Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:analiza_wireshark_alata_u_svrhu_racunalne_forenzike [2021/01/17 03:07] lgadze [Napadi uskraćivanja usluge (DoS attacks)] |
racfor_wiki:analiza_wireshark_alata_u_svrhu_racunalne_forenzike [2024/12/05 12:24] (trenutno) |
||
|---|---|---|---|
| Redak 24: | Redak 24: | ||
| ===== WireShark ===== | ===== WireShark ===== | ||
| - | WireShark je najistaknutiji i najčešće korišten analizator mrežnih protokola. Omogućuje nam da vidimo što se događa na mreži na mikroskopskoj razini i standard je u mnogim komercijalnim i neprofitnim poduzećima, | + | WireShark je najistaknutiji i najčešće korišten analizator mrežnih protokola. Omogućuje nam da vidimo što se događa na mreži na mikroskopskoj razini i standard je u mnogim komercijalnim i neprofitnim poduzećima, |
| WireShark nam nudi: | WireShark nam nudi: | ||
| - Dubinski pregled stotina protokola | - Dubinski pregled stotina protokola | ||
| Redak 35: | Redak 36: | ||
| ==== WireShark Filteri ==== | ==== WireShark Filteri ==== | ||
| - | U WireSharku, filteri se odnose na Berkeley Packet Filters, što je zapravo mikroprogramski jezik koji se sastavlja i izvršava u vrijeme izvođenja (engl. // | + | U WireSharku, filteri se odnose na Berkeley Packet Filters, što je zapravo mikroprogramski jezik koji se sastavlja i izvršava u vrijeme izvođenja (engl. // |
| {{: | {{: | ||
| Redak 48: | Redak 49: | ||
| Obično se prva faza učinkovitih napada sastoji od identificiranja potencijalnih žrtava među strojevima distribuiranog sustava. Jedna od uobičajenih metoda koja se koristi za pronalaženje osjetljivih domaćina je upravo skeniranje. Ta metoda može se promatrati kao neprijateljska internetska potraga za otvorenim vratima kroz koja uljezi dobivaju pristup računalima. | Obično se prva faza učinkovitih napada sastoji od identificiranja potencijalnih žrtava među strojevima distribuiranog sustava. Jedna od uobičajenih metoda koja se koristi za pronalaženje osjetljivih domaćina je upravo skeniranje. Ta metoda može se promatrati kao neprijateljska internetska potraga za otvorenim vratima kroz koja uljezi dobivaju pristup računalima. | ||
| - | Sastoji se od slanja poruke na isti i preslušavanja odgovora. Primljeni odgovor ukazuje na status priključka koji otkriva informacije potrebne za pokretanje budućih napada. | + | Sastoji se od slanja poruke na isti i preslušavanja odgovora. Primljeni odgovor ukazuje na status priključka koji otkriva informacije potrebne za pokretanje budućih napada. |
| ==== PING Sweep Scan ==== | ==== PING Sweep Scan ==== | ||
| - | Ovaj tip skeniranja hakeri koriste da bi saznali koje su IP adrese aktivne u mreži. Ping Sweep sken može se izvesti pomoću ICMP ili TCP/UDP protokola. " | + | Ovaj tip skeniranja hakeri koriste da bi saznali koje su IP adrese aktivne u mreži. Ping Sweep sken može se izvesti pomoću ICMP ili TCP/UDP protokola. " |
| {{: | {{: | ||
| Redak 62: | Redak 63: | ||
| Kao što smo rekli, kada se postavi vatrozid na pravo mjesto te blokira ICMP tada hakeri ne mogu provesti Ping Sweep. U takvim situacijama ARP Scan je pogodan za odrediti aktivne IP adrese u mreži. | Kao što smo rekli, kada se postavi vatrozid na pravo mjesto te blokira ICMP tada hakeri ne mogu provesti Ping Sweep. U takvim situacijama ARP Scan je pogodan za odrediti aktivne IP adrese u mreži. | ||
| Provodi se tako što haker šalje ARP Broadcast (0xff: | Provodi se tako što haker šalje ARP Broadcast (0xff: | ||
| - | Ovo skeniranje lako otkrivamo pomoću filtra ARP, kojim gledamo samo ARP pakete. Imamo li povećan broj ARP upita možemo pretpostaviti da se radi o ARP scanu. | + | Ovo skeniranje lako otkrivamo pomoću filtra ARP, kojim gledamo samo ARP pakete. Imamo li povećan broj ARP upita možemo pretpostaviti da se radi o ARP scanu. |
| {{ : | {{ : | ||
| - | Na slici vidimo kako izgleda ARP Scan nakon uključivanja ARP filtera. Vidimo da imamo povećan broj upita na broadcast. | + | |
| ==== Stealth Scan ==== | ==== Stealth Scan ==== | ||
| - | Kada želimo (hakeri) otkriti koja su vrata (engl. //port//) otvorena a koja zatvorena, najefektivniji je TCP Stealth Scan. Napadač šalje TCP SYN paket za otvaranje komunikacije na odredišna vrata, poput normalne komunikacije. Tada ako su vrata otvorena dobiva povratne poruke SYN+ACK, a ako su zatvorena RST+ACK. Kada napadač dobije poruku SYN+ACK on će odgovoriti sa RST jer ne želi otvarati komunikaciju (TCP sesiju). Ako su ciljana vrata zaštićena vatrozidom očekivani odgovor je paket ICMP tipa 3 (s kodom 1,2,3,9,10 ili 13). Dakle, u Wiresharku ako dobivamo puno RST paketa ili ICMP paketa tipa 3, to može biti znak da se odvija Stealth Scan. | + | Kada želimo (hakeri) otkriti koja su vrata (engl. //port//) otvorena a koja zatvorena, najefektivniji je TCP Stealth Scan. Napadač šalje TCP SYN paket za otvaranje komunikacije na odredišna vrata, poput normalne komunikacije. Tada ako su vrata otvorena dobiva povratne poruke SYN+ACK, a ako su zatvorena RST+ACK. Kada napadač dobije poruku SYN+ACK on će odgovoriti sa RST jer ne želi otvarati komunikaciju (TCP sesiju). Ako su ciljana vrata zaštićena vatrozidom očekivani odgovor je paket ICMP tipa 3 (s kodom 1,2,3,9,10 ili 13). Dakle, u Wiresharku ako dobivamo puno RST paketa ili ICMP paketa tipa 3, to može biti znak da se odvija Stealth Scan. Na slici vidimo velik promet SYN i RST paketa ali između domaćina (engl. //hosts//) nema neke razmjene podataka. Da bismo dobili brzi pregled snimanja, možemo otići na gornji izbornik // |
| {{ : | {{ : | ||
| - | Na slici vidimo velik promet SYN i RST paketa ali između domaćina (engl. //hosts//) nema neke razmjene podataka. Da bismo dobili brzi pregled snimanja, možemo otići na gornji izbornik // | + | |
| ==== TCP Full Connect Scan ==== | ==== TCP Full Connect Scan ==== | ||
| Redak 85: | Redak 86: | ||
| ==== Null Scan ==== | ==== Null Scan ==== | ||
| - | Prilikom Null Scana napadač šalje TCP poruku bez postavljene zastavice. Ukoliko dobije povratnu poruku s postavljenom zastavicom RST to znači da su vrata zatvorena. Ako ne dobije pak nikakvu poruku to znači da su vrata otvorena, a ako dobije paket ICMP tipa 3 postavljen je vatrozid. Null scan lako je otkriti u WireSharku, sve što treba je postaviti filter TCP.flags==0x000 kako bi dobili sve TCP pakete bez postavljene zastavice. | + | Prilikom Null Scana napadač šalje TCP poruku bez postavljene zastavice. Ukoliko dobije povratnu poruku s postavljenom zastavicom RST to znači da su vrata zatvorena. Ako ne dobije pak nikakvu poruku to znači da su vrata otvorena, a ako dobije paket ICMP tipa 3 postavljen je vatrozid. Null scan lako je otkriti u WireSharku, sve što treba je postaviti filter TCP.flags==0x000 kako bi dobili sve TCP pakete bez postavljene zastavice. |
| {{ : | {{ : | ||
| - | Na slici vidimo puno TCP paketa bez ikakve zastavice postavljene što nas potiče na razmišljanje kako se možda radi o Null Scanu. | ||
| ==== XMAS Scan ==== | ==== XMAS Scan ==== | ||
| - | Ovdje napadač šalje TCP pakete sa zastavicama FIN, PSH i URG, a odgovor je isti kao kod Null scana. Da bismo otkrili ovaj način skeniranja koristimo filter tcp.flags==0X029. | + | Ovdje napadač šalje TCP pakete sa zastavicama FIN, PSH i URG, a odgovor je isti kao kod Null scana. Da bismo otkrili ovaj način skeniranja koristimo filter tcp.flags==0X029. |
| {{ : | {{ : | ||
| - | Na slici vidimo povećan broj TCP paketa sa zastavicama FIN, PSH i URG što nas potiče na razmišljanje da se radi o XMAS Scanu. | ||
| ==== UDP Scan ==== | ==== UDP Scan ==== | ||
| - | Prilkom UDP skeniranja napadač šalje UDP pakete bez nekog pametnog sadržaja na određena vrata. Ukoliko dobije ICMP paket tipa 3 (__koda 3__) kao povratnu poruku to znači da postoji vatrozid, no ako ne dobije ništa to može značiti da su vrata otvorena. U WireSharku UDP Scan otkrivamo filterom icmp.type==3 and icmp.code==3 čime provjerevamo ima li velike količine ICMP paketa tipa 3 s kodom 3, što bi nam ukazivalo na scan. | + | Prilkom UDP skeniranja napadač šalje UDP pakete bez nekog pametnog sadržaja na određena vrata. Ukoliko dobije ICMP paket tipa 3 (__koda 3__) kao povratnu poruku to znači da postoji vatrozid, no ako ne dobije ništa to može značiti da su vrata otvorena. U WireSharku UDP Scan otkrivamo filterom icmp.type==3 and icmp.code==3 čime provjerevamo ima li velike količine ICMP paketa tipa 3 s kodom 3, što bi nam ukazivalo na scan. |
| + | Na slici vidimo UDP Scan --> ogromna količina ICMP poruka tipa 3 (destination unreachable), | ||
| {{ : | {{ : | ||
| - | Na slici vidimo UDP Scan --> ogromna količina ICMP poruka tipa 3 (destination unreachable), | ||
| ==== IP Protocol Scan ==== | ==== IP Protocol Scan ==== | ||
| - | Skeniranje IP protokola korisno je u pronalaženju protokola koji rade preko (iznad) IP-a. Napadač šalje pakete s različitim brojevima protokola, te dobije li povratnu ICMP poruku tipa 3 s kodom 2 zaključuje da se protokol ne odvija. Filter koji bi otkrio ovaj tip skeniranja u WireSharku bio bi icmp. type==3 and icmp.code==2, | + | Skeniranje IP protokola korisno je u pronalaženju protokola koji rade preko (iznad) IP-a. Napadač šalje pakete s različitim brojevima protokola, te dobije li povratnu ICMP poruku tipa 3 s kodom 2 zaključuje da se protokol ne odvija. Filter koji bi otkrio ovaj tip skeniranja u WireSharku bio bi icmp. type==3 and icmp.code==2, |
| {{ : | {{ : | ||
| - | Na slici vidimo IP Protocol Scan --> mnoštvo ICMP paketa tipa 3 s kodom 2 (protocol unreachable), | ||
| ==== ARP Poisoning ==== | ==== ARP Poisoning ==== | ||
| Redak 127: | Redak 125: | ||
| ==== Prikrivene mreže ==== | ==== Prikrivene mreže ==== | ||
| - | Prikrivena mreža definirana je kao mehanizam koji se koristi za razbijanje sigurnosnih pravila dopuštanjem propuštanja informacija neovlaštenim procesima ili pojedincima (Cabuk i sur., 2004.). Napadači mogu iskoristiti ove skrivene veze na dva načina, i to naravno na štetu sigurnosti ciljanih sustava. Prvi se način sastoji od kanala za pohranu koji uključuje izravno i neizravno stvaranje memorijske lokacije za pohranu jednim postupkom i čitanje pohrane za drugi postupak. Ovakva pohrana vjerojatno bi povrijedila povjerljivost podataka jer procesi pisanja i čitanja možda nisu autorizirani ili mogu zaobići kontrolu. Drugi način sastoji se od vremenskih kanala koji koriste skrivenu vezu za slanje informacija drugom procesu s ciljem utjecaja na stvarno vrijeme odziva. Detektiranje i preventiranje ovakvih prikrivenih konekcija ključno je jer bi mogle otkriti korisničku šifru računala, podatke o kreditnoj kartici i slične __vrlo bitne__ korisničke podatke. WireShark može otkriti ovakve radnje, te pažljivim ispitivanjem i temeljitom analizom paketa, mrežni inženjeri mogu otkriti i ući u trag skrivenoj FTP vezi (u slučaju FTP prikrivenih konekcija) od početka do kraja, a istovremeno razumjeti sigurnosne štete prouzročene sumnjom na napad. Razumijevanjem učinaka skrivene FTP veze, stručnjaci za mrežnu sigurnost mogu odgovoriti odgovarajućim protumjerama kako bi umanjili moguće štete od napada i osigurali da se podaci u ukradenoj datoteci ne koriste za napad na druge sustave. Osim prikrivenih FTP konekcija postoje IRC (protokol za komuniciranje porukama u stvarnom vremenu, na mreži) kanali. Također jako opasan napad jer kao prvo, hakeri mogu prikriti skrivene IRC kanale u trojanskim konjima i koristiti ih za krađu kritičnih podataka i slati te podatke drugim strojevima pod njihovom kontrolom. Drugo, hakeri mogu koristiti IRC kanale za stvaranje backdoor napada i botneta. Botnet-i se obično šire putem USB pogona s bezazlenim datotekama, ali sadrže skrivene trojanske konje i druge zlonamjerne dokumente. Tajni kanali IRC-a mogu biti daleko najopasniji alat za anonimno prodiranje i nadzor mreže. WireShark nam tu nudi mogućnosti poput gledanja je li korisnik skidao neke dokumente s udaljenog računala, također možemo vidjeti i TCP-baziranu komunikaciju za svaki od IRC paketa (desni klik --> Follow TCP Path) te isčitamo svu komunikaciju između IRC klijenta (žrtva) i IRC poslužitelja. Tako analiziramo podatke koje je korisnik skidao i vidimo što treba promijeniti/ | + | Prikrivena mreža definirana je kao mehanizam koji se koristi za razbijanje sigurnosnih pravila dopuštanjem propuštanja informacija neovlaštenim procesima ili pojedincima (Cabuk i sur., 2004.). Napadači mogu iskoristiti ove skrivene veze na dva načina, i to naravno na štetu sigurnosti ciljanih sustava. Prvi se način sastoji od kanala za pohranu koji uključuje izravno i neizravno stvaranje memorijske lokacije za pohranu jednim postupkom i čitanje pohrane za drugi postupak. Ovakva pohrana vjerojatno bi povrijedila povjerljivost podataka jer procesi pisanja i čitanja možda nisu autorizirani ili mogu zaobići kontrolu. Drugi način sastoji se od vremenskih kanala koji koriste skrivenu vezu za slanje informacija drugom procesu s ciljem utjecaja na stvarno vrijeme odziva. Detektiranje i preventiranje ovakvih prikrivenih konekcija ključno je jer bi mogle otkriti korisničku šifru računala, podatke o kreditnoj kartici i slične __vrlo bitne__ korisničke podatke. WireShark može otkriti ovakve radnje, te pažljivim ispitivanjem i temeljitom analizom paketa, mrežni inženjeri mogu otkriti i ući u trag skrivenoj FTP vezi (u slučaju FTP prikrivenih konekcija) od početka do kraja, a istovremeno razumjeti sigurnosne štete prouzročene sumnjom na napad. Razumijevanjem učinaka skrivene FTP veze, stručnjaci za mrežnu sigurnost mogu odgovoriti odgovarajućim protumjerama kako bi umanjili moguće štete od napada i osigurali da se podaci u ukradenoj datoteci ne koriste za napad na druge sustave. Osim prikrivenih FTP konekcija postoje IRC (protokol za komuniciranje porukama u stvarnom vremenu, na mreži) kanali. Također jako opasan napad jer kao prvo, hakeri mogu prikriti skrivene IRC kanale u trojanskim konjima i koristiti ih za krađu kritičnih podataka i slati te podatke drugim strojevima pod njihovom kontrolom. Drugo, hakeri mogu koristiti IRC kanale za stvaranje backdoor napada i botneta. Botnet-i se obično šire putem USB pogona s bezazlenim datotekama, ali sadrže skrivene trojanske konje i druge zlonamjerne dokumente. Tajni kanali IRC-a mogu biti daleko najopasniji alat za anonimno prodiranje i nadzor mreže. WireShark nam tu nudi mogućnosti poput gledanja je li korisnik skidao neke dokumente s udaljenog računala, također možemo vidjeti i TCP-baziranu komunikaciju za svaki od IRC paketa (desni klik --> Follow TCP Path) te isčitamo svu komunikaciju između IRC klijenta (žrtva) i IRC poslužitelja. Tako analiziramo podatke koje je korisnik skidao i vidimo što treba promijeniti/ |
| ==== Preuzimanja ==== | ==== Preuzimanja ==== | ||
| - | Nenamjerno preuzimanje softvera ili datoteka s mreže naziva se " | + | Nenamjerno preuzimanje softvera ili datoteka s mreže naziva se " |
| U WireSharku poruke TCP paketa mogu ukazivati na to da se puno paketa prenosi između poslužitelja i klijenta, što je slučaj kod preuzimanja. Budući da će preuzimanja uglavnom uzrokuju zagušenje mrežnog prometa, neki će se paketi možda izgubiti i trebati će ih ponovno poslati kako bi se osigurala pouzdanost TCP-a. Kod TCP protokola, duplicirani ACK-ovi obično su simptom gubitka paketa. TCP "DUP ACK" poruke su okidač od klijenta koji ukazuje da nije primio zapis (onaj nakon ACK-a). Mnoštvo ažuriranja TCP prozora i TCP DUP ACK poruka u WireShark snimci ukazuje na zagušenja između klijenta i poslužitelja, | U WireSharku poruke TCP paketa mogu ukazivati na to da se puno paketa prenosi između poslužitelja i klijenta, što je slučaj kod preuzimanja. Budući da će preuzimanja uglavnom uzrokuju zagušenje mrežnog prometa, neki će se paketi možda izgubiti i trebati će ih ponovno poslati kako bi se osigurala pouzdanost TCP-a. Kod TCP protokola, duplicirani ACK-ovi obično su simptom gubitka paketa. TCP "DUP ACK" poruke su okidač od klijenta koji ukazuje da nije primio zapis (onaj nakon ACK-a). Mnoštvo ažuriranja TCP prozora i TCP DUP ACK poruka u WireShark snimci ukazuje na zagušenja između klijenta i poslužitelja, | ||
| + | |||
| + | Na slici vidimo napad prilikom preuzimanja, | ||
| {{ : | {{ : | ||
| - | Na slici vidimo napad prilikom preuzimanja, | ||
| ==== Napadi uskraćivanja usluge (DoS attacks) ==== | ==== Napadi uskraćivanja usluge (DoS attacks) ==== | ||
| Cilj DoS napada je spriječiti korisnike da pristupe resursima ili uslugama sustava. Ciljajući jedno računalo ili cijelu mrežnu vezu, napadač može žrtvama onemogućiti pristup važnim uslugama poput e-pošte, web stranica, mrežnih računa ili drugih aplikacija koje se oslanjaju na pogođena računala. Kako bi povećali učinke DoS napada, hakeri ih provode distribuirano, | Cilj DoS napada je spriječiti korisnike da pristupe resursima ili uslugama sustava. Ciljajući jedno računalo ili cijelu mrežnu vezu, napadač može žrtvama onemogućiti pristup važnim uslugama poput e-pošte, web stranica, mrežnih računa ili drugih aplikacija koje se oslanjaju na pogođena računala. Kako bi povećali učinke DoS napada, hakeri ih provode distribuirano, | ||
| + | |||
| DoS vrste napada dijelimo na refleksijske (gdje napadač šalje paket legitimnom poslužitelju treće strane s lažiranom izvorišnom IP adresom (žrtve) te zatim poslužitelj odgovara na tu adresu, amplifikacijske (napadač uzastopno šalje “get monlist” zahtjev NTP poslužitelju, | DoS vrste napada dijelimo na refleksijske (gdje napadač šalje paket legitimnom poslužitelju treće strane s lažiranom izvorišnom IP adresom (žrtve) te zatim poslužitelj odgovara na tu adresu, amplifikacijske (napadač uzastopno šalje “get monlist” zahtjev NTP poslužitelju, | ||
| Redak 151: | Redak 152: | ||
| ===== Literatura ===== | ===== Literatura ===== | ||
| - | [1] [[http://books.google.hr/books? | + | [1] [[https://www.researchgate.net/publication/ |
| - | [2] [[http://www.google.com/books? | + | [2] [[https://www.researchgate.net/profile/ |
| - | [3] [[http:// | ||