Ασφάλεια Υπολογιστικών Συστημάτων

Σχετικά έγγραφα
Ασφάλεια Υπολογιστικών Συστημάτων

Ασφάλεια Υπολογιστικών Συστημάτων

Ασφάλεια Υπολογιστικών Συστημάτων. Ενότητα 9: Intrusion Detection Systems - Netfilter (Μέρος 1) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Ειδικά Θέματα Δικτύων Ι

Ασφάλεια Υπολογιστικών Συστημάτων

Λογιστική Κόστους Ενότητα 12: Λογισμός Κόστους (2)

Ασφάλεια Υπολογιστικών Συστημάτων. Ενότητα 10: Intrusion Detection Systems - Netfilter (Μέρος 2) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Ειδικά Θέματα Δικτύων ΙΙ. Ενότητα 7: Δρομολόγηση κατάστασης ζεύξης (Μέρος 1) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Ειδικά Θέματα Δικτύων Ι

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Λογιστική Κόστους Ενότητα 8: Κοστολογική διάρθρωση Κύρια / Βοηθητικά Κέντρα Κόστους.

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Εισαγωγή στους Αλγορίθμους

Σχεδίαση Δικτύων Υπολογιστών

Ειδικά Θέματα Δικτύων ΙΙ. Ενότητα 8: Δρομολόγηση κατάστασης ζεύξης (Μέρος 2) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Βάσεις Δεδομένων. Ενότητα 1: Εισαγωγή στις Βάσεις δεδομένων. Πασχαλίδης Δημοσθένης Τμήμα Ιερατικών σπουδών

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Ειδικά Θέματα Δικτύων ΙΙ

Εισαγωγή στους Αλγορίθμους

Ειδικά Θέματα Δικτύων Ι

Διοίκηση Εξωτερικής Εμπορικής Δραστηριότητας

Σχεδίαση Δικτύων Υπολογιστών

Ειδικά Θέματα Δικτύων Ι

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Θερμοδυναμική. Ανοικτά Ακαδημαϊκά Μαθήματα. Πίνακες Νερού σε κατάσταση Κορεσμού. Γεώργιος Κ. Χατζηκωνσταντής Επίκουρος Καθηγητής

Λογιστική Κόστους Ενότητα 11: Λογισμός Κόστους

Ειδικά Θέματα Δικτύων ΙΙ

Ειδικά Θέματα Δικτύων ΙΙ

Εισαγωγή στους Αλγορίθμους Ενότητα 9η Άσκηση - Αλγόριθμος Prim

Τεχνολογία Λογισμικού

Λογιστική Κόστους Ενότητα 11: Λογισμός Κόστους (1)

Μηχανολογικό Σχέδιο Ι

Μεθοδολογία Έρευνας Κοινωνικών Επιστημών Ενότητα 2: ΣΥΓΚΕΝΤΡΩΣΗ ΠΛΗΡΟΦΟΡΙΩΝ ΜΑΡΚΕΤΙΝΓΚ Λοίζου Ευστράτιος Τμήμα Τεχνολόγων Γεωπόνων-Kατεύθυνση

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Εισαγωγή στους Αλγορίθμους

Οργάνωση και Διοίκηση Πωλήσεων Ενότητα 1: Ο ΡΟΛΟΣ ΤΩΝ ΠΩΛΗΣΕΩΝ ΣΤΟ ΠΛΑΙΣΙΟ ΤΗΣ ΣΤΡΑΤΗΓΙΚΗΣ ΜΑΡΚΕΤΙΝΓΚ

Σχεδίαση Δικτύων Υπολογιστών

ΗΛΕΚΤΡΟΤΕΧΝΙΑ-ΗΛΕΚΤΡΟΝΙΚΗ ΕΡΓΑΣΤΗΡΙΟ

Λογιστική Κόστους Ενότητα 10: Ασκήσεις Προτύπου Κόστους Αποκλίσεων.

ΑΝΤΙΡΡΥΠΑΝΤΙΚΗ ΤΕΧΝΟΛΟΓΙΑ ΑΙΩΡΟΥΜΕΝΩΝ ΣΩΜΑΤΙΔΙΩΝ Ενότητα 2: Αιωρούμενα σωματίδια & Απόδοση συλλογής Αν. Καθ. Δρ Μαρία Α. Γούλα Τμήμα Μηχανικών

Διοικητική Λογιστική

Σχεδίαση Δικτύων Υπολογιστών

Διδακτική της Πληροφορικής

Ασφάλεια Υπολογιστικών Συστημάτων

Ειδικά Θέματα Δικτύων Ι

Ενότητα. Εισαγωγή στη Microsoft Access

Εισαγωγή στους Αλγορίθμους Ενότητα 10η Άσκηση Αλγόριθμος Dijkstra

Ενότητα. Εισαγωγή στις βάσεις δεδομένων

Ειδικά Θέματα Δικτύων Ι

ΣΥΣΤΗΜΑΤΑ ΗΛΕΚΤΡΙΚΗΣ ΕΝΕΡΓΕΙΑΣ ΙIΙ

ΣΥΣΤΗΜΑΤΑ ΗΛΕΚΤΡΙΚΗΣ ΕΝΕΡΓΕΙΑΣ ΙIΙ

ΣΥΣΤΗΜΑΤΑ ΗΛΕΚΤΡΙΚΗΣ ΕΝΕΡΓΕΙΑΣ ΙIΙ

Προγραμματισμός Ηλεκτρονικών Υπολογιστών 2 - Εργαστήριο

Σχεδίαση Δικτύων Υπολογιστών

ΑΝΑΛΥΣΗ ΧΡΗΜΑΤΟΟΙΚΟΝΟΜΙΚΩΝ ΚΑΤΑΣΤΑΣΕΩΝ

ΗΛΕΚΤΡΟΤΕΧΝΙΑ-ΗΛΕΚΤΡΟΝΙΚΗ ΕΡΓΑΣΤΗΡΙΟ

Ηλεκτροτεχνία ΙΙ. Ενότητα 2: Ηλεκτρικά κυκλώματα συνεχούς ρεύματος. Δημήτρης Στημονιάρης, Δημήτρης Τσιαμήτρος Τμήμα Ηλεκτρολογίας

Εκκλησιαστικό Δίκαιο. Ενότητα 10η: Ιερά Σύνοδος της Ιεραρχίας και Διαρκής Ιερά Σύνοδος Κυριάκος Κυριαζόπουλος Τμήμα Νομικής Α.Π.Θ.

Εισαγωγή στην Πληροφορική

ΑΝΤΙΡΡΥΠΑΝΤΙΚΗ ΤΕΧΝΟΛΟΓΙΑ ΑΙΩΡΟΥΜΕΝΩΝ ΣΩΜΑΤΙΔΙΩΝ Ενότητα 6: Ηλεκτροστατικά Φίλτρα

Σχεδίαση Δικτύων Υπολογιστών

ΟΙΚΟΝΟΜΕΤΡΙΑ. Ενότητα 3: Πολλαπλή Παλινδρόμηση. Αναπλ. Καθηγητής Νικόλαος Σαριαννίδης Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Ασφάλεια Υπολογιστικών Συστημάτων

ΟΙΚΟΝΟΜΕΤΡΙΑ. Ενότητα 1: Εκτιμητές και Ιδιότητες. Αναπλ. Καθηγητής Νικόλαος Σαριαννίδης Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Εισαγωγικές έννοιες θεωρίας Συστημάτων Αυτομάτου Ελέγχου

Σχεδίαση Δικτύων Υπολογιστών. Ενότητα 8: Δρομολόγηση κατάστασης ζεύξης (Μέρος 1 ο ) Άγγελος Μιχάλας Τμήμα Μηχανικών Πληροφορικής ΤΕ

Προγραμματισμός H/Y Ενότητα 7: Αρχεία. Επικ. Καθηγητής Συνδουκάς Δημήτριος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Ασφάλεια Πληροφοριακών Συστημάτων

Τεχνολογία Πολυμέσων. Ενότητα 8: Pool Table. Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Συστήματα Αναμονής. Ενότητα 6: Θεωρία Ουρών. Αγγελική Σγώρα Τμήμα Μηχανικών Πληροφορικής ΤΕ

ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΣ Η/Υ. Ενότητα: Εισαγωγή ΚΥΡΟΠΟΥΛΟΣ ΚΩΝΣΤΑΝΤΙΝΟΣ. Τμήμα Διοίκηση Επιχειρήσεων (Κοζάνη)

Ειδικά Θέματα Δικτύων Ι

Τεχνολογία Πολυμέσων. Ενότητα4: Επεξεργασία Βίντεο - Avidemux. Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Ιστορία της μετάφρασης

Σχεδίαση Δικτύων Υπολογιστών

Οργάνωση και Διοίκηση Πωλήσεων

Προγραμματισμός H/Y Ενότητα 4: Δείκτες. Επικ. Καθηγητής Συνδουκάς Δημήτριος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Συστήματα Αναμονής. Ενότητα 3: Στοχαστικές Ανελίξεις. Αγγελική Σγώρα Τμήμα Μηχανικών Πληροφορικής ΤΕ

Προγραμματισμός H/Y Ενότητα 5: Συναρτήσεις. Επικ. Καθηγητής Συνδουκάς Δημήτριος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Στατιστική Ι. Ενότητα 3: Στατιστική Ι (3/4) Αναπλ. Καθηγητής Νικόλαος Σαριαννίδης Τμήμα Διοίκησης Επιχειρήσεων (Κοζάνη)

Ειδικά Θέματα Δικτύων ΙΙ

Εισαγωγή στους Αλγορίθμους Ενότητα 9η Άσκηση - Αλγόριθμος Kruskal

Προγραμματισμός Η/Υ. 7 η ενότητα: Αρχεία. Τμήμα. Τεχνολόγων Περιβάλλοντος. ΤΕΙ Ιονίων Νήσων. Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Ιονίων Νήσων

Αντικειμενοστρεφής Προγραμματισμός Ενότητα 9: Ειδικά θέματα γλώσσας C/C++. Επικ. Καθηγητής Συνδουκάς Δημήτριος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Αθήνας. Βιοστατιστική (Ε) Ενότητα 3: Έλεγχοι στατιστικών υποθέσεων

Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Αθήνας. Βιοστατιστική (Ε) Ενότητα 1: Καταχώρηση δεδομένων

Θερμοδυναμική. Ανοικτά Ακαδημαϊκά Μαθήματα. Πίνακες Νερού Υπέρθερμου Ατμού. Γεώργιος Κ. Χατζηκωνσταντής Επίκουρος Καθηγητής

Λογιστική Κόστους Ενότητα 5: Προορισμός Κόστους

Εισαγωγή στους Αλγορίθμους Φροντιστήριο 1

Προγραμματισμός H/Y Ενότητα 6: Δομές (structures) Επικ. Καθηγητής Συνδουκάς Δημήτριος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Θεσμοί Ευρωπαϊκών Λαών Ι 19 ος -20 ος αιώνας

Λογιστική Κόστους. Ενότητα 4: ΣΥΜΠΕΡΙΦΟΡΑ - ΦΥΣΗ ΚΟΣΤΟΥΣ. Μαυρίδης Δημήτριος Τμήμα Λογιστικής και Χρηματοοικονομικής

Προγραμματισμός H/Y Ενότητα 3: Πίνακες αριθμών και χαρακτήρων. Επικ. Καθηγητής Συνδουκάς Δημήτριος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Σχεδίαση Δικτύων Υπολογιστών

Βάσεις Δεδομένων. Ενότητα 5: ΚΑΝΟΝΙΚΟΠΟΙΗΣΗ ΒΑΣΗΣ ΔΕΔΟΜΕΝΩΝ. Πασχαλίδης Δημοσθένης Τμήμα Ιερατικών σπουδών

ΗΛΕΚΤΡΟΤΕΧΝΙΑ-ΗΛΕΚΤΡΟΝΙΚΗ ΕΡΓΑΣΤΗΡΙΟ

Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Αθήνας. Βιοστατιστική (Ε) Ενότητα 2: Περιγραφική στατιστική

Ειδικά Θέματα Δικτύων ΙΙ

Transcript:

Ασφάλεια Υπολογιστικών Συστημάτων Ενότητα 7: Intrusion Detection Systems - Windump Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Άδειες Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό υλικό, όπως εικόνες, που υπόκειται σε άλλου τύπου άδειας χρήσης, η άδεια χρήσης αναφέρεται ρητώς. 2

Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα στο TEI Δυτικής Μακεδονίας και στην Ανώτατη Εκκλησιαστική Ακαδημία Θεσσαλονίκης» έχει χρηματοδοτήσει μόνο τη αναδιαμόρφωση του εκπαιδευτικού υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους. 3

Σκοποί ενότητας Αυτή η εργαστηριακή ενότητα πραγματεύεται ζητήματα σχετικά με την κρυπτογραφία με το Windump. 4

Περιεχόμενα ενότητας (1/2) Windump - Περιγραφή. Καθορίζοντας την ποσότητα δεδομένων που θα συλλεχθούν. Αναλύοντας το output του Windump. Ανάλυση συνδέσεων TCP. Ανάλυση φίλτρων WinDump. Windump και ασφάλεια από συγκεκριμένες επιθέσεις. 5

Περιεχόμενα ενότητας (2/2) SQL Slammer. Fragmentation Attack. Land Attack. Smurf Attack. Ερωτήματα. Βιβλιογραφία. 6

Intrusion Detection Systems - Windump

Windump - Περιγραφή (1/15) Το πρώτο βήμα προς την υλοποίηση μιας δικτυακής αρχιτεκτονικής, αφορά στην ικανότητα του εκπαιδευομένου που επιθυμεί να την υλοποιήσει να διαβάζει και να αναλύει γεγονότα δικτυακής κίνησης. Επιπλέον, για έναν διαχειριστή δικτύων, η έλλειψη γνώσης σχετικά με το δίκτυό του αποτελεί πρόβλημα. Η συγκέντρωση πληροφοριών σχετικά με ένα δίκτυο αποτελεί το πρώτο βήμα για έναν διαχειριστή που επιθυμεί να διατηρεί ένα ασφαλές δίκτυο. 8

Windump - Περιγραφή (2/15) Συνήθως βέβαια το σχέδιο του δικτύου (network layout) καθώς και οι υπολογιστικές συσκευές από τις οποίες αποτελείται υπάρχουν καταγεγραμμένα. Παρ όλα αυτά υπάρχουν και περιπτώσεις που δεν είναι. Αυτό συμβαίνει γιατί οι διάφορες μικρές ή μεγάλες αλλαγές στο δίκτυο που μπορεί να συμβαίνουν μέρα με τη μέρα μπορεί να αμεληθούν και να μην καταγραφούν. 9

Windump - Περιγραφή (3/15) Το εργαλείο WinDump (http://www.winpcap.org/windump), αποτελεί την έκδοση για το λειτουργικό σύστημα Windows του αναλυτή δικτυακής κίνηση TcpDump. Το συγκεκριμένο εργαλείο προσφέρεται ελεύθερα και μπορεί να χρησιμοποιηθεί και ως ανιχνευτής μη επιθυμητής δικτυακής κίνησης αλλά και για την ανίχνευση προβλημάτων του δικτύου. Η Εικόνα 1 παρουσιάζει μια απλή δικτυακή αρχιτεκτονική και παρουσιάζει ενδεικτικά σημεία τοποθέτησης αισθητήρων για την καταγραφή δικτυακής κίνησης. 10

Windump - Περιγραφή (4/15) Εικόνα 1. Απλή δικτυακή αρχιτεκτονική για την καταγραφή της δικτυακής κίνησης. Πηγή: Διδάσκων (2015). 11

Windump - Περιγραφή (5/15) Η αρχιτεκτονική αποτελείται από το εσωτερικό δίκτυο που συνδέει τρεις υπολογιστές εργασίας μέσο ενός απλού hub, από τη ζώνη που περιλαμβάνει τον εξυπηρετητή παροχής υπηρεσιών (π.χ. ιστοσελίδα, e-mail), από το firewall που χωρίζει το δίκτυο σε ζώνες (λεπτομέρειες στην επόμενη παράγραφο) και από ένα δρομολογητή (router) που αποτελεί τον κόμβο σύνδεσης με το Διαδίκτυο (Internet). Η καταγραφή δικτυακής κίνησης, μπορεί να πραγματοποιηθεί σε οποιοδήποτε μηχάνημα της αρχιτεκτονικής. 12

Windump - Περιγραφή (6/15) Το WinDump/tcpdump, παρουσιάζει τη δικτυακή κίνηση στην οθόνη του υπολογιστή, ή την αποθηκεύει σε αρχείο καταγραφής για περαιτέρω ανάλυση. Για την καταγραφή της επιθυμητής κίνησης, χρησιμοποιεί ένα σύνολο κανόνων φίλτρα, οι οποίοι το παραμετροποιούν με στόχο την επίτευξη της καταγραφής της επιθυμητής κίνησης ανά περίπτωση. Το εργαλείο αυτό, χρησιμοποιείται για ερευνητικούς σκοπούς κατά τη δοκιμή νέων πρωτοκόλλων και κατά τη λειτουργία ενός οργανισμού για την επαλήθευση της ορθής παραμετροποίησης και λειτουργίας μηχανισμών δικτύου. 13

Windump - Περιγραφή (7/15) Στο χώρο της ασφάλειας, αποτελεί ένα πρώτο βήμα για την ανίχνευση μη επιθυμητής κίνησης σε δικτυακό επίπεδο. Για να χρησιμοποιήσετε το εργαλείο, μπορείτε να κατεβάσετε από την ηλεκτρονική τάξη το αρχείο WinDump.exe. Πρόκειται για ένα εκτελέσιμο το οποίο δεν προαπαιτεί εγκατάσταση. Η χρήση του εργαλείου απαιτεί επιπροσθέτως και την εγκατάσταση της τελευταίας έκδοσης του WinPcap. Aνοίξτε ένα cmd και μπείτε στο path όπου αποθηκεύσατε το WinDump.exe. Για να χρησιμοποιήσετε το Windump χρειάζεται απλά να γράψετε στο cmd την εντολή Windump (Εικόνα 2) 14

Windump - Περιγραφή (8/15) Εικόνα 2. Windump. Πηγή: Διδάσκων (2015). Η παραπάνω εντολή θα παρακολουθήσει και καταγράψει όλη την κίνηση από το default network interface του υπολογιστή σας και θα παρουσιάσει το αποτέλεσμα της καταγραφής στην κονσόλα. Αν λοιπόν η κίνηση την ώρα που κάνετε την καταγραφή είναι αυξημένη, θα παρατηρήσετε την καταγραφή πολλών μηνυμάτων στην κονσόλα. 15

Windump - Περιγραφή (9/15) Επειδή δεν είναι και τόσο εύχρηστο να προσπαθούμε να διαβάζουμε τα μηνύματα αυτά την ώρα που καταγράφονται, έχουν δημιουργηθεί κάποιες επιλογές παράμετροι τις οποίες μπορούμε να χρησιμοποιήσουμε στο Windump για να διευκολύνουμε την διαδικασία της παρουσίασης κατανόησης της καταγεγραμμένης κίνησης. Η γενική μορφή των εντολών του windump είναι: windump [<offset>:<length>] <relation> <value> 16

Windump - Περιγραφή (10/15) Επειδή ένας υπολογιστής μπορεί να έχει πολλά και διαφορετικά network interfaces μπορείτε να χρησιμοποιήσετε την παράμετρο D για να δείτε τη λίστα με τα interfaces που υπάρχουν διαθέσιμα στον υπολογιστή σας (Εικόνα 3). Εικόνα 3. Η windump D παρουσιάζει τα διαθέσιμα network interfaces. Πηγή: Διδάσκων (2015). 17

Windump - Περιγραφή (11/15) Στην Εικόνα 3 για παράδειγμα, το αποτέλεσμα της εντολής υποδεικνύει την ύπαρξη 4 διαφορετικών network interfaces. Αν θέλουμε να επιλέξουμε εμείς το network interface το οποίο θέλουμε να παρακολουθούμε θα πρέπει στις εντολές του Windump να περιλαμβάνουμε πάντα την παράμετρο i IN, όπου ΙΝ ο αριθμός που χαρακτηρίζει το network interface που μας ενδιαφέρει στην λίστα με τα interfaces. Για παράδειγμα, αν από την λίστα με τα interfaces της Εικόνας 3 μας ενδιαφέρει να καταγράψουμε την κίνηση του wireless interface, αρκεί να χρησιμοποιούμε τις εντολές μας την παράμετρο i 1 (Εικόνα 4). Εικόνα 4. Η εντολή windump i 1. Πηγή: Διδάσκων (2015). 18

Windump - Περιγραφή (12/15) Αν θέλουμε να καταγράψουμε κίνηση συγκεκριμένου τύπου, μπορούμε να προσδιορίσουμε τον τύπο της κίνησης αμέσως μετά τον προσδιορισμό του network interface. Για παράδειγμα αν θέλουμε να καταγράψουμε μόνο TCP κίνηση μπορούμε να χρησιμοποιήσουμε την εντολή windump i 1 tcp. Εικόνα 5. Η εντολή windump i 1 tcp. Πηγή: Διδάσκων (2015). 19

Windump - Περιγραφή (13/15) Σε περίπτωση που θέλετε να σταματήσετε το WinDump πατήστε ctrl-c. Επειδή όμως τα φίλτρα τα οποία μπορούμε να δημιουργήσουμε μπορούν να γίνουν αρκετά περίπλοκα, το Windump μας δίνει την δυνατότητα να καταγράφουμε τα φίλτρα σε ένα αρχείο π.χ. filter.txt και στην συνέχεια να χρησιμοποιούμε την παράμετρο F filter.txt για να φορτώσουμε το αρχείο έτσι ώστε να μην χρειάζεται κάθε φορά να γράφουμε όλο το φίλτρο από την αρχή. Η εντολή τότε που θα χρησιμοποιούμε θα είναι: windump i 1 F filter.txt 20

Windump - Περιγραφή (14/15) Επιπλέον, το windump μας δίνει την δυνατότητα να καταγράφουμε τα αποτελέσματα της καταγραφής μας σε ένα binary αρχείο το οποίο μπορούμε ανά πάσα στιγμή να το ανοίξουμε προς ανάγνωση από το windump. Για την καταγραφή σε binary αρχείο χρησιμοποιούμε την παράμετρο w filename όπως για παράδειγμα στην παρακάτω εντολή: windump i 1 F filter.txt w output 21

Windump - Περιγραφή (15/15) Αντίστοιχα για να διαβάσουμε ένα binary αρχείο χρησιμοποιούμε την παράμετρο r filename όπως για παράδειγμα στην παρακάτω εντολή: windump i 1 F filter.txt r output Τέλος, μπορούμε να χρησιμοποιήσουμε την παράμετρο > για να αποθηκεύσουμε το αποτέλεσμα της καταγραφής σε ένα αρχείο το οποίο μπορούμε να αναγνώσουμε: windump i 1 > output.txt 22

Καθορίζοντας την ποσότητα δεδομένων που θα συλλεχθούν (1/2) Το Windump συλλέγει datagrams μεγέθους 68 bytes. Το μέγεθος αυτό ίσως σε κάποιες περιπτώσεις να μην επαρκεί οπότε το Windump μας δίνει την δυνατότητα να το αλλάξουμε. Τα 68 bytes που συλλέγει το Windump προφανώς δεν αφορούν στο σύνολο ενός datagram αλλά μόνο σε κάποια στοιχεία της επικεφαλίδας του. Αυτό συμβαίνει γιατί συνήθως μας ενδιαφέρει περισσότερο να παρατηρήσουμε την επικεφαλίδα του μηνύματος και όχι το υπόλοιπο περιεχόμενο. 23

Καθορίζοντας την ποσότητα δεδομένων που θα συλλεχθούν (2/2) Τα 68 bytes που καταγράφει περιλαμβάνουν στην ουσία 14 bytes της επικεφαλίδας του frame, 20 bytes της επικεφαλίδας του IP, 20 bytes της επικεφαλίδας του TCP και 14 bytes της επικεφαλίδας του Ethernet. Αν θέλουμε να τροποποιήσουμε το μέγεθος καταγραφής μπορούμε να χρησιμοποιήσουμε την παράμετρο s length: windump i 1 -s 1514 24

Αναλύοντας το output του Windump (1/3) Ας προσπαθήσουμε τώρα να αναλύσουμε το περιεχόμενο των καταγραφών του windump. Εικόνα 6. Παράδειγμα καταγραφής μηνύματος από το windump. Πηγή: Διδάσκων (2015). 20:08:41.313149 είναι το timestamp καταγραφής του μηνύματος σε μορφή HH:MM:SS.FFFFFF. rootwars.org είναι το source host name. Σε περίπτωση που δεν θέλουμε να βλέπουμε ονόματα αλλά διευθύσνεις IP μόνο μπορούμε να χρησιμοποιήσουμε την παράμετρο n. 25

Αναλύοντας το output του Windump (2/3) 1086 είναι το source port number. Το σύμβολο > δηλώνει την κατεύθυνση της κίνησης από το source στο destination. 66.102.9.104 είναι η destination IP address. 80 είναι το destination port number. S υποδηλώνει οτι στο συγκεκριμένο μήνυμα είναι ενεργοποιημένο το SYN FLAG. 26

Αναλύοντας το output του Windump (3/3) 1192278531: 1192278531(0). Οι αριθμοί 1192278531 και 1192278531 υποδηλώνουν τον πρώτο τον τελευταίο αριθμό ακολουθίας (sequence number) του μηνύματος. win 1638. Προσδιορίζει τον buffer size (σε bytes) του rootwars.org για αυτήν την σύνδεση. 27

Ανάλυση συνδέσεων TCP (1/4) Εκτελέστε την ακόλουθη εντολή (θέτοντας φυσικά κατάλληλη τιμή στο x) η οποία θα καταγράψει πακέτα προς ή από την θύρα 80 και θα γράψει το αποτέλεσμα στο αρχείο out: windump.exe i x port 80 > out.txt Ανοίξτε έναν browser και συνδεθείτε στο informatics.teiwm.gr. 28

Ανάλυση συνδέσεων TCP (2/4) Περιμένετε περίπου 30 δευτερόλεπτα για να δείτε την σελίδα και να κλείσει η σύνδεση HTTP. Σταματήστε το WinDump με ctrl-c. Στη συνέχεια ανοίξτε το αρχείο οut για να δείτε το output των πακέτων που καταγράφηκαν. Μπορείτε να ανοίξετε το αρχείο π.χ. με notepad. Αναγνωρίστε τα πακέτα SYN που άνοιξαν την κίνηση στον server. Στη συνέχεια αναγνωρίστε τα πακέτα FIN που κλείνουν την σύνδεση με τον server. 29

Ανάλυση συνδέσεων TCP (3/4) 1. Ποιά είναι το όνομα του localhost του υπολογιστή σας που εμφανίζεται στα πακέτα; 2. Ποιό είναι το όνομα του host που τρέχει στον server που επισκεφτήκατε; 3. Ποιό είναι το αρχικό Window size του server στο πρώτο SYN πακέτο που στέλνει στον υπολογιστή σας; 4. Ποιό είναι το αρχικό Window size του υπολογιστή σας στο πρώτο SYN πακέτο που στέλνει στον server; 30

Ανάλυση συνδέσεων TCP (4/4) 5. Πόσα bytes αποστέλλονται από τον υπολογιστή σας στον server στο πρώτο HTTP request; 6. Πόσα συνεxόμενα πακέτα αποστέλλονται από τον server στον υπολογιστή σας σαν απάντηση στο HTTP request πριν να στείλει ο υπολογιστής σας επιβεβαίωση (acknowledgement); 7. Πόσα συνεχόμενα bytes επιβεβαιώνει ο υπολογιστής σας σε αυτήν την επιβεβαίωση; 8. Αναγνωρίστε το πακέτο FIN που στέλνει ο server στον υπολογιστή σας. Πόσα bytes δεδομένων περιέχονται σε αυτό; 31

Φίλτρο -a Ανάλυση φίλτρων WinDump (1/6) Πίνακας 1. Ανάλυση φίλτρων WinDump. Πηγή: Διδάσκων (2015). Ιδιότητα Μετατροπή διευθύνσεων δικτύου ονόματα -c count Έξοδος μετά από την καταγραφή count πακέτων -F filename Χρησιμοποιεί σαν είσοδο το αρχείο filename -i ΙΝ Προσδιορίζει τον αριθμό του συγκεκριμένου interface στο οποίο θα καταγραφεί η κίνηση. -n Δεν μετατρέπει τις διευθύνσεις σε ονόματα. -r readfile Διαβάζει τα καταγεγραμμένα μηνύματα από το readfile. -w writefile Ορισμός δυαδικού αρχείου καταγραφής dst host host για τον ορισμό του κόμβου προορισμού του πακέτου, μέσω του ονόματος αυτού 32

Φίλτρο Ανάλυση φίλτρων WinDump src host host host host dst net net (2/6) Πίνακας 2. Ανάλυση φίλτρων WinDump (Συνέχεια). Πηγή: Διδάσκων (2015). src net net net net dst port port src port port port port protocol Ιδιότητα για τον ορισμό του κόμβου πηγής του πακέτου, μέσω του ονόματος αυτού για τον ορισμό του κόμβου του πακέτου, μέσω του ονόματος αυτού για τον ορισμό του δικτύου προορισμού του πακέτου για τον ορισμό του δικτύου πηγής του πακέτου για τον ορισμό του δικτύου του πακέτου για τον ορισμό της θύρας προορισμού του πακέτου για τον ορισμό της θύρας πηγής του πακέτου για τον ορισμό της θύρας του πακέτου για τον ορισμό του πρωτοκόλλου του πακέτου: πχ icmp, ah, esp, udp, tcp. 33

Ανάλυση φίλτρων WinDump (3/6) Επίσης χρησιμοποιούνται Boolean εκφράσεις όπως οι παρακάτω: host ehost and not port port Για να δείτε όλες τις παραμέτρους που υποστηρίζει το WinDump πληκτρολογείστε: WinDump.exe help 34

Ανάλυση φίλτρων WinDump (4/6) Γενικά είναι πολύ συνηθισμένο για έναν οργανισμό να επιτρέπουν συγκεκριμένες υπηρεσίες μόνο σε συγκεκριμένα hosts ή group από hosts. Πολλές φορές όμως είναι θεμιτό να θέλουν να γνωρίζουν εάν κάποιο host επιχειρεί την σύνδεση με κάποιο άλλο host ή υπηρεσία. Στην περίπτωση αυτή μπορούν να φτιάξουν το κατάλληλο φίλτρο έτσι ώστε να παρακολουθούν την κίνηση που τους ενδιαφέρει. Για παράδειγμα μπορούν να χρησιμοποιήσουν το φίλτρο: tcp and (dst port 143) and not (host.goodguy.org or net 192.168.4.15) 35

Ανάλυση φίλτρων WinDump (5/6) Γενικά, περίπου το 20% των επιθέσεων αφορούν DNS, mail και web servers. Σκεφτείτε για παράδειγμα τι θα συμβεί αν χάσετε τον έλεγχο του DNS server του δικτύου σας. Είναι λοιπόν θεμιτό να παρακολουθείτε στενότερα τέτοιου είδους συστήματα του δικτύου σας. Προσπαθήστε για παράδειγμα να δώσετε ερμηνεία στο παρακάτω φίλτρο. 36

Ανάλυση φίλτρων WinDump (6/6) (dst host 192.168.1.1 and ( (tcp and ((tcp[13] & 2!= 0) and (tcp[13] & 0x10 = 0)) and (not dst port 80)) or (udp and not dst port 53 and not dst port 137) or (icmp and (icmp[0]!= 8) and (icmp[0]!= 0) and (icmp[0]!= 3) and (icmp[0]!= 11)) or (not (tcp or udp or icmp)) )) 37

Windump και ασφάλεια από συγκεκριμένες επιθέσεις Το Windump χρησιμοποιείται για αναγνώριση πιθανόν επιθέσων δικτύου. Ακολουθούν οι περιγραφές τέτοιων επιθέσεων μαζί με τα αντίστοιχα φίλτρα του Windump για την αναγνώρισή τους. 38

SQL Slammer (1/3) Το worm SQL Slammer κατάφερε στις 25/01/2003 και μέσα σε 30 λεπτά να μολύνει περίπου 75.000 τρωτά συστήματα. Θεωρείται ένα από τα πιο γρήγορα εξαπλώμενα worms των τελευταίων χρόνων. To worm μόλυνε την υπηρεσία Microsoft SQL Server πάνω από UDP στην θύρα 1434. Αποτελεί το πρώτο επιτυχημένο worm σε UDP. Το worm περιεχόταν σε ένα 376-byte πακέτο UDP. 39

SQL Slammer (2/3) Το payload αυτού του πακέτου αναγνώριζε τρωτά σημεία, αντέγραφε τον εαυτό του και παρήγαγε τυχαίες διευθύνσεις IP. Αυτές τις διευθύνσεις θα χρησιμοποιούσε στην συνέχεια το μολυσμένο σύστημα για να αποστείλει νέα μολυσμένα πακέτα. Εφόσον λειτουργούσε με UDP, άρα δεν απαιτούσε χειραψία, διευκόλυνε την αποστολή των μολυσμένων πακέτων χρησιμοποιώντας την μέγιστη ταχύτητα σύνδεσης των μολυσμένων συστημάτων, με αποτέλεσμα την εξάπλωση του σχεδόν σε ολόκληρο το Διαδίκτυο. 40

SQL Slammer (3/3) Το φίλτρο αυτό μπορεί να έχει διάφορες μορφές, ανάλογα με το πόσο αυστηροί και ακριβείς θέλουμε να είμαστε. Πρακτικά, θα μπορούσαμε να φιλτράρουμε οποιοδήποτε UDP πακέτο προορίζεται για την θύρα 1434 με περιεχόμενο 376 bytes: windump udp[4:2] = 384 and dst port 1434 and src net mynet Γιατί χρησιμοποιούμε στο φίλτρο τον αριθμό 384 και όχι το 376; 41

Fragmentation Attack (1/4) Πρόκειται για είδος επίθεσης DoS όπου ο επιτιθέμενος εκμεταλλεύεται τις «αδυναμίες» της διαδικασίας της επανασυναρμολόγησης τμηματοποιημένων (fragmented) πακέτων. Ας το δούμε με ένα παράδειγμα. Ας υποθέσουμε οτι ο επιτιθέμενος θέλει να επιτεθεί στην υπηρεσία telnet (θύρα 23) του στόχου. Έχει όμως χρησιμοποιήσει το nmap και διαπίστωσε οτι η θύρα αυτή είναι σε κατάσταση filtered επομένως δεν δέχεται συνδέσεις. Παρ όλ αυτά η θύρα SMTP 25 φαίνεται να είναι open. 42

Fragmentation Attack (2/4) Ο επιτιθέμενος αποφασίζει να στείλει 2 fragments τα οποία γνωρίζει οτι ο στόχος θα «συνενώσει» έτσι ώστε να δημιουργήσει το αρχικό πακέτο. Στο πρώτο fragment το IP flag MF είναι ενεργοποιημένο και το Offset είναι 0 και το destination port τίθεται στην θύρα 25. Εφόσον η θύρα είναι ανοιχτή, το πρώτο fragment θα φτάσει στον στόχο χωρίς πρόβλημα. Στο δεύτερο πακέτο το IP flag MF είναι ενεργοποιημένο και το Offset είναι 1 και το destination port τίθεται στην θύρα 23. 43

Fragmentation Attack (3/4) Ο στόχος, όταν λάβει το δεύτερο fragment, βλέποντας ότι το MF είναι 0 και το offset διαφορετικό του 0 θα καταλάβει οτι το πακέτο αυτό αποτελεί άλλο ένα fragment από ένα πακέτο και ότι έχει ήδη φτάσει σε αυτόν κάποιο αντίστοιχο fragment οπότε το αφήνει να περάσει κανονικά χωρίς να ελέγξει περαιτέρω τα υπόλοιπα πεδία του. Όταν όμως γίνει η επανασυναρμολόγηση, το δεύτερο fragment εξαιτίας της τιμής του offset του θα πανωγράψει σχεδόν όλο το πρώτο fragment με αποτέλεσμα να διατηρηθούν τα πεδία (και κυρίως το destination port) του δεύτερου fragment. 44

Fragmentation Attack (4/4) Το πακέτο επομένως θα παραδοθεί στην θύρα 23! Το φίλτρο στο windump το οποίο μπορεί να χρησιμοποιηθεί για την αναγνώριση τέτοιου είδους επίθεσης είναι: windump tcp && (ip[6:2] & 16383!=0) 45

Land Attack Στην DoS επίθεση Land ο επιτιθέμενος στέλνει spoofed πακέτα TCP SYN στα οποία ο αποστολέας είναι η διεύθυνση IP του στόχου. Αυτό έχει σαν αποτέλεσμα ο στόχος να στέλνει συνέχεια μηνύματα στον εαυτό του. Το φίλτρο στο windump το οποίο μπορεί να χρησιμοποιηθεί για την αναγνώριση τέτοιου είδους επίθεσης είναι: windump (ip[12:4] = ip[16:4]) 46

Smurf Attack (1/2) Στην DoS επίθεση smurf ο επιτιθέμενος στέλνει spoofed ICMP μηνύματα στα οποία ο αποστολέας είναι η διεύθυνση IP του στόχου και παραλήπτης είναι η broadcast διεύθυση του δικτύου του παραλήπτη. Αν λοιπόν το δίκτυο του παραλήπτη αποτελείται από έναν μεγάλο αριθμό συνδεδεμένων συσκευών, κάθε μια από αυτές θα πρέπει να απαντήσει στα μηνύματα αυτά υπερφορτώνοντας τον στόχο. 47

Smurf Attack (2/2) Το φίλτρο στο windump το οποίο μπορεί να χρησιμοποιηθεί για την αναγνώριση τέτοιου είδους επίθεσης είναι: windump icmp && (ip[19:1] = 255) 48

Ερωτήματα (1/4) Να χρησιμοποιηθεί το WinDump με στόχο την επίτευξη των παρακάτω. 1. Να καταγράφονται και να εμφανίζονται στην οθόνη όλα τα μηνύματα που αποστέλλονται ή λαμβάνονται από τον υπολογιστή σας. 2. Να καταγράφονται και να εμφανίζονται στην οθόνη όλη η κίνηση IP ανάμεσα στον υπολογιστή σας και σε όλους τους hosts εκτός από τον helios. 3. Να καταγράφεται και να εμφανίζεται στην οθόνη όλη η εισερχομένη ICMP πληροφορία. 4. Να καταγράφεται και να εμφανίζεται στην οθόνη όλη η εξερχομένη ICMP πληροφορία. 49

Ερωτήματα (2/4) 5. Να καταγράφεται και να εμφανίζεται στην οθόνη όλη η κίνηση στη θύρα 23 του υπολογιστή σας. 6. Να καταγράφεται και να εμφανίζεται στην οθόνη η κίνηση μονό προς την θύρα tcp 25 του υπολογιστή σας. 7. Να καταγράφεται και να εμφανίζεται στην οθόνη η κίνηση από το δίκτυο 192.168.1.0 προς το δίκτυο 192.168.2.0. 8. Να καταγράφεται η κίνηση από και προς γειτονικό υπολογιστή σε δυαδικό αρχείο καταγραφής. 9. Να καταγράφεται σε αρχείο καταγραφής η tcp κίνηση. 50

Ερωτήματα (3/4) 10. Να καταγράφεται και να εμφανίζεται στην οθόνη η κίνηση μεταξύ του υπολογιστή σας και οποιουδήποτε εκτός ενός γειτονικού υπολογιστή. 11. Να καταγράφεται και να εμφανίζεται στην οθόνη η ip κίνηση εκτός από την κίνηση από και προς των τοπικών κόμβων. 12. Να καταγράφεται και να εμφανίζεται στην οθόνη τα ip πακέτα που αποστέλλονται από τον υπολογιστή σας και έχουν μέγεθος μεγαλύτερο από 576 bytes (συμβουλευτείτε την επικεφαλίδα του IP). 51

Ερωτήματα (4/4) Να καταγράφεται και να εμφανίζεται στην οθόνη η κίνηση από και προς την IP 192.168.10.10, αλλά όχι από την IP 192.168.1.11. Αφού εκτελέσετε το WinDump με το προηγούμενο φίλτρο ενεργοποιημένο ανοίξτε ένα cmd και πληκτρολογήστε: tracert www.teikoz.gr Ανοίξτε το αρχείο καταγραφής. Τι παρατηρείτε;τι είδους μηνύματα στέλνονται όταν το TTL εξαντλείται; 52

Σημείωμα Αναφοράς Copyright ΤΕΙ Δυτικής Μακεδονίας, Νικολάου Σπύρος. «Ασφάλεια Υπολογιστικών Συστημάτων». Έκδοση: 1.0. Κοζάνη 2015. Διαθέσιμο από τη δικτυακή διεύθυνση: 53

Σημείωμα Αδειοδότησης Το παρόν υλικό διατίθεται με τους όρους της άδειας χρήσης Creative Commons Αναφορά, Μη Εμπορική Χρήση Παρόμοια Διανομή 4.0 [1] ή μεταγενέστερη, Διεθνής Έκδοση. Εξαιρούνται τα αυτοτελή έργα τρίτων π.χ. φωτογραφίες, διαγράμματα κ.λ.π., τα οποία εμπεριέχονται σε αυτό και τα οποία αναφέρονται μαζί με τους όρους χρήσης τους στο «Σημείωμα Χρήσης Έργων Τρίτων». [1] http://creativecommons.org/licenses/by-nc-sa/4.0/ Ως Μη Εμπορική ορίζεται η χρήση: που δεν περιλαμβάνει άμεσο ή έμμεσο οικονομικό όφελος από την χρήση του έργου, για το διανομέα του έργου και αδειοδόχο. που δεν περιλαμβάνει οικονομική συναλλαγή ως προϋπόθεση για τη χρήση ή πρόσβαση στο έργο. που δεν προσπορίζει στο διανομέα του έργου και αδειοδόχο έμμεσο οικονομικό όφελος (π.χ. διαφημίσεις) από την προβολή του έργου σε διαδικτυακό τόπο. Ο δικαιούχος μπορεί να παρέχει στον αδειοδόχο ξεχωριστή άδεια να χρησιμοποιεί το έργο για εμπορική χρήση, εφόσον αυτό του ζητηθεί. 54

Διατήρηση Σημειωμάτων Οποιαδήποτε αναπαραγωγή ή διασκευή του υλικού θα πρέπει να συμπεριλαμβάνει: το Σημείωμα Αναφοράς. το Σημείωμα Αδειοδότησης. τη δήλωση Διατήρησης Σημειωμάτων. το Σημείωμα Χρήσης Έργων Τρίτων (εφόσον υπάρχει). μαζί με τους συνοδευόμενους υπερσυνδέσμους. 55

Βιβλιογραφία 1. Κρυπτογραφία για Ασφάλεια Δικτύων Αρχές και Εφαρμογές, Stallings. 2. Βασικές Αρχές Ασφάλειας Δικτύων: Εφαρμογές και Πρότυπα, William Stallings. 3. Ασφάλεια δικτύων 6η Έκδοση, McClure Stuart, Scambray Joel, Kurtz George. 4. Ασφάλεια Πληροφοριακών συστημάτων, Παγκαλος Γ., Μαυριδης Ι. 56

Τέλος Ενότητας

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια