| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:mrezna_forenzika:napadi_na_tcp [2022/01/09 14:45]
mrobic [Zaključak] |
racfor_wiki:mrezna_forenzika:napadi_na_tcp [2024/12/05 12:24] (trenutno)
|
| |
| |
| Keywords: Transmission Control Protocol; podatkovni okteti; web preglednici; SSH; sigurnosni mehanizmi; napadi; | Ključne riječi: Transmission Control Protocol; podatkovni okteti; web preglednici; SSH; sigurnosni mehanizmi; napadi; |
| |
| ===== Uvod ===== | ===== Uvod ===== |
| |
| Transmission Control Protocol (TCP) nalazi se iznad IP sloja. Kako TCP omogućuje pouzdanu komunikaciju među procesima zahtjeva uspostavu veze prije samog prijenosa podataka. | Transmission Control Protocol (TCP) nalazi se iznad IP sloja. Kako TCP omogućuje pouzdanu komunikaciju među procesima zahtijeva uspostavu veze prije samog prijenosa podataka. |
| |
| Procedura uspostave je jednostavna, svaka strana šalje tzv. SYN segment u kojem objavljuje parametra bitne za konekciju. Odvija se u tri koraka (“three’way handshake”). | Procedura uspostave je jednostavna, svaka strana šalje tzv. SYN segment u kojem objavljuje parametre bitne za konekciju. Procedura se odvija se u tri koraka ("three'way handshake"). |
| |
| {{ :racfor_wiki:mrezna_forenzika:uspostava.png?400 |}} | {{ :racfor_wiki:mrezna_forenzika:uspostava.png?400 |}} |
| |
| Raskid TCP veze događa se kada aplikacije nemaju više podataka za razmjeniti. Prvo jedna strana šalje FIN bit postavljen na 1, zatim druga strana odgovara sa ACK i FIN te prva strana zaključuje raskid šaljući ACK bit. | Prekid TCP veze događa se kada aplikacije nemaju više podataka za razmijeniti. Prvo jedna strana šalje FIN bit postavljen na 1, zatim druga strana odgovara sa ACK i FIN bitovima te prva strana zaključuje prekid šaljući ACK bit postavljen na 1. |
| |
| {{ :racfor_wiki:mrezna_forenzika:raskid_tcp_veze.png?400 |}} | {{ :racfor_wiki:mrezna_forenzika:raskid_tcp_veze.png?400 |}} |
| |
| U struktura TCP zaglavlja posebno nam je zanimljivo polje “sequence number” čija je veličina 32 bita. Ovo polje nam služi za numeriranje jer sadrži broj prvog okteta segmenta. | U strukturi TCP zaglavlja posebno nam je zanimljivo polje broj u nizu (eng. "sequence number") čija je veličina 32 bita. Ovo polje nam služi za numeriranje jer sadrži broj prvog okteta segmenta. |
| |
| ====== Vrste napada ====== | ====== Vrste napada ====== |
| |
| TCP protokol može biti napadnut na mnogo načina. Napad uskraćivanje resursa, sekvencijsko predviđanje (koje je u osnovi slično TCP vetu), TCP resetiranje samo su neki od najčešćih TCP napada. Rezultate sveobuhvatne analize ranjivosti TCP protokola objavljene su 2009. Kako je protokol nezamjenjiv za sve ovo probleme su ponuđena i konkretna rješenja koja ublažavaju ili potpuno rješavaju sve probleme. | TCP protokol može biti napadnut na mnogo načina. Napad otmice veze (eng. session hijacking), sekvencijsko predviđanje (koje je u osnovi slično TCP vetu), TCP resetiranje samo su neki od najčešćih TCP napada. |
| | Rezultati sveobuhvatne analize ranjivosti TCP protokola objavljeni su 2009. godine. Kako je protokol nezamjenjiv za sve ove probleme ponuđena su konkretna rješenja koja ublažavaju ili potpuno rješavaju sve probleme. |
| |
| ===== SYN preplavljivanje ===== | ===== SYN preplavljivanje ===== |
| Ovaj napada događa se tijekom uspostave TCP konekcije, odnosno napada “three-way handshake” protokol. U slučaju DOS napada, napadač teško može server “srušiti” direktno, prvo mora naći serverovu Ahilovu tetivu. “Half-open connection queue” je upravo to. | Ovaj napada događa se tijekom uspostave TCP konekcije, odnosno napada “three-way handshake” protokol. U slučaju DOS napada, napadač teško može server “srušiti” direktno, prvo mora naći serverovu Ahilovu tetivu. “Half-open connection queue” je upravo to. |
| |
| Kada server zaprimi inicijalni SYN paket, on sprema posebnu strukturu u svoj red zvanu Transmission Control Block (TCB). U tom trenutku veza između klijenta I servera na pola je uspostavljena. Kada server dobije ACK paket od klijenta, TCB će maknuti iz reda. | Kada server zaprimi inicijalni SYN paket, on sprema posebnu strukturu u svoj red zvanu Transmission Control Block (TCB). U tom trenutku veza između klijenta i servera napola je uspostavljena. Kada server dobije ACK paket od klijenta, TCB će maknuti iz reda. |
| |
| Prije nego “three-way handshake” završi server mora spremiti u red sve TCB strukture te ako napadač uspije popuniti sav kapacitet reda u kratkom razdoblju, server neće moći prihvaćati nove SYN pakete te tako neće više primati nove konekcije iako CPU I njegov bandwith nisu dostigli maksimum. | Prije nego "three-way handshake" završi server mora spremiti u red sve TCB strukture te ako napadač uspije popuniti sav kapacitet reda u kratkom razdoblju, server neće moći prihvaćati nove SYN pakete te tako neće više primati nove konekcije iako CPU i njegov bandwith nisu dostigli maksimum. |
| |
| Napadačev posao je jednostavan, što prije napuniti serverov red tako da samo šalje SYN pakete na njega. Napadač će korisiti slučajnu IP adresu sa svakim novim zathjevom kako ga serverov vatrozid ne bi blokirao. Jedini način kako server može sada prazniti vlastiti red je da TCB-u istekne timeout koji može biti vremenski dugotrajan (otpr. 40s). | Napadačev posao je jednostavan, što prije napuniti serverov red tako da samo šalje SYN pakete na njega. Napadač će korisiti slučajnu IP adresu sa svakim novim zathjevom kako ga serverov vatrozid ne bi blokirao. Jedini način kako server može sada prazniti vlastiti red je da TCB-u istekne timeout koji može biti vremenski dugotrajan (otpr. 40s). |
| ===== TCP veto napad ===== | ===== TCP veto napad ===== |
| |
| Napad koji može predvidjeti sljedeći “sequence number” te veličinu sljedećeg paketa rezultirajući da primatelj primi potpuno ispravan paket kao da je sve normalno. Kada primatelj primi paket sa ispravnim brojem originialnog pošiljatelja, paket se samo odbaci (smatrajući da se radi o duplikatu prvog paketa). Kažemo da je maliciozni paket izvršio “veto” nad legitimnim paketom. Posebno je problematično što ovakav napad generira i do 600 puta manje mrežnog prometa od ostalih napada. Iako TCP veto napad daje napadaču manje kontrole nad komunikacijom od npr. TCP Session Hijacking napada, ova vrstu napada jako je teško otkriti. | Napad koji može predvidjeti sljedeći broj u nizu (eng. sequence number) te veličinu sljedećeg paketa rezultirajući da primatelj primi potpuno ispravan paket kao da je sve normalno. Kada primatelj primi paket sa ispravnim brojem originialnog pošiljatelja, paket se samo odbaci (smatrajući da se radi o duplikatu prvog paketa). Kažemo da je maliciozni paket izvršio “veto” nad legitimnim paketom. Posebno je problematično što ovakav napad generira i do 600 puta manje mrežnog prometa od ostalih napada. Iako TCP veto napad daje napadaču manje kontrole nad komunikacijom od npr. TCP Session Hijacking napada, ova vrstu napada jako je teško otkriti. |
| Sprječavanje ovakve vrste napada uključuje tcpcrypt, IPsec itd... | Sprječavanje ovakve vrste napada uključuje tcpcrypt, IPsec itd... |
| |
| ===== Zaključak ===== | ===== Zaključak ===== |
| |
| TCP protokol nema ugrađene sigurnosne mehanizme kako bi zaštitio konekciju te podatke od napada. Rezultat toga su mnogobrojne vrste napada. SYN Flooding i TCP Reset spadaju pod DoS vrste napada, dok ostala dva napada omogućuju napadaču ubacivanje malicioznih podataka u postojeću TCP vezu. | TCP protokol nema ugrađene sigurnosne mehanizme kako bi zaštitio konekciju te podatke od napada. Rezultat toga su mnogobrojne vrste napada. SYN poplavljivanje TCP resetiranje spadaju pod DoS vrste napada, dok ostala dva napada omogućuju napadaču ubacivanje malicioznih podataka u postojeću TCP vezu. |
| |
| Iako se napad oduzimanja veze (eng. session hijacking) može riješiti pomoću enkripcije, za ostale napade postoje rješenja (npr. SYN cookies za SYN Flooding napad) ali općenito probleme vezane uz sigurnost teško je riješiti. | Iako se napad oduzimanja veze(eng. session hijacking) može riješiti pomoću enkripcije, za ostale napade postoje rješenja (npr. SYN kolačići za SYN poplavljivanje), ali općenito probleme vezane uz sigurnost teško je riješiti. |
| |
| Važna lekcija naučena iz ovog protokola, ali i bilo kojeg drugog mrežnog protokola je da se sigurnost mora odmah ugraditi kako bi odmah riješila potencijalne napade. | Važna lekcija naučena iz ovog protokola, ali i bilo kojeg drugog mrežnog protokola je da se sigurnost mora odmah ugraditi kako bi odmah riješila potencijalne probleme. |
| |
| |
