идеи за подреждане на слайдовете: 01) Мрежова сигурност и мрежови атаки, добре дошли, url на курса, имената с малък шрифт 02) Лекция от курса "Мрежова сигуност" към ФМИ на тема "Мрежови атаки в/у datalink, network и transport слоевете от OSI модела" . Лектори ще бъдат: 03) Атанас Бъчваров 04) Васил Колев 05) Георги Чорбаджийски 06) Петър Пенчев 07) Светлин Наков 08) Николай Недялков 09) общ план на лекцията 1)въведение към лекцията.цел. Очаква се да имате основни знания по компютърни мрежи и TCP/IP протоколите. Цел - запознаване с възможни атаки в/у datalink, network и transport слоевете от OSI мрежовия модел 2) атаки, които ще бъдат демонстрирани, разделени спрямо слоевете -datalink- -- ARP poisoning -- Sniffing -network- -- IPID games -transport- -- TCPkill -- TCPnice -- SYN Flood -- blind TCP spoofing -application- -- DNSspoof 3) план за демонстрирането на всяка атака -- цел на атаката -- нужни условия -- теоретично обяснение -- схематично представяне и участници -- инструменти -- проиграване на атаката -- начини за защита 4) Топология на демонстрационната мрежа 5) въпроси и дискусия - след лекцията 10) Да не се злоупотребява с инструментите Атаките, които ще ви демонстрираме, са изключително и само с учебна цел. Ние не можем да ви задължим как да използвате знанията, за това само ще ви помолим да не злоупотребявате с тях. 11) Сега ще говорим за datalink слоя. (какво прави този слой, има го в листата) Тези атаки се прилагат в локална мрежа 12) ARP poisoning 1) Разлика между switch и hub (с картинка) 2) цел на атаката и нужни условия Да подслушваме чуждия трафик в локалната мрежа 3) Теоретично обяснение и схематично представяне 4) инструменти tcpdump, arpspoof 5) Следва демонстрация (картинка как пише по клавиатурата) -- превключваме на терминала -- връщаме се на слайда 6) Методи за защита и варианти за тяхното заобикаляна Методи за откриване и методи за предотвратяване arp , ping -r, traceroute managed switch с arp филтър и network слой филтри, PVLANS 7) arp - можем да видим, че 2 машини в локалната мрежа имат един и същ mac адрес. проблем - важи само за нашата локална мрежа arpwatch (?) 8) ping -r - Можем да видим пътя на пакета. Проблем - можем да го заобиколим , patch за ядрото, а и може да следи път с дължина до 8 машини http://vasil.ludost.net/22mx1.patch за linux freebsd IPSTEALTH опция на ядрото 9) traceroute - можем да видим пътя на пакета. Проблем - може да се заобиколи, ipt_TTL http://www.iptables.org/ freebsd - IPSTEALTH 10) следва демонстрация -- превключване на терминала -- връщане на слайда 11) managed switch с филтри - да може да филтрира лошите пакети (по arp и IP), много скъпо устройство 13) Подслушване и анализ на трафик 1) Следва демонстрация на подслушване на трафик (картинка как някой слуша) -- превключване на терминала -- връщане на слайда ---- да се пъхне тука dnsspoofing 14) Преминаваме към атаки на network слоя (какво има на този слой) Тези атаки могат да се прилагат в Интернет 15) IPID games 1) Цели на атаката - да сканираме машина без сканираният да разбере че сме ние, да установим колко трафик генерира машина 2) Нужни условия -- какво е zombie свързаност между нас машината която ще сканираме и машината която ще ползваме за zombie машина, която генерира лесно предвидими IPID (windows *) 3) Теоретично обяснение със схема (жоро я е пратил в листата) 4) Схематично представяне и участници 5) Следва демонстрация на атаката -- минаваме на терминала -- връщаме се в слайда 6) Защити - трябва да се смени операционната система или egress филтриране, за да не допускат spoofed пакети 16) Преминаваме към атаки на transport слоя (какво има на този слой) Тези атаки могат да се прилагат в Интернет 17) TCPkill 1) Пояснение за tcp - 3way handshake, RST,FIN 2) Цел на атаката и нужни условия Да се убие tcp връзка м/у 2 машини или да не позволим отварянето на връзка -- условия начин да разберем текущия tcp sequence на дадена tcp сесия, например чрез подслушване Операционните системи нямат значение (от това спасение няма) 3) Теоретично обяснение Картинка как лошия чува трафика и праща пакети, които затварят връзката 4) Инструменти tcpkill, arpspoof 5) Следва демонстрация -- превключване на терминала -- връщане 6) Защити - като при arp spoof или ОС, на която не може да се познава лесно ISN,ако не подслушват 18) TCPnice 1) Пояснение за TCP - window scale, MTU, icmp source quench 2) Цел на атаката и нужни условия Да се забави отворена tcp връзка м/у 2 машини начин да разберем текущия tcp sequence на дадена tcp сесия, например чрез подслушване Операционните системи нямат значение 3) Теоретично обяснение, схема, инструменти 4) Демонстрация -- превключване и връщане 5) Защити - като при tcpkill/arpspoof (да не може да се подслушва) 19) SYN flood 1) Цел на атаката и нужни условия Да спрем приемането на нови TCP връзки от определена машина на определени портове Машина, която да атакуваме, с операционна система без защита срещу тази атака unreachable машина/машини, за която/които да се представим 2) Теоретично обяснение и схема 3) Инструменти 4) Демонстрация -- превключване 5) Защити и демонстрация на защитите syncookies има ги за linux, *bsd, в windows няма такова решение -- превключваме 20) dnsspoof -- може да го преместим 1) Атаката е в/у DNS протокола и datalink слоя 2) Цел , нужни условия Да се представим като друг сайт/да прехвърлим трафика към нас 3) Теоретично обяснение/схема 4) Инструменти 5) Демонстрация -- превключване 6) Защити като за arpspoof, ИЛИ DNSSEC 21) Колко важен е email-а 22) Blind TCP spoofing 1) Цел на атаката и нужни условия Да направим tcp връзка до определена машина от произволен IP адрес Машина, която да атакуваме, с операционна система със слаби ISN unreachable машина, за която да се представим 2) Теоретично обяснение и схема 3) Инструменти дописани от нас 4) Демонстрация -- превключване 5) Защити Смяна на операционната система Има софтуер за windows (personal firewall), който може да ги рандомизира 23) Следва дискусия, въпроси и т.н.