraj¹ce adresy dwóchkomputerów — Ÿród³owego i docelowego.Jeœli znalezione zostan¹ pakietyzawieraj¹ce obydwa adresy, to oznacza, ¿e prawdopodobnie jest dokonywany atakpolegaj¹cy na podszywaniu siê pod adres IP.Programy tcdump i netlogDwa bezp³atne programy narzêdziowe — tcdump i netlog — mog¹ byæ pomocnew kontrolowaniu przep³ywu pakietów w systemie Unix.Pakiet tcdump mo¿na pobraæw postaci archiwum /tcdump.tar, korzystaj¹c z protoko³u FTP (File TransferProtocol) i loguj¹c siê jako u¿ytkownik „anonymous” pod adresem – dajmy na to —ftp.ee.lbl.gov.Po wczytaniu i zainstalowaniu programu tcdump nale¿y wydrukowaæwszystkie pakiety znalezione przez tcdump, które maj¹ dwa adresy IP komputerów(Ÿród³owego i docelowego) i s¹ zlokalizowane w sieci domain.name.Mo¿na tozrobiæ wpisuj¹c w wierszu poleceñ nastêpuj¹ce instrukcje:# tcdump src net domain.name# tcdump dst net domain.nameOprócz tego mo¿na równie¿ pobraæ pakiet netlog, który zosta³ opracowany nauniwersytecie w Teksasie.W tym celu nale¿y za pomoc¹ FTP zalogowaæ siê jakou¿ytkownik „anonymous” (np.pod adresem coast.cs.pnrdue.edu) i pobraæ plik/pub/ ools/unix//TAMU/netlog-1.2.tar.gz.Po wczytaniu i zainstalowaniu programunetlog nale¿y go wywo³aæ nastêpuj¹cym poleceniem:# tcplogger -b | extract -U -e ‘srcnet=X.Y.O.O && dstnet=X.Y.0 {print}’Polecenie tcplogger nakazuje programowi netlog wyszukiwanie pakietów z adresamikomputera Ÿród³owego i docelowego, które znajduj¹ siê w tej samej sieci
[ Pobierz całość w formacie PDF ]