此文章討論了有關(guān)對(duì)網(wǎng)絡(luò)底層協(xié)議的攻擊和防止攻擊的方法,特別是關(guān)于路由和路由協(xié)議的漏洞,如Routing Information Protocol (RIP,路由信息協(xié)議), Border Gateway Protocol (邊緣網(wǎng)關(guān)協(xié)議), Open Shortest Path First (OSPF,開放最短路徑優(yōu)先協(xié)議)等。
路由器在每個(gè)網(wǎng)絡(luò)中起到關(guān)鍵
的作用,如果一路由器被破壞或者一路由被成功的欺騙,網(wǎng)絡(luò)的完整性將受到嚴(yán)重的破壞,如果使用路由的主機(jī)沒有使用加密通信那就更為嚴(yán)重,因?yàn)檫@樣的主機(jī)被控制的話,將存在著中間人(man-in-the-middle)攻擊,拒絕服務(wù)攻擊,數(shù)據(jù)丟失,網(wǎng)絡(luò)整體性破壞,和信息被嗅探等攻擊。
路由是一個(gè)巨大又復(fù)雜的話題,所以本人只是在此提到一部分知識(shí),而且水平的關(guān)系,請(qǐng)大家多多指教。
關(guān)于一些很普遍的路由器安全問題
多種路由器存在各種眾所周知的安全問題,一些網(wǎng)絡(luò)底層設(shè)備提供商如Cisco, Livingston, Bay等的普通安全問題大家可以參考下面地址,其中收集了不少安全漏洞:
http://www.antionline.com/cgi-bin/anticode/anticode.pl?dir=router-exploits
上面地址所收集的漏洞大部分無關(guān)于路由協(xié)議級(jí)的攻擊,而是一些由于錯(cuò)誤配置,IP信息包錯(cuò)誤處理,SNMP存在默認(rèn)的communit name string,薄弱密碼或者加密算法不夠強(qiáng)壯而造成。上面的一些攻擊一般一個(gè)標(biāo)準(zhǔn)的NIDS都能夠探測(cè)出來。這些類型的攻擊對(duì)網(wǎng)絡(luò)底層有一定的削弱性并可以組合一些高極別的協(xié)議進(jìn)行攻擊。
正確的配置管理可以處理不少普通的漏洞,如你必須處理一些標(biāo)準(zhǔn)的規(guī)程:不使用SNMP(或者選擇強(qiáng)壯的密碼),保持補(bǔ)丁程序是最新的,正確處理訪問控制列表,出入過濾,防火墻,加密管理通道和密碼,路由過濾和使用MD5認(rèn)證。當(dāng)然在采用這些規(guī)程之前你必須知道這些安全規(guī)則的相關(guān)的含義和所影響到的服務(wù)。
近來有關(guān)的一些低部構(gòu)造防衛(wèi)檢測(cè)系統(tǒng)的開發(fā)
近來的在網(wǎng)絡(luò)防護(hù)開發(fā)項(xiàng)目中比較不錯(cuò)的是一個(gè)IDS叫JiNao,你可以在下面的地址找到相關(guān)的內(nèi)容:http://www.anr.mcnc.org/projects/JiNao/JiNao.html. JiNao是由DARPA發(fā)起的,并現(xiàn)在成為一個(gè)合作研究項(xiàng)目由MCNC和北卡羅萊納州大學(xué)共同開發(fā)。JiNao在FreeBSD和Linux上運(yùn)行的是在線模式(使用divert sockets),在Solaris運(yùn)行在離線模式,并在3個(gè)網(wǎng)絡(luò)上測(cè)試-MCNC,NCSU和由PC(操作系統(tǒng)做路由)和商業(yè)路由器組合的AF/Rome 實(shí)驗(yàn)室。測(cè)試結(jié)果顯示了可以成功的防止多種類型的網(wǎng)絡(luò)底層攻擊并能很好的高精度的探測(cè)這些攻擊。
當(dāng)前,JiNao看起來在研究關(guān)于Open Shortest Path First (OSPF,開放最短路徑優(yōu)先)協(xié)議,并且最終JiNao會(huì)延伸到各種協(xié)議。JiNao指出,防衛(wèi)攻擊和入侵探測(cè)將會(huì)集成在網(wǎng)絡(luò)管理內(nèi)容中,所以JINao現(xiàn)在正趨向于網(wǎng)絡(luò)防火墻,入侵探測(cè)系統(tǒng)和網(wǎng)絡(luò)管理系統(tǒng)組合一體。
還有一個(gè)工具可以很好的分析高級(jí)的協(xié)議,如Agilent Advisor
(http://onenetworks.comms.agilent.com/)的網(wǎng)絡(luò)分析工具,它能很好的支持多種路由協(xié)議并能定制過濾器來探測(cè)各種不正常的行為。
一些工作于路由協(xié)議的工具
Linux divert sockets描述到:\"Divert socket能夠在末端主機(jī)也能在路由器上進(jìn)行IP信息包捕獲和注入,信息包的捕獲和插入發(fā)生在IP層上,捕獲的信息包在用戶空間轉(zhuǎn)向到套接口中,因此這些信息包將不會(huì)達(dá)到它們的最終目的地,除非用戶空間套接口重插入它們。這樣在信息包捕獲和重新插入之間可以在系統(tǒng)系統(tǒng)內(nèi)核之外允許各種不同的操作(如路由和防火墻).\"(http://www.anr.mcnc.org/~divert/).簡單的說divert socket就是由user space(用戶空間)的程序來處理kernel(內(nèi)核)中的IP packet(IP信息包),這個(gè)divert socket最早應(yīng)用與FreeBSD系統(tǒng)中,如NAT就是應(yīng)用了divert socket。這樣使開發(fā)程序很容易,因?yàn)樵谟脩魧樱幚鞩P packet(IP信息包)的效率也比較高,因?yàn)槭侵苯犹幚韐ernel(內(nèi)核)中的IP packet(IP信息包)。
大家可以在下面的地址中找到相關(guān)的Divert socket:http://www.anr.mcnc.org/~divert/. Divert socket就象上面說最早實(shí)現(xiàn)于FreeBSD中,現(xiàn)在已經(jīng)移植到Linux中并作為JiNao IDS項(xiàng)目的一部分采用。
另一個(gè)叫Nemesis Packet Injection suite,是一個(gè)比較強(qiáng)大的網(wǎng)絡(luò)和安全工具,由Obecian開發(fā),你可以在下面的地址獲得:http://www.packetninja.net.最新的nemesis-1.1發(fā)行在2000年6月24號(hào)。Nemesis是一個(gè)\"命令行式的UNIX網(wǎng)絡(luò)信息包插入套件\",并是一個(gè)很好的測(cè)試防火墻,入侵探測(cè)系統(tǒng),路由器和其他網(wǎng)絡(luò)環(huán)境的工具。它可以被攻擊者使用和授權(quán)滲透探測(cè)者在主機(jī)和網(wǎng)絡(luò)級(jí)的網(wǎng)絡(luò)安全環(huán)境檢測(cè)。其中這個(gè)站點(diǎn)還有一個(gè)演化的Nemesis叫Intravenous,發(fā)行于11/30/00. Intravenous看起來承載了Nemesis所有基本功能,其中不同的是增加了人工智能引擎的內(nèi)容。更多有關(guān)Intravenous的信息你可以在packetninja.net站點(diǎn)里找到.
IRPAS,Internetwork Routing Protocol Attack Suite,由FX所寫,可以在下面的站點(diǎn)找到http://www.phenoelit.de/irpas/.IRPAS包含了各種可工作于Cisco路由設(shè)備的協(xié)議層的命令行工具,包括如下這些命令: cdp--可發(fā)送Cisco router Discovery Protocol (CDP CISCO路由發(fā)現(xiàn)協(xié)議)消息;
igrp是能插入Interior Gateway Routing Protocol (IGRP 內(nèi)部網(wǎng)關(guān)路由協(xié)議)消息;irdp用來發(fā)送ICMP Router Discovery Protocol (ICMP路由發(fā)現(xiàn)協(xié)議)消息;
irdresponder--可使用精心制作的信息包來響應(yīng)IRDP請(qǐng)求;
ass--Autonomous System Scanner(自主系統(tǒng)掃描器,現(xiàn)在可下載的版本只支持IGRP),這里解釋下Autonomous system,即一般所說的AS,簡單的說是一組內(nèi)部路由器,使用共同協(xié)議交流內(nèi)部網(wǎng)絡(luò)的信息,更直接的說法就是這些路由器自己自主,交流信息。與之相反的是我們經(jīng)常知道的外部路由器如一般的電信節(jié)點(diǎn)處的路由器。典型的AS使用單一的路由協(xié)議在它的邊界產(chǎn)生和傳播路由信息。ass就類似于TCP端口掃描器一樣,只不過其是針對(duì)自主系統(tǒng)的。使用ass掃描的話,如果自主系統(tǒng)應(yīng)答,將返回路由進(jìn)程中的所有路由信息。IRPAS 的網(wǎng)站也包含一條關(guān)于Generic Routing Encapsulation(GRE 一般路由封裝) 漏洞的文檔,其中這個(gè)Generic Routing Encapsulation (GRE 一般路由封裝)漏洞允許外部攻擊者繞過NAT和破壞一通過VPN的內(nèi)部RFC1918網(wǎng)絡(luò)。這份文檔大家可以在下面的地址獲得:http://www.phenoelit.de/irpas/gre.html,其中在其他章節(jié)還包含了更多的信息和通過irpas的可能攻擊策略.
irpas的開發(fā)者FX,發(fā)送了由ass新版本2.14(還沒有發(fā)布)掃描的AS樣本和igrp怎樣利用ass的信息(AS #10和其他數(shù)據(jù))來插入一欺騙的路由給222.222.222.0/24。雖然IGRP協(xié)議目前不是很多使用,但這個(gè)例子卻是相當(dāng)?shù)牟诲e(cuò)。下面是FX測(cè)試的結(jié)果:
test# ./ass -mA -i eth0 -D 192.168.1.10 -b15 -v(這里的-i是接口,-D是目的地址,-b15指的是自主系統(tǒng)0-15之間
ASS [Autonomous System Scanner] $Revision: 2.14 $ |
