Непредвиденные параметры сетевых пакетов

Можно назвать множество примеров атак с непредвиденными параметрами сетевых пакетов. И число таких атак постоянно растет, т. к. злоумышленники постоянно находят уязвимости в реализации стека протокола TCP/IP в различных ОС. Например, если обнаружен сетевой пакет с установленными битами SYN и АСК (листинг 4.6) (второй этап установления виртуального TCP-соединения), и при этом не было никакого предшествующего пакета с битом SYN (первый этап установления виртуального TCP-соединения), то это может скрывать под собой несанкционированное вторжение. Указанный метод получил применение при так называемом stealth-сканировании, которое было широко распространено в начале 1999 года [Northcutt1-99]. Помимо битов SYN/ACK в заголовке TCP-пакета использовались также биты FIN (FIN-сканирование), RESET (RESET-сканирование).

Листинг 4.6. Stealth-сканирование с помощью SYN/ACK

(фрагмент журнала регистрации TCPdump)

06:41:24.067330 stealth.mappem.com.113 > 172.21.32.83.1004- S

4052190291:4052190291(0) ack 674711610 win 8192

06:42:08.063341 stealth.mappem.com.113 > 192.168.83.15.2039: S

2335925210:2335925210(0) ack 674711610 win 8192

14.582943 stealth.mappem.com.113 > 172.21.64.120.2307: S

2718446928:2718446928(0) ack 674711610 win 8192

Любой пакет, который не соответствует стандартам RFC, может привести к выходу из строя коммуникационного оборудования, которое этот пакет обрабатывает. Причем к такому оборудованию относятся не только маршрутизаторы или коммутаторы, но и межсетевые экраны и системы обнаружения атак. Многие атаки используют запрещенные комбинации TCP-флагов в сетевых пакетах. Некоторые комбинации приводят к выходу из строя узла, осуществляющего обработку таких пакетов, а благодаря иным комбинациям другие пакеты остаются не замеченными некоторыми системами обнаружения атак или межсетевыми экранами. В RFC 793 описано, как должны реагировать различные системы на нормальные TCP-пакеты. Но в этом (и других) документе не сказано, как система должна реагировать на неправильные TCP-пакеты, в результате чего различные устройства и ОС по-разному реагируют на пакеты с запрещенными комбинациями TCP-флагов. Существуют 6 флагов, которые могут встретиться в TCP-пакете: SYN, АСК, FIN, RST, PSH, URG. Запрещенные комбинации можно обнаружить по хотя бы одному из перечисленных ниже признаков [Frederick 1-00].

· SYN + FIN, поскольку это два взаимоисключающих флага. Первый устанавливает соединение, а второй завершает его. Такая комбинация очень часто используется различными сканерами, например, Nmap. Некоторое время назад большое число систем обнаружения атак не могло обнаружить такого рода сканирования. Однако сейчас ситуация изменилась к лучшему, многие системы обнаружения атак отслеживают подобные комбинации флагов. Но добавление еще одного флага к данной комбинации (например, SYN + FIN + PSH, SYN + FIN + RST, SYN + FIN + RST + + PSH) опять приводит к тому, что некоторые системы обнаружения атак не распознают видоизмененное сканирование (листинг 4.7). Некоторые аналитики называют такого рода комбинации "шаблоном рождественского дерева" ("Christmas Tree Pattern").

Листинг 4.7. “Шаблон рождественского дерева”

(фрагмент журнала регистрации Snort)

01/23-01:15:22.237103 195.11.212.180:30975 -> 192.0.97.80:49708

TCP TTL:49 TOS:0x0 ID:12207 DF

SERPAU21 Seq: 0x78FFC22C Ack: 0x78FFC22C Win: 0xC22C

TCP Options => Opt 120 (40): C22C 78FF C22C 78FF C22C 78FF

0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 78 FF C2 2C 78 FF x..,x.

01/23-01:15:43.538590 195.11.212.180:30975 -> 192.0.97.80:49708

TCP TTL:49 TOS:0x0 10:13449 DF

SFRPAU21 Seq: 0x78FFC22C Ack: 0x78FFC22C Win: 0xC22C

TCP Options => Opt 120 (40): C22C 78FF C22C 78FF C22C 78FF

0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 78 FF C2 2C 78 FF x..,x.

· TCР-пакеты никогда не должны содержать только один флаг FIN. Обычно один установленный флаг FIN свидетельствует о скрытом (stealth) FIN-сканировании.

· TCР-пакеты должны иметь хотя бы один флаг (но не FIN).

· Если в TCP-пакете не установлен флаг АСК, и этот пакет — не первый при установлении соединения (three-way handshake), то такой пакет однозначно является ненормальным, т. к. в любом TCP-пакете должен присутствовать флаг АСК.

· Помимо указанных комбинаций (листинг 4.8), подозрительными считаются RST+FIN, SYN+RST.

Листинг 4.8. Подозрительные комбинации флагов в заголовке TCP-пакета

(фрагмент журнала регистрации TCPdump)

13:45:28.194556 172.20.20.1.5800 > 192.168.1.2.5800: SFP

6172717:6174189(1472) ack 2436270 win 15360 (DF)

13:45:25.428109 172.20.20.1.1187 > 192.168.12.5.80: S 408023:409475(1452)

win 8192 (DF)

13:45:28.194556 172.20.20.1.5800 > 192.168.12.5.5800: SFP

6172717:6174189(1472) ack 2436270 win 15360 (DF)

13:45:25.428109 172.20.20.1.1187 > 192.168.12.5.80: S 408023:409475(1452)

win 8192 (DF)

В некоторых протоколах, например, в TCP, существуют зарезервированные биты, которые предназначены для будущего расширения протокола. В настоящий момент данные биты не используются и поэтому появление сетевых пакетов, где они задействованы, может означать несанкционированную деятельность. К другим признакам "ненормальности" сетевого пакета можно отнести:

· порт источника или получателя (для пакетов TCP и UDP), равный 0;

· при установленном флаге АСК (для пакетов TCP) номер подтверждения никогда не может быть равен 0.

Очень часто признаком атаки может служить размер сетевых пакетов, отличающийся от стандартного. Например, большинство запросов ICMP Echo Request имеют 8-байтовый заголовок и 56-байтовое поле данных. При появлении в сети пакетов нестандартной длины, можно говорить о присутствии несанкционированной деятельности. Например, атака Loki, уже рассмотренная в главе 1, позволяет туннелировать различные команды в запросы Echo Request и реакции на них в ответы ICMP Echo Reply, что существенно изменяет размер поля данных по сравнению со стандартным. Другим примером является атака Ping of Death, в процессе которой создается запрос ICMP Echo Request с размером пакета больше 65 535 байтов. Особенно опасна эта атака в совокупности с фрагментацией ICMP-запроса.

Еще одним классическим признаком, позволяющим в большинстве случаев распознать атаку, может быть появление в сети фрагментированных пакетов. Многие средства сетевой безопасности не умеют правильно собирать фрагментированные пакеты, что приводит или к выходу этих средств из строя или к пропуску таких пакетов внутрь защищаемой сети. Первый результат может достигаться при помощи фрагментов с неправильным смещением, а второй — путем так называемой tiny fragment attack. В последнем случае создается два TCP-фрагмента. Первый из них настолько мал, что даже не включает полного TCP-заголовка, и что особенно важно — порта получателя. Второй фрагмент содержит остаток заголовка. Многие межсетевые экраны позволяют пройти первому или обоим фрагментам внутрь корпоративной сети (листинг 4.9).

Листинг 4.9. Атака Tiny Fragment (фрагмент журнала регистрации TCPdump)

06:25:55.315 [|tcp] (frag 38783:1600+)

06:25:55.315 scanner.org > target.com: (frag 38783:4016)

06:25:55.315 [|tcp] (frag 16422:1600+)

06:25:55.315 scanner.org > target.com: (frag 16422:4016)

06:25:55.315 [|tcp] (frag 43143:1600+)

06:25:55.315 scanner.org > target.com: (frag 43143:4016)

06:25:55.315 [|tcp] (frag 18544:1600+)

06:25:55.315 scanner.org > target.com: (frag 18544:4016)

06:25:55.315 [|tcp] (frag 8231:1600+)

06:25:55.315 scanner.org > target.com: (frag 8231:4016)

06:25:55.315 [|tcp] (frag 45846:1660+)

06:25:55.315 scanner.org > target.com: (frag 45846:4016)

06:25:55.315 [|tcp] (frag 6245:1600+)

06:25:55.315 scanner.org > target.com: (frag 6245:4016)

Обозначение [|tcp] указывает на то, что TCPdump не смог захватить весь TCP-заголовок и не сумел интерпретировать назначение пакета.