|
||||||||||||||
ΠΑΡΑΡΤΗΜΑ Α - Πείραμα προς Αξιολόγηση Του Προγράμματος (spp_icmpspoof)
ΠΑΡΑΡΤΗΜΑ Β - Πηγές Πληροφόρησης |
||||||||||||||
|
||||||||||||||
Πείραμα προς Αξιολόγηση Του Προγράμματος (spp_icmpspoof) | ||||||||||||||
Στις επόμενες σελίδες
περιγράφεται το πείραμα που πραγματοποιήθηκε με στόχο να ελεγχθεί η αποτελεσματικότητα
του spp_icmpspoof preprocessor που παρουσιάστηκε στο Κεφάλαιο 6.
Στον παρακάτω πίνακα δίνονται τα χαρακτηριστικά και η σημασία του κάθε συστήματος του Σχήματος Α-1. Το δίκτυο NetΑ είναι το προστατευόμενο δίκτυο, το οποίο θα ελέγχεται από το Nids για τυχόν εμφάνιση spoofed Icmp Echo Request / Reply πακέτων. Το Nids εκτελεί το Snort στο οποίο έχει προστεθεί και ο spp_icmpspoof preprocessor που περιγράφηκε στο Κεφάλαιο 6. Για να ενεργοποιηθεί ο spp_icmpspoof και να εκτελείται με την εκκίνηση του Snort προστέθηκε στο configuration αρχείο του Snort, το snort.conf η εγγραφή:
Με αυτήν την εγγραφή
ρυθμίζεται ο spp_icmpspoof να προστατεύει όλο το δίκτυο 192.168.100.0
(δηλαδή το εύρος των IP διευθύνσεων 192.168.100.0 – 192.168.100.255).
Τα συτήματα Vlinux
και Achileas είναι αυτά
που θα στέλνουν τα spoofed Icmp Echo πακέτα, από έξω και από μέσα από
το προστατευόμενο δίκτυο αντίστοιχα. Για να μπορούν να στέλνονται τέτοιου
είδους πακέτα, στα συστήματα αυτά εκτελείται το πρόγραμμα sendip.
Στη συνέχεια παρουσιάζονται μερικά παραδείγματα αποστολής spoofed Icmp Echo πακέτων, που πραγματοποιήθηκαν με στόχο να ελεγχθεί ως προς την αποτελεσματικότητά του ο spp_icmpspoof.
Αποστολή ενός spoofed Icmp Echo Request πακέτου από τον vlinux στον Dias με διεύθυνση αποστολέα αυτή του Zeus. 1. Εκκίνηση του Snort
στον Nids: 2. Αποστολή του πακέτου από τον Vlinux: [root@vlinux]# ./SpoofedEcho 8 192.168.100.3 192.168.10.2 1
3. Εξέταση των αποτελεσμάτων στον Nids: [root@nids]# cat /var/log/snort/Echospoofs
Το spoofing ανιχνεύτηκε με επιτυχία. |
||||||||||||||
Παράδειγμα Β | ||||||||||||||
Αποστολή ενός spoofed Icmp Echo Reply πακέτου από τον vlinux στον Dias με διεύθυνση αποστολέα αυτή του Zeus. 1. Εκκίνηση του Snort
στον Nids: 2. Αποστολή του πακέτου από τον Vlinux: [root@vlinux]# ./SpoofedEcho 0 192.168.10.2 192.168.100.3 1
3. Εξέταση των αποτελεσμάτων στον Nids: [root@nids]# cat /var/log/snort/Echospoofs
Το spoofing ανιχνεύτηκε
με επιτυχία. |
||||||||||||||
Παράδειγμα Γ | ||||||||||||||
1. Εκκίνηση του Snort στον Nids: [root@nids]# snort -c /root/snort/snort.conf 2. Αποστολή του πακέτου
από τον Achileas:
3. Εξέταση των αποτελεσμάτων στον Nids: [root@nids]#
cat /var/log/snort/Echospoofs
Το spoofing ανιχνεύτηκε
με επιτυχία. |
||||||||||||||
Παράδειγμα Δ | ||||||||||||||
Αποστολή ενός spoofed Icmp Echo Request πακέτου από τον Vlinux σε έναν ανύπαρκτο host (που έχει IP διεύθυνση 192.168.10.5), με διεύθυνση αποστολέα αυτή του Zeus. 1. Εκκίνηση του Snort στον Nids: [root@nids]# snort -c /root/snort/snort.conf 2. Αποστολή του πακέτου από τον Vlinux: [root@vlinux]# ./SpoofedEcho 8 192.168.100.3 192.168.10.5 1
3. Εξέταση των αποτελεσμάτων στον Nids: [root@nids]# cat /var/log/snort/Echospoofs
[Πίσω] |
||||||||||||||
1. Εκκίνηση του Snort στον Nids: [root@nids]# snort -c /root/snort/snort.conf 2. Αποστολή του πακέτου από τον Vlinux: [root@vlinux scripts]# ./SpoofedEcho 8 192.168.10.5 192.168.100.3 1
3. Εξέταση των αποτελεσμάτων στον Nids: [root@nids]# cat /var/log/snort/Echospoofs
[Πίσω] |
||||||||||||||
Αποστολή ενός spoofed Icmp Echo Reply πακέτου από τον Achileas στον Zeus με διεύθυνση αποστολέα ενός ανύπαρκτου host (που έχει IP διεύθυνση 192.168.10.5). 1. Εκκίνηση του Snort στον Nids: [root@nids]# snort -c /root/snort/snort.conf 2. Αποστολή του πακέτου από τον Achileas: [root@achileas]# ./SpoofedEcho 0 192.168.10.5 192.168.100.3 1
3. Εξέταση των αποτελεσμάτων στον Nids: [root@nids]# cat /var/log/snort/Echospoofs
Υπό κανονικές συνθήκες
αυτή η περίπτωση του spoofing δεν θα έπρεπε να έχει ανιχνευτεί. Η ανίχνευση
οφείλεται στο γεγονός ότι ο Sensor έχει την δυνατότητα να ακούει το εσωτερικό
traffic του δικτύου NetA. |
||||||||||||||
Αποστολή ενός spoofed Icmp Echo Reply πακέτου από τον Vlinux σε έναν ανύπαρκτο host (που έχει IP διεύθυνση 192.168.10.5), με διεύθυνση αποστολέα αυτή του Zeus. 1. Εκκίνηση του Snort στον Nids: [root@nids]# snort -c /root/snort/snort.conf 2. Αποστολή του πακέτου από τον Vlinux: [root@vlinux scripts]# ./SpoofedEcho 0 192.168.100.3 192.168.10.5 1
3. Εξέταση των αποτελεσμάτων στον Nids: [root@nids]# cat /var/log/snort/Echospoofs
Το spoofing ανιχνεύτηκε
με επιτυχία. |
||||||||||||||
1. Εκκίνηση του Snort στον Nids: [root@nids]# snort -c /root/snort/snort.conf 2. Αποστολή του πακέτου από τον Achileas: [root@achileas scripts]# ./SpoofedEcho 0 192.168.100.3 192.168.10.5 1
3. Εξέταση των αποτελεσμάτων στον Nids: [root@nids]# cat /var/log/snort/Echospoofs
Σε αυτήν την περίπτωση
το spoofing ανιχνεύτηκε σε πρώτο στάδιο με τον έλεγχο που έγινε στο spoofed
Icmp Echo Reply που έστειλε ο Achileas και σε επόμενο στάδιο με τον έλεγχο
που έγινε στο Unreachable που έστειλε ο Router 192.168.10.1 στον Zeus. |
||||||||||||||
Αποστολή ενός spoofed Icmp Echo Request πακέτου από τον Achilea στον Zeus, με διεύθυνση αποστολέα αυτή του Dias.
[root@nids]# snort -c /root/snort/snort.conf 2. Αποστολή του πακέτου από τον Achilea: [root@achileas scripts]# ./SpoofedEcho 8 192.168.10.2 192.168.100.3 1
3. Εξέταση των αποτελεσμάτων στον Nids: [root@nids]# cat /var/log/snort/Echospoofs Σε αυτήν την περίπτωση
το spoofing δεν ανιχνεύτηκε καθώς ο Nids ακούει το εσωτερικό traffic του
δικτύου NetA και έτσι μπόρεσε να δει το Icmp Echo Request πακέτο που έστειλε
ο Achileas στον Zeus. |
||||||||||||||
Πηγές Πληροφόρησης | ||||||||||||||
Maximum Security Hacking Lexicon Scanning Από το επίσημο site
του nmap, ένα από τα πιο καθιερωμένα Network Scanners Understanding Buffer
Overflow Exploits Buffer Overflow Attacks
and Their Countermeasures Το επίσημο site του
chkrootkit (πρόγραμμα που εντοπίζει την ύπαρξη rootkits) Βιβλίο: Βιβλίο: [Πίσω] Μία πολύ καλή αναφορά
στην κατηγοριοποίηση των IDSs Protocol Anomaly Detection
for Network-based Intrusion Detection Intrusion Prevention
Systems – Security's Silver Bullet Κατάλογος με τα IDSs Network- vs. Host-based
Intrusion Detection IDSs FAQ The Great IDS Debate
: Signature Analysis Versus Protocol Analysis ICMP Usage in Scanning http://www.snort.org/ Snort FAQ http://www.snort.org/docs/faq.html Snort’s Users Manual http://www.snort.org/docs/writing_rules/ An Analysis of the Snort Network Intrusion Detection System http://www.sans.org/rr/intrusion/snort2.php Complete Snort-based IDS Architecture, Part One http://www.securityfocus.com/infocus/1640 Snort Documentation (ημιτελές) http://www.dpo.uab.edu/~andrewb/snort/snortdoc/snort.html Snort Sensors (ημιτελές) http://www.notlsd.net/snortdoc/node24.html H mailing list των Snort Users http://sourceforge.net/mailarchive/forum.php?forum=snort-users H mailing list των Snort Developers http://sourceforge.net/mailarchive/forum.php?forum=snort-devel [Πίσω] Διάφορα sites με χρήσιμες πληροφορίες περί Δικτυακών Επιθέσεων και Ασφάλειας στο Internet. http://www.sans.org/index.php Viruses-worms-Trojans |
||||||||||||||
[Πίσω] |