Reakcja na błędy. Kiedy następuje atak? Exploity. Bezpieczeństwo Włamania do systemów informatycznych

Wielkość: px
Rozpocząć pokaz od strony:

Download "Reakcja na błędy. Kiedy następuje atak? Exploity. Bezpieczeństwo Włamania do systemów informatycznych"

Transkrypt

1 Bezpieczeństwo Włamania do systemów informatycznych Nielegalne wykorzystywanie technik informatycznych. Haking i ataki na systemy informatyczne. Nielegalne pozyskiwanie informacji. Sieć można przyrównać do suwerennego państwa, którego granice mają być nienaruszalne. Jakie działania należy przedsięwziąć, aby ochronić swoje terytorium? Zapory ogniowe pomagają w ochronie "przejść granicznych", ale mogą być niewystarczające. Potrzebne są więc metody wykrywania prób nielegalnego naruszania granic sieci i przeciwdziałania takim praktykom. Od kilku już lat dostępne są zaawansowane techniki wykrywania nieautoryzowanych prób penetracji sieci Reakcja na błędy Szybki wzrost liczby ataków na systemy informatyczne. Skraca się czas od wykrycia luki w systemie do jej wykorzystania. Ataki są coraz bardziej zaawansowane. Aktualne sposoby przeciwdziałania stają się niewystarczające. Po ilu dniach luka została wykorzystana Kiedy następuje atak? Większość ataków Produkt na rynku Odkrycie dziury Dostępna łatka Łatka zainstalowana 1. Bezpieczeństwo - najwyższy priorytet; 2. Nie ma uniwersalnego rozwiązania rozwiązanie jest złożone; 3. Z problemem trzeba się uporać na wszystkich frontach; 4. Zmiany wymagają innowacji Wzrost ryzyka związanego z wykrytymi błędami Exploity Zgłoszenie błędu Brak ryzyka Opracowanie uaktualnienia Brak ryzyka Biuletyny bezpieczeństwa i informacje o uaktualnieniu Brak ryzyka Analiza uaktualnienia Brak ryzyka Stworzenie wirusów Brak ryzyka Rozpowszechnienie wirusów Duże ryzyko Działanie: wykorzystanie wad oprogramowania by wykonać np. własny fragment kodu. Wyłącznie twórcy systemu i raportujący wiedzą o błędzie Wyłącznie twórcy systemu i raportujący wiedzą o błędzie Ogólnodostępne informacje o błędzie ale nie o wykorzystującym go exploicie Ogólnodostępne Nowe wirusy nie informacje o zostały jeszcze exploicie, rozpowszechnio brak opartych na ne jego kodzie wirusów Rozpowszechniające się wirusy skutecznie atakują nie zabezpieczone komputery Techniki: Buffer overflow - stosowane by nadpisać adres powrotu z funkcji i przekierować go do wnętrza bufora. Rozpoczyna się wyścig pomiędzy hakerem a administratorem systemu Kod wywołuje shell bądź wykonuje dowolne polecenia lub funkcje systemowe. exploitowanie programów SUID lub działających w trybie jądra lub jako usługa uprzywilejowana

2 Buffer Overflow Ataki buffer overflow polegają na stosowaniu specjalnie do tego celu napisanych programów, które wykorzystują błędy w popularnych usługach. W skrócie pozwalają one wykonać dowolny kod na odległej maszynie poprzez wysłanie do niej odpowiednio spreparowanych danych, które uszkadzają stos błędnie napisanego programu serwera. Atakujący wykorzystuje błędy logiczne w oprogramowaniu komputera do wysyłania łańcuchów danych o rozmiarach przekraczających bufor wejściowy. Oczywiście przed atakiem musimy wyszukać serwery i maszyny podatne na ta metodę. Buffer Overflow W pewnych przypadkach technika przepełniania bufora może być ukierunkowana na blokadę usług, jednakże jej możliwości są dużo większe i stosowane głównie do przechwytywania uprawnień administratora. Dostęp do konsoli z uprawnieniami roota jest marzeniem każdego hakera. Można go uzyskać na wiele sposobów od trywialnego użycia hasła, aż po przepełnienie bufora (buffer overflow) Back Door - Tylne drzwi Pozostawiona przez projektantów oprogramowania ukryta możliwość wniknięcia do systemu użytkownika bez posiadania uprawnień do tego typu ingerencji; Istnienie tylnych drzwi stanowi "furtkę" dla obsługi technicznej danego systemu; Dane potrzebne do wniknięcia do oprogramowania są ściśle tajne i znane są tylko kilku osobom mającym do tego uprawnienia; Problem pojawia się w momencie, gdy haker uzyska dostęp do tych informacji. dostępu: Rodzaje ataków próba zdobycia danych, do których atakujący nie ma uprawnień; formy: węszenie, podsłuchiwanie lub przechwycenie; modyfikacji: próba modyfikacji danych bez uprawnień; formy: zmiana, kasowanie, dodawanie, zaprzeczenie, podszycie; pozbawienia usługi: próba pozbawienia uprawnionych użytkowników możliwości korzystania z zasobów lub zdolności systemu; formy: niszczenie, bezpośrednie lub pośrednie pozbawienie dostępu Model OSI Protokoły 2

3 Obrona Dane Aplikacja Host Sieć wewnętrzna Granica Zabezpieczenia fizyczne Zasady, procedury i świadomość Listy ACL, szyfrowanie Wzmacnianie aplikacji, antywirusy Wzmacnianie syst. op., zarządzanie aktualizacjami, uwierzytelnianie Segmenty sieci, IPSec Zapory sieciowe, VPN Strażnicy, zamki, urządzenia rejestrujące, HSM Szkolenie użytkowników w zakresie obrony przed inżynierią społeczną Klasyfikacja typowych zagrożeń Sieć Host Aplikacja Zagrożenia sieci Fałszywe pakiety itp. Zagrożenia hosta Przep. bufora itp. Zagrożenia aplikacji Wstrzyk. kodu SQL itp Przykładowy atak Rodzaje ataków 3

4 Przepływ informacji Przepływ informacji Przepływ informacji Przygotowanie do ataku Identyfikacja sieci polega zwykle na zbieraniu ogólnodostępnych informacji o potencjalnym celu ataku. Identyfikacja komputerów w wybranej sieci stosuje się zazwyczaj następujące metody: skanowanie sieci ma na celu uzyskanie listy działających hostów w konkretnej sieci, podsłuchiwanie ruchu sieciowego - analizowanie ramek przesyłanych pomiędzy komputerami w sieci za pomocą specjalnego oprogramowania, analiza ruchu wnioskowanie na podstawie ruchu w sieci, analiza emisji ujawniającej analiza sygnałów elektromagnetycznych przenikających do otaczającej przestrzeni, przewodów i konstrukcji metalowych, umożliwiająca przechwycenie informacji Przygotowanie do ataku Identyfikacja potencjalnych luk do wykorzystania: skanowanie portów ma na celu uzyskanie informacji o tym, jakie porty są aktywne na konkretnym, wybranym jako cel ataku komputerze, identyfikowanie działającego na wybranym do zaatakowania komputerze systemu operacyjnego. Port Scanning skanowanie portów Technika pozwala zorientować się, jakie są aktualnie używane i udostępnione porty komunikacyjne na serwerze. Każda usługa ma ściśle przypisany port informacja czy na serwerze działa serwer FTP, serwer pocztowy czy WWW. W znacznym stopniu ułatwia to hakerowi zaplanowanie ataku. Wiele odmian skanowania portów - różnią się efektywnością, trudnością wykrycia czy rodzajem skanowanych portów. Skanowanie portów jest narzędziem diagnostycznym (stosowanym przez administratorów), nie może być zakazane. Skanowanie może poprzedzać właściwy atak należy wzmóc czujność

5 Zbieranie informacji o celu ataku Protokół ICMP Oprogramowanie Internet Protocol realizuje zawodne przenoszenie pakietów bez użycia połączenia. Datagram wędruje od nadawcy przez różne sieci i routery, aż do końcowego odbiorcy. Jeżeli router nie potrafi ani wyznaczyć trasy ani dostarczyć datagramu, albo gdy wykrywa sytuację mającą wpływ na możliwość dostarczenia datagramu np. przeciążenie sieci, wyłączenie maszyny docelowej, wyczerpanie się licznika czasu życia datagramu to musi poinformować pierwotnego nadawcę, aby podjął działania w celu uniknięcia skutków tej sytuacji Protokół ICMP Protokół IP nie sprawdza, czy dane dotarły do adresata. Z tego punktu widzenia jest określany jako protokół zawodny. Rolę sprawdzania, czy pakiety docierają do adresata pełnią protokoły wyższych warstw. W ramach warstwy sieciowej sprawdzaniem dostępności sieci docelowej zajmuje się protokół ICMP (ang. Internet Control Message Protocol). Jego zadaniem nie jest rozwiązywanie problemów z zawodnością IP, ale zgłaszanie braku łączności. Komunikaty ICMP wysyłają zwykle bramy lub hosty. Najczęstsze powody wysłania tych komunikatów to: zbytnie obciążenie router lub hosta - wysyłany jest komunikat ICMP, że należy zwolnić prędkość przesyłania komunikatów, bo host nie nadąża ich przetwarzać Protokół ICMP host docelowy jest nieosiągalny - wtedy ostatnia brama wysyła komunikat ICMP o niedostępności adresata i przesyła go do hosta źródłowego; pole TTL pakietu jest równe 0 - wtedy router może wysłać komunikat ICMP do źródła i odrzuca pakiet Protokół ICMP Protokół ICMP Każdy komunikat ICMP ma własny format, ale wszystkie zaczynają się trzema takimi samymi polami: 8-bitowe pole TYP komunikatu identyfikuje komunikat, 8-bitowe pole KOD daje dalsze informacje na temat rodzaju komunikatu, Pole SUMA KONTROLNA (obliczane podobnie jak suma IP, ale suma kontrolna ICMP odnosi się tylko do komunikatu ICMP)

6 Protokół ICMP Najważniejsze dane przesyłane w komunikacie ICMP zawarte są w polach TYP i KOD. Wszystkie wersje komunikatów ICMP muszą zawierać pola: Typ, Kod, Suma kontrolna. Znaczenie poszczególnych bajtów jest następujące: Pole Typ: 0 - odpowiedź z echem (ang. Echo Reply) 3 - odbiorca nieosiągalny (ang. Destination Unreachable). 4 - zmniejszenie szybkości nadawania - tłumienie źródła (ang. source quench) 5 - zmiana trasowania - przekierowanie (ang. redirect). 8 - prośba o echo (ang. echo request) Protokół ICMP 9 - rozgłaszanie routera (ang. router advertisement) 10 - wywołanie routera (ang. router solicitation) 11 - przekroczenie TTL (ang. Time Exceeded) 12 - kłopot z parametrami datagramu 13 - prośba / żądanie o wysłanie znacznika czasu (ang. timestamp request) 14 - odpowiedź na prośbę / żądanie o wysłanie znacznika czasu (ang. timestamp reply) 15 - prośba o informację 16 - odpowiedź z informacją 17 - prośba o maskę adresu 18 - odpowiedź z maską adresu Protokół ICMP 30 - Traceroute 31 - błąd konwersji datagramu (ang. Datagram Conversion Error) 32 - przekierowanie hosta mobilnego (ang. Mobile Host Redirect) 33 - IPv6 Where-Are-You 34 - IPv6 Here-I-Am 35 - prośba o zarejestrowanie urządzenia mobilnego (ang. Mobile Registration Request) 36 - odpowiedź na prośbę o zarejestrowanie urządzenia mobilnego (ang. Mobile Registration Reply) 37 -żądanie nazw domeny (ang. Domain Name Request) 38 - zwrot nazwy domeny (ang. Domain Name Reply) 39 - SKIP Algorithm Discovery Protocol 40 - Photuris, Security Failures Protokół ICMP Przy przesyłaniu komunikaty ICMP są poddawane enkapsulacji do postaci pakietów IP, a następnie do postaci ramki warstwy drugiej. Pod tym względem stanowią one integralną część danych pakietu IP. Sam komunikat ICMP jest przesyłany w datagramie IP. Komunikat ICMP składa się z nagłówka ICMP oraz danych ICMP. Warto przy tym zauważyć, że ze względu na zawodny charakter protokołu IP w momencie zaginięcia datagramu przenoszącego komunikat ICMP nie zostanie to zdiagnozowane Zbieranie informacji o celu ataku Wyszukiwanie aktywnych komputerów Odpowiedź - host jest aktywny, brak odpowiedzi - nieaktywny lub chroniony; Prośba może być wysłana na adres rozgłoszeniowy (ICMP broadcast) odpowiedź od wszystkich komputerów sieci; Ochrona - zablokowanie ICMP ECHO;

7 TCP TCP Nagłówek TCP TCP TCP zapewnia wiarygodne połączenie dla wyższych warstw komunikacyjnych (sumy kontrolne i numery sekwencyjne pakietów). Obsługa brakujących pakietów retransmisja. Odebrane pakiety są porządkowane według numerów sekwencyjnych TCP TCP Protokoły warstwy transportowej zapewniają łączność pomiędzy procesami wykonywanymi na dwóch różnych komputerach, nie ingerując w wybór trasy przesyłu informacji (to jest zadaniem podrzędnego względem nich protokołu IP). Ponieważ na jednym komputerze może być wykonywanych wiele procesów jednocześnie, muszą one korzystać z różnych punktów kontaktowych, aby sobie wzajemnie nie przeszkadzały. Takie logiczne obiekty służące jako skrzynki nadawczo- odbiorcze dla poszczególnych procesów nazywane są portami. Przed przesłaniem danych pomiędzy dwoma hostami musi zostać nawiązane połączenie. Często host, który rozpoczyna połączenie nazywany jest klientem, zaś drugi host serwerem. W protokole TCP podobnie jak w trakcie rozmowy telefonicznej następuje na początku proces uzgadniania. Protokół TCP stosuje w tym celu mechanizm synchronizacji zwany uzgadnianiem trójetapowym (ang. three way handshake). W skład tego procesu wchodzą następujące fazy:

8 TCP Klient inicjuje połączenie poprzez wysłanie segmentu z ustawioną flagą w SYN (=1). Ustawiona wartość pola SYN=1 oznacza, że hosty nie zostały jeszcze zsynchronizowane i segment ten jest żądaniem nawiązania połączenia. Jednocześnie wysyłany jest w tym samym segmencie numer sekwencyjny pakietu o wartości x oraz rozmiar okna, który jest informacją dla serwera jakiej wielkości bufor został zarezerwowany (po stronie klienta) na segmenty przesyłane z serwera Serwer odbiera pakiet. TCP Po analizie flagi rozpoznaje, że jest to próba nawiązania połączenia. Serwer rejestruje numer sekwencyjny x, przydziela dla tego połączenia bufory i zmienne stanu. Odpowiedź będzie zawierała oprócz ustawionego bitu flagi SYN również ustawiony bit flagi ACK. Ustawione bity flag sygnalizują, że będzie to początek konwersji zwrotnej. Serwer wysyła swój własny numer y w polu numer sekwencyjny oraz w polu numer sekwencyjny potwierdzenia wysyła wartość x+1. Wartość wpisana w to ostatnie pole informuje klienta, na którą następną porcję bajtów oczekuje serwer. Dodatkowo serwer wysyła rozmiar okna. Wielkość ta informuje klienta o rozmiarze bufora, który został zarezerwowany po stronie serwera na segmenty, które będą przesyłane od klienta Klient odbiera segment inicjalizuje po swojej stronie bufor na segmenty pochodzące od serwera i na zmienne stanu tego połączenia. W ramach potwierdzenia odebrania segmentu od serwera wysyła pakiet z ustawioną wartością flagi ACK, wyzerowaną wartością pola SYN oraz w w polu następny numer sekwencyjny wpisywana jest wartość y+1. Oznacza to, że połączenie zostało nawiązane i teraz klient oczekuje od serwera porcji bajtów od numeru y+1. Wartość SYN=0 oznacza, że połączenie zostało nawiązane i nastąpiła synchronizacja. Po nawiązaniu we wszystkich przesyłanych segmentach jest ustawiona flaga ACK, która potwierdza fakt otrzymania porcji danych określonej w polu numer sekwencyjny. Wyszukiwanie aktywnych komputerów i portów Port Scanning - skanowanie portów Nawiązanie połączenia w TCP (3-way handshake) Jeżeli port jest nieaktywny, host zrywa połączenie (pakiet z flagą RESET)

9 Port Scanning - skanowanie portów Skanowanie Fingerprinting proces rozpoznawania jakie oprogramowanie obsługuje daną usługę czyli obiektu ataku; Skanowanie różne odpowiedzi przez serwery WWW np. Apache lub IIS w zależności od wersji obsługiwanego protokołu, Możliwość oszukania zmiana w plikach konfiguracyjnych Wykorzystanie protokołu ICMP PING wysyła pakiet ICMP typu Echo request. Komputer wysyłający oczekuje odpowiedzi pakietem Echo replay. Jakie informacje otrzymujemy: komunikacja pomiędzy maszynami jest możliwa pytany host jest aktywny; długość przesyłanego pakietu (standardowo wysyłany jest pakiet o długości 56 bitów całość 84 bity różnica 28 bitów przypada na rozmiar nagłówka IP oraz ICMP; pakiety zwrócone informują o numer pakietu, wartość TTL, czas w jakim otrzymano odpowiedź; po przerwaniu działania otrzymujemy informacje o ewentualnych utraconych pakietach Wykorzystanie protokołu ICMP Określenie dokładnej trasy pakietu; Wysyłając pakiety o wartości TTL równej 1 i zwiększając tą wartość o jeden z każdym kolejnym pakietem; W ten sposób otrzymujemy pakiety zwrotne Time to live exceeded od każdego kolejnego routera; Program traceroute;

10 TCP Specyfikacja protokołu TCP/IP nie przewiduje wszystkiego; Są parametry charakterystyczne dla konkretnego systemu (wartości domyślne); Badając te parametry czyli analizując zachowania implementacji stosu protokołów TCP/IP można rozpoznać system. Analiza obsługi niewłaściwie zbudowanych pakietów. Skanowanie aktywne i pasywne: różnica w sposobie pozyskiwania informacji aktywne program wysyła do badanej maszyny przynętę, spreparowane pakiety TCP i bada otrzymane odpowiedzi. pasywne program rozpoznający tylko przechwytuje i analizuje dane przychodzące do maszyny, która skanuje. wady i zalety nmap skanowanie aktywne Nmap wysłał pakiety ICMP echo request pod wszystkie adresy IP podane jako argument. Te hosty, które odpowiedziały zostały wyświetlone. nmap skanowanie aktywne Skanowanie oparte o pełne połączenie TCP (nmap -st) - listuje porty, z którymi udało się nawiązać połączenie; Wykorzystuje funkcję systemową connect() protokół TCP; Najpopularniejsza metoda skanowania; Funkcja pobiera nazwę hosta oraz port; Jeżeli port jest otwarty wywołanie funkcji kończy się sukcesem; Jeśli nie jest on dostępny funkcja zwróci błąd; Nie są wymagane przywileje administratora; Technika łatwa do wykrycia; Admin otrzyma informacje o wielu nieudanych połączeniach na wszystkich portach nmap Skanowanie SYN (tzw. półotwarte) (nmap -ss) - polega na wysyłaniu pakietów z ustawioną flagą SYN i oczekiwaniu na odpowiedź; Wymaga przywileju administratora; Skaner wysyła do komputera docelowego pakiet SYN jeśli otrzyma w odpowiedzi pakiet SYN w ustawioną flagą ACK, która oznacza udane nawiązanie połączenia, stwierdza, że port jest otwarty i usługa działa; W tym momencie skaner wysyła pakiet w flagą RST zrywa połączenie, Metoda trudniejsza do wykrycia nmap Poprzednie skanowanie może zostać wykryte przez niektóre firewall e; Skanowanie z flagą FIN (nmap -sf); Zamknięte porty odpowiadają na pakiet FIN pakietem RST, zrywając połączenie; Otwarte porty nie odpowiadają na pakiet FIN; Ten typ skanowania może dać błędne rezultaty w systemach rodziny Windows czasami wysyłają odpowiedź RST nawet jeśli port jest otwarty; Skanowanie (nmap -sx) Xmas Tree ustawione flagi FIN, URG i PUSH; Skanowanie (nmap -sn) Null skanowanie, które wyłącza wszystkie flagi

11 nmap skanowanie portów UDP (nmap -su) - listuje otwarte porty, korzystające z protokołu UDP przy pomocy pakietów ICMP; skanowanie ping (nmap -sp) - pozwala ono określić, które z hostów są aktywne w danym momencie. skanowanie ping (nmap -sv) - pozwala ono określić, dokładne wersje programów działających na danym porcie. skanowanie ping (nmap s0) wykorzystuje skanowanie protokołem IP wysyła pakiety IP, nie posiadające nagłówka innego protokołu, i oczekuje odpowiedzi. metoda ACK (nmap -sa) - wykorzystywana jest najczęściej do poznania ustawień firewalla (rozpoznawania prostych filtrów pakietów); Z komputera o IP skanujemy (metodą connect()) komputer

12 Badanie RTO Pomiar czasu pomiędzy retransmisjami pakietów SYN+ACK w trakcie nawiązywania połączenia TCP; Trójstopniowe uzgadnianie co się stanie gdy klient nie potwierdzi odebrania pakietu SYN+ACK (w trzeciej fazie uzgadniania); Serwer (host odpowiadający) stwierdzi, że pakiet został zagubiony i będzie go kilkukrotnie próbował retransmitować zgodnie z RTO (retransmission time); Ilość retransmisji i odstępy między nimi zależą od systemu operacyjnego Window Xprobe2 i p0f Rozmiar okna (ang. window) odzwierciedla maksymalną liczbę danych, które mogą być wysłane bez konieczności oczekiwania na pozytywne potwierdzenie. Umożliwia zwiększanie szybkości z jaką przesyłane są dane. Podczas transmisji danych rozmiar okna jest zmieniany w celu optymalnego wykorzystania łącza. Rozmiar okna jest ważną informacją pozwala ustalić system na drugim końcu kabla. Różne wersje tego samego systemu z reguły używają innych rozmiarów okna w pakietach TCP SYN. Program do rozpoznawania systemu głównie za pomocą protokołu ICMP. Główna różnica pomiędzy nmapem - w testach nie występują pakiety o nieprawidłowej budowie trudniej jest to zablokować na firewallu. p0f skanowanie pasywne przechwytuje jedynie pakiety przychodzące i bada je pod kątem występowania cech charakterystycznych dla konkretnego systemu maskowanie systemu Skaner bezpieczeństwa - Nessus Metody obrony przed skanowaniem dzielimy na dwie grupy: milczenie czyli brak odpowiedzi na niektóre pakiety; oszukiwanie czyli wysyłanie informacji innych niż faktyczne. np.# echo 128 > / /proc/sys/net/ipv4/ip_default_ttl blokowanie nieprawidłowych pakietów ACK; blokowanie pakietów z niepoprawnymi flagami ; ignorowanie wybranych komunikatów ICMP

13 Skaner bezpieczeństwa - Nessus Skanery bezpieczeństwa Ataki na systemy teleinformatyczne Probe Próbkowanie - próba dostępu do obiektu poprzez zbadanie jego charakterystyki. Scan - Skanowanie - próba dostępu do wielu obiektów na raz poprzez ustalenie obiektu z oczekiwaną charakterystyką. Flood Przepełnienie - próba dostępu poprzez nagle przepełnienie możliwości jego przetwarzania. Authenticate - Uwierzytelnienie - np. przedstawienie się jako osoba uprawniona oraz w razie konieczności przekazanie informacji potrzebnej do poprawnego uwierzytelnienia. Bypass - Ominięcie - ominięcie procesu zabezpieczającego poprzez zastosowanie alternatywnej drogi osiągnięcia. Spoof - Podszywanie - przedstawianie się, lub modyfikowanie pakietów w trakcie połączenia, w celu wykazania, że posiada się prawo dostępu do zasobów. Ataki na systemy teleinformatyczne Read - Czytanie - dostęp i zapoznanie się z informacją, do której nie jest się uprawnionym. Copy - Kopiowanie - możliwość kopiowania informacji przez osobę nieuprawnioną. Steal - Kradzież - przejęcie zasobów przez osobę nieuprawnioną, bez pozostawienia kopii w uprawnionej lokalizacji. Modify - Modyfikacja - zmiana zawartości lub charakterystyki obiektu. Delete Usuniecie - zniszczenie obiektu ataku Rodzaje ataków komputerowych Przerwanie atak na dyspozycyjność, częściowe zniszczenie systemu lub jego niedostępność, Przechwycenie atak na poufność, nieuprawniony dostęp do zasobów, Modyfikacja atak na nienaruszalność, wprowadzenie zmian przez osoby nieuprawnione, Podrobienie atak na autentyczność, wprowadzenie do systemu fałszywych obiektów. Anatomia ataku 5P Probe ping, traceroute, sniffing, zgadywanie nazw i haseł Penetrate Załączniki w , applety, backdoory, trojany Persist Instalowanie nowych usług, zmiany rejestrów i konfiguracji Propagate , IRC, FTP, udostępnianie plików Paralyze Niszczenie i wykradanie danych, zakłócanie pracy systemu

14 Ataki na systemy teleinformatyczne I faza II faza III faza Wybór i badanie celu Techniki uzyskania nieautoryzowanego dostępu lub unieruchomienia celu Czynności po uzyskaniu nieautoryzowanego dostępu Podstawowe techniki włamań i przechwytywania informacji Modyfikacja danych Podmiana adresu lub id Przekierowanie ruchu I faza II faza III faza Próbkowanie lub Skanowanie celu Uwierzytelnienie Ominięcie Podszywanie Czytanie Kopiowanie Kradzież Modyfikacja Kasowanie Monitoring sieci Łamanie haseł T E C H N I K I W Ł A M A Ń ATAKI PASYWNE podsłuch / monitorowanie przesyłanych informacji w celu odkrycia treści komunikatu / uzyskania informacji o ruchu w sieci ATAKI AKTYWNE modyfikacja strumienia danych / tworzenie danych fałszywych DoS - Denial of Service Skuteczny sposobów unieruchomienia serwera sieciowego lub częściowe zablokowanie dostępu do wybranych usług np. WWW czy ; Przypadek skrajny - zawieszenia pracy systemu - podniesienie systemu - fizyczna interwencja administratora; Atak - wysyłanie w krótkim czasie bardzo dużej ilości zapytań do serwera sieciowego; Serwer na każde zapytanie stara się odpowiedzieć; Intruz nie czekając na odpowiedź ze strony serwera ciągle wysyła kolejne zapytania;

15 DoS - Denial of Service Efekty działania ataków typu DoS Cel ataku - wyeliminować komputery (routery) z sieci poprzez zablokowanie ich portów (możliwości komunikacji), zawieszenie działania (systemu operacyjnego), zablokowanie aplikacji. Metody ataku Wysyłanie do komputera pakietów w liczbie przekraczającej możliwości obsługi; Wysyłanie pakietów spreparowanych w celu zablokowania działania systemu operacyjnego lub aplikacji. Designed Outage Resource Destruction Resource Exhaustion wstrzymanie usług, zniszczenie zasobów, wyczerpywanie zasobów Rodzaje ataków typu DoS SYN Flood, Ping of Death, Smurf, Tear Drop, bombing, spamming. Wykorzystanie ICMP Pakiety ICMP informujące o problemie sieciowym zawierają także początkowy fragment pakietu, który jako pierwszy wywołał błąd; Fragment ten zawiera nagłówek IP oraz przynajmniej 64 bity nagłówka warstwy wyższej (tu TCP); W załączonym nagłówku znajduje się adres nadawcy i odbiorcy; 64 bity nagłówka TCP przenosi informacje o porcie źródłowym i docelowym oraz numer sekwencyjny pakietu. pozwala to odbiorcy określić, którego połączenia dotyczy otrzymany komunikat; Wykorzystanie ICMP Ataki z wykorzystaniem ICMP Komunikaty ICMP przenoszą kody błędów określane jako twarde i miękkie; Komunikat twardy (brak rozwiązania problemu) połączenie zostaje zerwane; Ataki ślepe bez podsłuchu pakietów; Wymagania musimy znać adres nadawcy i odbiorcy oraz port źródłowy i docelowy; Aby zerwać połączenie atakujący musi wysłać do jednej ze strony twardy komunikat (jest ich 16) najważniejsze to: o protocol unreachable (nieobsługiwany protokół) kod 2, o port unreachable (nieobsługiwany port) kod 3, o fragmentation needed and DF set (wymagana fragmentacja)- kod

16 Ataki z wykorzystaniem ICMP Maximum Transmission Unit - MTU ustalanie optymalnego rozmiaru pakietu, jaki może zostać przesłany bez potrzeby jego fragmentacji. Atak polega na wysyłaniu fałszywych pakietów ICMP w kierunku jednej ze stron połączenia powodując zmniejszenie rozmiaru MTU do drastycznie niskiego poziomu. W efekcie stosunek sumarycznej długości nagłówków do długości przesyłanych danych będzie znacznie większy. Większość przesyłanych informacji stanowią nagłówki datagramów TCP - SYN Flood W atakach tego typu cały problem tkwi w mechanizmie działania procesu potrójnego potwierdzania połączenia TCP. W wyniku powiększania się Internetu pakiety w drodze do miejsca przeznaczenia przechodzą przez wiele maszyn. Rezultat jest taki, że pakiety te mogą być znacznie opóźnione lub nawet zgubione. Aby zestawić połączenie na łączach, gdzie występują duże opóźnienia, serwer musi poczekać na potwierdzający pakiet ACK od klienta. SYN Flood połączenia półotwarte Jeśli go nie otrzyma, ponowi wysłanie własnego pakietu ACK. Zanim serwer odrzuci żądanie połączenia, sytuacja ta może się powtórzyć kilkakrotnie. Za każdym razem, gdy serwer ponawia wysłanie własnego pakietu ACK, czas jego oczekiwania na odpowiedź zwiększa się. Typowy sposób ataku DoS typu SYN Flood polega na wysyłaniu pakietów SYN do serwera z fałszywym adresem zwrotnym SYN Flood o W przypadku ataku SYN flood atakujący wysyła na adres ofiary dużą liczbę segmentów SYN protokołu TCP adresowanych z dowolnych (nieistniejących) adresów IP. o Nieświadoma tego ofiara odpowiada segmentami SYN/ACK i rozpoczyna bezowocne oczekiwanie na segmenty ACK (stacja protokołu TCP ofiary jest w stanie na wpół otwartym). o W trakcie oczekiwania wyczerpują się zasoby stacji protokołu TCP i systemu operacyjnego ofiary. o W 1997 r. atak SYN flood na WebCom wyłączył z użycia ponad 3000 witryn WWW

17 Land attack W tym przypadku, atakujący wysyła segment SYN na adres ofiary podając jej własny adres jako źródłowy i nadając ten sam numer portu źródłowego i docelowego. Stacja TCP ofiary nigdy nie zestawi połączenia zapętlając się w nieskończoność. W niektórych implementacjach może to prowadzić do jej zawieszenia Ping of Death Ping of Death Niektóre systemu nie potrafią sobie poradzić z pakietami, których rozmiar jest większy niż bajtów (64 kb). Jest to błąd, który nie występuje tylko w systemach UNIX, ale jest też charakterystyczny dla MacOS, Netware, drukarek sieciowych, routerów itp. Niektóre systemu nie potrafią sobie poradzić z pakietami, których rozmiar jest większy niż bajtów (64 kb) atak dawno nieaktualny. Jest to błąd, który nie występuje tylko w systemach UNIX, ale jest też charakterystyczny dla MacOS, Netware, drukarek sieciowych, routerów itp. Rozmiar pakietu przekraczał 64 kb więc ulegał defragmentacji ostatni fragment nie mieścił się w buforze, który system przeznaczył na jego otrzymanie Teardrop Korzysta jak poprzednio z niedoskonałości w mechanizmach fragmentacji pakietów IP. Kiedy rozmiar pakietu przekracza największą dopuszczalną wielkość (MTU) pakiet zostaje podzielony. W kolejnych częściach zapisywany jest offset. Jeśli offsety zapisane są tak że po złożeniu nachodzą na siebie efekt jak poprzednio. Ping s 1024 c 3 t 10 s jak duże mają być wysyłane pakiety; c liczba wysyłanych pakietów; t wartość pola TTL w nagłówku IP. Ping i 0.02 t częstotliwość wysyłania pakietów. uprawnienia root a Ping f c f Flooding ping masowe wysyłanie pakietów ICMP typu Echo request

18 Obrona 18

19 DDoS - Distributed Denial of Service Znacznemu zmodyfikowaniu uległy: skuteczność oraz "bezpieczeństwo" agresora; W metodzie DoS atak - z komputera hakera, atak DDoS przeprowadzany jest w sposób rozproszony tzn. z wielu komputerów jednocześnie; Różne lokalizacje komputerów - użytkownicy nie są świadomi, że biorą udział w ataku. Aby komputer taki mógł wziąć udział w ataku musi być wcześniej przygotowany przez agresora. Przeważnie są to wirusy typu koń trojański lub bomba logiczna, które dopiero na wyraźny sygnał od agresora uaktywniają się i rozpoczynają proces destrukcji. Wykrycie takiego wirusa jest stosunkowo trudne ze względu na to, iż aktywuje się on tylko i wyłącznie w momencie ataku, po czym znów przechodzi w stan uśpienia Atack DDoS Agresor Inicjacja ataku w dowolnym momencie Zaatakowany serwer

20 komputer hackera sieć komputer ofiary schemat ataku DoS sieć komputer hackera komputer ofiary schemat ataku DDoS Smurf Attack Amplification Attack Atak Smurf otrzymał nazwę od exploita i jest stosunkowo nowy w kategorii sieciowych ataków na hosty. Zasada jego działania polega na wysłaniu przez napastnika dużej ilości pakietów ICMP echo (ping) na adresy broadcastowe z podmienionymi adresami źródłowymi na adresy ofiary. Jeśli router dostarczył pakiet na adres rozgłoszenia IP spowoduje to, że każda maszyna przyjmie żądanie ICMP echo i na nie odpowie. W konsekwencji odpowiedzi z wielu komputerów spowoduję blokadę usług na atakowanym hoście ICMP flooding (PING flooding) Polega na zalewaniu portów niepożądanymi pakietami ICMP. Przesyłane pakiety identyfikowane są po 8-bitowym polu typu np. na pakiet ICMP echo request (8) stacja odpowiada pakietem ICMP echo replay (0). Serwer, który zostanie zarzucony prośbami o echo przez wiele hostów jednocześnie będzie je odbierał i próbował na nie odpowiedzieć. Atak tego typu najczęściej jest realizowany przez wysłanie wielu pakietów ICMP echo request z adresem docelowym potencjalnej ofiary Obrona przed atakiem SYN flood SYN Defender Obrona przed atakiem SYN flood SYN Defender SYN Defender jest komponentem kilku kompleksowych systemów ochrony (takich jak np. CheckPoint Firewall-1). Jego ogólna koncepcja działania polega na wprowadzeniu pomiędzy atakującego i ofiarę wyspecjalizowanego obrońcę (na oznaczonego na czerwono), który przejmuje wszystkie segmenty SYN skierowane do ochranianego systemu i propaguje połączenia dopiero gdy wykluczy atak (czyli, gdy dotrze do obrońcy trzeci segment nawiązania połączenia, co oznacza, że nie mamy do czynienia z atakiem SYN flood)

21 Slashdotting Nie jest to klasyczny atak; Popularny serwis umieszcza link do strony WWW (serwer webowy jest celem ataku ) podając atrakcyjną treść zachęty; Serwer WWW nie jest przygotowany na obsługę tylu użytkowników; Odmowa dostępu do usługi (HTTP). Mail bombing Mailbomber lub Bulk Mailer to określenie programów przeznaczonych do automatycznego wysyłania ogromnej liczby wiadomości na określony adres pocztowy; Liczba wysyłanych i może sięgać nawet kilku setek na minutę; Atak na serwer - duża ilość wysyłanych wiadomości obciąża zasoby serwera co może spowodować jego blokadę, konto użytkownika natomiast praktycznie nie nadaje się do pracy. Ściągnięcie np. 10 tysięcy wiadomości jest dla użytkownika bardzo kłopotliwe; Jedynym ratunkiem jest wtedy interwencja administratora, który jest w stanie wyczyścić zapchaną skrzynkę pocztową. Namierzenie sprawcy jest dość trudne - programy te mają możliwość ukrywania tożsamości nadawcy oraz źródło pochodzenia przesyłki Sniffing Techniki przechwytywania informacji ataki na poufność, dostępność i integralność danych Technika ta została stworzona na potrzeby administratorów i polega na "podsłuchiwaniu" wszystkich pakietów krążących po sieci. Analiza takich pakietów pozwalała na łatwe wychwycenie jakichkolwiek nieprawidłowości w funkcjonowaniu sieci. Sniffing - ogromne możliwości diagnostyczne. Zalety Sniffingu zostały również zauważone przez hakerów Sniffing Sniffing Anna haslo login: passwd: SNIFFER

22 Sniffer narzędzie administratora analiza trasy pakietów (czy pakiety trafiają pod właściwy adres, czy napotykają problemy i jakie), badania obciążenia sieci i stopnia wykorzystania jej zasobów (w celu sprawdzenia ruchu generowanego przez konkretne stacje, udziału poszczególnych protokołów czy ilości danych ściągniętych z serwerów WWW), kontroli zabezpieczeń sieci (czy były ataki i jakie, czy przez sieć przechodzą tylko oczekiwane pakiety itp.), Sniffing Karta sieciowa w normalnym trybie pracy odrzuca wszystkie ramki nie skierowane na jej adres MAC. Większość kart można jednak programowo przełączyć w tryb zwany mieszanym lub bezładnym (promiscuous), w którym karta będzie przekazywać do wyższych warstw wszystkie ramki. Jeśli sniffer zostanie umieszczony na routerze - uzyskuje się dostęp do całego przechodzącego przez niego ruchu. Sniffing jest techniką z zasady pasywną, tzn. nie modyfikuje przechwyconych pakietów (jedynie kopiowanie) - tak iż ani nadawca ani adresat nie są w stanie się zorientować, że przesyłka została przechwycona Karty sieciowe w trybie normalnym Gdy haker włączy tryb promiscuous 00:10:A7:20:A0:7E 00:50:8d:4b:12:22 00:10:F3:4A:D5:E6 00:10:A7:20:A0:7E 00:50:8d:4b:12:22 00:10:F3:4A:D5:E6 Nadano pakiet do 00:09:2B:C9:B8:35 NIC w trybie promiscuous Nadano pakiet do 00:09:2B:C9:B8:35 ` 00:10:C3:30:B8:B3 00:09:2B:C9:B8:35 00:0A:2E:B5:FF:FE 00:10:C3:30:B8:B3 00:09:2B:C9:B8:35 00:0A:2E:B5:FF:FE Sniffing Hub Ethernet jest technologią, w której informacja (ramka) wysłana przez nadawcę trafia do wszystkich odbiorców, przy czym odczytuje ją jedynie odbiorca, którego adres sprzętowy (MAC address) jest zgodny z adresem przeznaczenia. Zadaniem koncentratora (huba) umieszczonego w centralnym punkcie rozdzielczym sieci jest wzmacnianie otrzymanego sygnału i przekazywanie go na wszystkie swoje porty

23 Do aa:aa:aa:aa:aa:aa Do aa:aa:aa:aa:aa:aa Hub Hub Do aa:aa:aa:aa:aa:aa Do aa:aa:aa:aa:aa:aa T1 Adres MAC aa:aa:aa:aa:aa:aa T2 Adres MAC bb:bb:bb:bb:bb:bb T3 Adres MAC cc:cc:cc:cc:cc:cc T1 Adres MAC aa:aa:aa:aa:aa:aa Hacker Adres MAC bb:bb:bb:bb:bb:bb T3 Adres MAC cc:cc:cc:cc:cc:cc Ramka akceptowana Ramka ignorowana Ramka ignorowana Ramka akceptowana Tryb mieszany Ramka akceptowana Ramka ignorowana Sniffing Przełącznik (switch) jest urządzeniem drugiej warstwy modelu referencyjnego ISO/OSI. Od koncentratora (huba) różni się, z grubsza rzecz biorąc, tym, że potrafi nauczyć się adresów MAC urządzeń podłączonych do swoich poszczególnych portów i przekazywać nadchodzące ramki tylko do tego portu, do którego podłączone jest urządzenie o odpowiednim adresie fizycznym. Switch ma wbudowaną pamięć, w której przechowuje tablicę adresów przypisanych do poszczególnych portów. Jeżeli na którymś z portów switcha pojawia się ramka, switch odczytuje adres jej nadawcy i umieszcza w tablicy adresów jako adres przypisany do danego portu. Switch Do aa:aa:aa:aa:aa:aa Do aa:aa:aa:aa:aa:aa Switch Do aa:aa:aa:aa:aa:aa T1 Adres MAC aa:aa:aa:aa:aa:aa Hacker Adres MAC bb:bb:bb:bb:bb:bb T3 Adres MAC cc:cc:cc:cc:cc:cc Ramka akceptowana Nie otrzyma ramki Nie otrzyma ramki

24 Sniffing Przy pomocy snifferów przeprowadzono najbardziej niebezpieczne ataki. Luty 1994 r. - instalacja snifferów na hostach i urządzeniach amerykańskich sieci wojskowych. Udało mu się przechwycić ponad poprawnych nazw użytkowników i haseł - atak ten uznano wówczas za najniebezpieczniejszy w historii tej sieci. Sieć Rahul.net - dzięki snifferom z poziomu tej sieci poznano użytkowników i hasła 268 hostów należących miedzy innymi do Armii Stanów Zjednoczonych. Kradzież ponad 100 tysięcy numerów kart kredytowych dokonana przez Carlosa Felipe Selgado. Przykład 1 Sniffing Włamywacz przejmuje maszynę B (ruter) i instaluje tam sniffera (jest to najgroźniejszy przypadek). Użytkownik komputera A (dowolny komputer w sieci) loguje się za pomocą programu telnet na jakimś dowolnym serwerze w Internecie, wtedy można przechwycić hasła i wszelkie inne dane przesłane przez router. Odnosi się to do wszystkich maszyn w sieci lokalnej. I to w obydwie strony, czyli jeżeli ktoś się loguje z Internetu na serwer w sieci lokalnej i na odwrót. Dlatego też sniffery uruchomione na routerach są największym zagrożeniem Sniffing Przykład 2 - sniffer na maszynie A (stacja końcowa) stwarza on mniejsze niebezpieczeństwo, ponieważ będą przechwytywane pakiety tylko z logowań na i z komputera A. Jeżeli A będzie np. serwerem, który obsługuje konta WWW, może się zdarzyć, że włamywacz pozna ich dużą część. Przykład 3 - sniffer na maszynie C (stacja pośrednicząca) sytuacja jest trochę trudniejsza niż powyżej, ponieważ sniffer będzie przechwytywał również pakiety wędrujące od i do komputera D (poza stacją C) oraz te, które będą przeznaczone dla niego. Jest to wprawdzie mniejsze niebezpieczeństwo niż sniffer na routerze, ale może także w znacznym stopniu naruszyć bezpieczeństwo tej sieci. tcpdump ngrep 24

25 Obrona warstwa fizyczna Możliwe zagrożenia: podsłuch danych poprzez fizyczne podłączenie do segmentu sieci; podłączenie się do segmentu sieci w celu podszycia się pod innego jej użytkownika. Metody ochrony: ochrona kryptograficzna na wyższych warstwach modelu OSI; ochrona i kontrola fizycznych punktów dostępu do sieci i jej infrastruktury

26 Podatność na sniffing Usługi najczęściej stosowane: FTP, HTTP, POP3, Telnet; GG, ICQ, IRC. Usługi szyfrowane: HTTPS, POP3 po SSL, SSH, SSL, SET; Ogromne zagrożenie w dużych sieciach i tam gdzie jest łatwość podłączenia własnego komputera Zasada działania przełącznika Sniffing Czy zastosowanie przełączników drugiej warstwy uniemożliwia stosowanie klasycznych metod sniffingu???

27 MAC flooding MAC flooding, czyli zalewanie switcha dużą liczbą ramek ze sfałszowanym adresem źródłowym (nadawcy) zwykle losowe. Tablica przyporządkowująca adresy MAC do poszczególnych portów ma ograniczoną pojemność. Po pewnym czasie dochodzi do przepełnienia tablicy adresów. Nie umiejąc prawidłowo nauczyć się nowych adresów pochodzących od rzeczywiście działających w sieci komputerów switch zaczyna rozsyłać nadchodzące ramki zaadresowane do nieznanych mu adresatów na wszystkie swoje porty. Dalej można już stosować metody podsłuchu znane z klasycznego ethernetu MAC flooding Oczywiście przełącznik co pewien czas odświeża informacje, więc proces zalewania musi być prowadzony w sposób ciągły. Każda wiadomość (nawet ta, którą udało się podsłuchać) niesie w sobie informacje o swoim nadawcy, a ta informacja powoduje przypisanie w switchu adresu źródłowego do któregoś z portów. Potrzeba pewnego czasu aby napływające z floodingu ramki wyparły tę informację z pamięci przełącznika. MAC flooding jest skuteczny w przypadku prostych przełączników niewielkie tablice odwzorowań. Ochrona przypisanie konkretnego adresu MAC do konkretnego portu switcha. MAC flooding macof z pakietu dsniff wysyłamy pakiety z losowymi adresami MAC i IP 27

28 Spoofing Janek czy to ty? Tak, to ja Marek Tomasz Janek MAC spoofing CAM (Content Adressable Memory) tablica, która zawiera przypisania adresów MAC do poszczególnych portów switcha. MAC spoofing jest atakiem polegającym na regularnym wysyłaniu do przełączników zmodyfikowanych pakietów zawierających min. źródłowy adres MAC ofiary. Spowoduje to uaktualnienie tablicy odwzorowań switcha i przesyłanie wszystkich pakietów skierowanych na adres MAC ofiary do portu, do którego podłączony jest komputer osoby przeprowadzającej atak (crackera). Pakiety przesłane do crackera nigdy nie dotrą do ofiary. W momencie, kiedy przełącznik otrzyma pakiet od ofiary, znów zaktualizuje tablicę odwzorowań, co spowoduje zaprzestanie przesyłania pakietów do crackera. W tym momencie konieczna jest retransmisja sfałszowanego pakietu MAC spoofing Atak ten jest mało skuteczny, gdy komputer ofiary jest włączony. Na komputerze ofiary obserwuje się znaczący spadek wydajności sieci, ponieważ wiele pakietów nie dociera do komputera ofiary. Muszą one być retransmitowane, a i to nie gwarantuje, że pakiet dotrze do właściwego komputera, a nie do crackera. W przypadku, gdy komputer ofiary jest nieobecny w sieci (lub gdy zostanie odłączony przez osobę przeprowadzającą atak), możliwe jest podszycie się pod komputer ofiary i przejęcie jego połączeń MAC spoofing MAC spoofing A chce otrzymywać pakiety kierowane do B. Wysyła pakiet Ethernetowy z min.: Ethernet source: Adres ethernetowy (MAC) B Rozumowanie switcha: Dostałem pakiet na porcie np. 4 (do tego portu przyłączony jest A) ten pakiet został wysłany przez urządzenie identyfikowane przez MAC B (Ethernet Source). Zatem B musi być podpięty do portu 4. Uaktualniam tablicę MAC, pakiety kierowane do B będę wysyłał na port 4 (A). Atak tego typu można uniemożliwić, tak jak poprzednio, wykorzystując możliwość przypisania konkretnego adresu MAC do konkretnego portu switcha. Konfiguracja taka jest jednak pracochłonna i może być niemożliwa w niektórych sieciach. W przypadku tego ataku nie wystarczy ograniczenie ilości adresów MAC na jednym porcie do jednego. Obydwie opisane wyżej metody pozwalają na podsłuch wyłącznie nieszyfrowanych połączeń. W tym celu przechwycenia połączeń szyfrowanych konieczne jest zastosowanie bardziej wyrafinowanych metod

29 ARP Spoofing Atak wyższego poziomu, nie atakuje bezpośrednio tablicy CAM switcha. Wykorzystuje protokół ARP tworząc sfałszowane pakiety arp reply ARP ARP Przedstawiony sposób odwzorowywania adresów ma jednak wady: Jest zbyt kosztowny aby go używać za każdym razem gdy jakaś maszyna chce przesłać pakiet do innej: przy rozgłaszaniu każda maszyna w sieci musi taki pakiet przetworzyć. W celu zredukowania kosztów komunikacji komputery używające protokołu ARP przechowują w pamięci podręcznej ostatnio uzyskane powiązania adresu IP z adresem fizycznym, w związku z tym nie muszą ciągle korzystać z protokołu ARP. Ponadto komputer A wysyłając prośbę o adres fizyczny komputera C od razu dowiązuje informację o swoim adresie fizycznym. Ponieważ prośba ta dociera do wszystkich komputerów w sieci, mogą one umieścić w swoich pamięciach podręcznych informację o adresie fizycznym komputera A. Jeśli w komputerze zostanie zmieniony adres fizyczny (np. w wyniku zmiany karty sieciowej), to może on bez zapytania o jego adres fizyczny rozgłosić go do innych komputerów, tak aby uaktualniły informacje w swoich pamięciach podręcznych ARP ARP Odwzorowanie adresów IP na adresy MAC (np. Ethernet) jest niezbędne dla realizacji operacji nadawczych, a dokładniej do konstrukcji prawidłowej ramki. Zadaniem odwzorowania adresów na ogół zajmuje się protokół ARP (Address Resolution Protocol). Stosuje on transmisję rozgłoszeniową zapytań i zbiera odpowiedzi bez zapewnienia poufności i autentyczności. W celu poprawy efektywności, protokół wykorzystuje pamięć podręczną do tymczasowego składowania informacji pozyskanych z docierających zapytań i odpowiedzi ARP

30 ARP ARP W efekcie z protokołem ARP wiążą się następujące zagrożenia: stacja w sieci lokalnej może wysyłać fałszywe zapytania lub odpowiedzi ARP kierując w efekcie inne pakiety w swoim kierunku (ARP spoofing spoofing); ); dzięki czemu napastnik może: modyfikować strumienie danych, podszywać się pod wybrane komputery. 178 ARP Spoofing Metoda ta polega na wysłaniu fałszywej ramki ARP Reply, z której komputery w sieci czerpią informację na temat odwzorowania adresów logicznych (IP) na adresy fizyczne (MAC). Na zapytanie klienta o adres IP (np. bramy do Internetu) odpowiada komputer użyty do ataku (rzecz jasna odpowiada podając nieprawdziwą informację, z której wynika, że fizyczny adres bramy to adres jego karty sieciowej). Dalej komunikacja odbywa się już na linii pirat klient. Ten ostatni przekonany jest oczywiście, ze wysyła ramki pod właściwy adres (fizyczny), a jedynie, o co ten pierwszy musi zadbać, to przekazywanie zawartych w nich pakietów tam gdzie trzeba (do rzeczywistej bramy)

31 Spoofing - ARP poisoning Analogia do ataku - Man in the middle ARP spoofing polega głównie na zatruciu tablic odwzorowań ARP (ARP poisoning) tak, aby adres MAC hakera został powiązany z adresem IP będącym w atakowanej sieci lokalnej. Man in the middle Man in the middle Si Si 31

32 Man in the middle Ettercap Obrona Monitorowanie komputera - detekcja obniżenia wydajności (spowolnienia pracy) komputera, na którym zainstalowano podsłuch; Aktywne monitorowanie sieci - podstępy: wysyłanie zapytań generujących automatyczne odpowiedzi; Detekcja sprzętowa - zmiany impedancji obwodu

33 Obrona arpwatch 1. Podmiana MAC. Statyczne przypisanie adresów MAC do portów przełącznika, statyczne mapowanie adresów MAC do adresów IP przełączniki zarządzalne 2. Ataki przeciwko ARP. Statyczne mapowanie adresów ARP w sieci. 3. Stosowanie metod tunelowania danych na poziomie warstwy drugiej. Wykorzystanie możliwości technologii VPN, protokołów klasy IPSec. 4. Kryptograficzna ochrona danych na poziomie warstw wyższych Obrona przed sniffingiem Wykorzystanie stosu TCP/IP Jeśli wyślemy np. pakiet ICMP Echo Request z nieistniejącym adresem MAC i adresem IP podejrzanego komputera, to zostanie on rozesłany do wszystkich, ponieważ przełącznik nie miał danego MAC a w pamięci CAM. Trafi również do komputera podejrzewanego o podsłuchiwanie. Jako że jego karta sieciowa została przełączona w tryb promiscuous, przekaże on tę ramkę do wyższych warstw stosu. Wyższe warstwy rozpoznają, że pakiet został skierowany do tego właśnie komputera i odesłana zostanie odpowiedź ICMP Echo Reply Obrona przed sniffingiem Każdy komputer (niezależnie od tego czy podsłuchuje czy nie) tworzy sobie tablicę ARP, w której przechowuje przez pewien czas mapowania IP<=>MAC ostatnio odebranych ramek. Możemy wykorzystać fakt, że w przypadku komputera podsłuchującego będą tam adresy, których być nie powinno. Możemy przygotować sobie spreparowany pakiet ARP reply, który opisuje adres IP i MAC naszego komputera, z którego przeprowadzamy śledztwo i wysłać na nieistniejący adres MAC. Zostanie on rozesłany do wszystkich, ale tylko podsłuchujący komputer go przyjmie. W wyniku tego, w swojej tablicy ARP będzie miał wpis opisujący nasz komputer, chociaż nie powinien mieć Obrona przed sniffingiem Inne techniki przechwytywania informacji Metoda wykrycia: Wysyłamy zwykły, niezmodyfikowany pakiet ICMP Echo Request do podejrzanego komputera i badamy jak zareaguje. Jeśli odpowie ICMP Echo Reply bez wcześniejszego wysłania broadcastowego pakietu ARP request, to znaczy, że miał w swojej tablicy wpis dotyczący naszego komputera. Z tego wnioskujemy, że przeczytał poprzedni, spreparowany pakiet, który powinien zostać odrzucony. 1. zgadywanie hasła dostępu - atak słownikowy (atak brutalny) oraz kryptoanaliza zaszyfrowanych informacji, 2. wirusy, konie trojańskie i inne groźne aplikacje programy typu badware, 3. Luki w zabezpieczeniach poczty elektronicznej i WWW, 4. Exploits" - programy wykorzystujące błędy w systemach operacyjnych i oprogramowaniu użytkowym, 5. rejestrowanie promieniowania elektromagnetycznego

34 Konie trojańskie Konie trojańskie Program, zawierający ukryty podprogram, wykonujący szkodliwe, niepożądane czynności; Intruz może w ten sposób uzyskać dostęp do plików będących poza jego zasięgiem Np. ustawienie praw dostępu do pliku Cechy charakterystyczne: nie powielają się samoczynnie (ale mogą być roznoszone przez wirusy); udają programy użytkowe, narzędziowe, gry (stąd nazwa); koniami trojańskimi mogą być także np. strony WWW zawierające odpowiednio spreparowane kontrolki ActiveX; zazwyczaj ukrywają się w systemie, tak aby ich działania były trudno zauważalne; często umożliwiają dostęp z zewnątrz do komputera bez wiedzy użytkownika Możliwe skutki: Konie trojańskie mogą umożliwiać innym osobom manipulowanie komputerem i znajdującymi się na nim danymi bez wiedzy użytkownika; mogą wykradać dane, przechwytywać obraz z ekranu, tekst pisany na klawiaturze; mogą wykorzystywać komputer do rozsyłania spamu lub zdalnych ataków na inne komputery; mogą pobierać z sieci i instalować inne konie trojańskie lub spyware; dialery mogą narazić użytkowników modemów na wysokie koszty Keyloggery Program lub urządzenie szpiegujące działania użytkownika; Należy do grupy koni trojańskich; Nie zawiera funkcji niszczących; Nie posiada samoreplikującego się kodu. Rejestruje: Naciśnięcia klawiszy; Zdarzenia systemowe; Konta użytkowników wraz z hasłami; Teksty wysyłane do pamięci podręcznej; Wysłane wiadomości (również szyfrowane) Keyloggery Negatywne aspekty stosowania Stosowane przez hakerów do pozyskiwania informacji, których nie udałoby się zdobyć innymi metodami; Do wykradania technologii i szpiegostwa przemysłowego; Wykorzystywane przez firmy marketingowe do gromadzenia danych o potrzebach przyszłych klientów; Używane przez służby bezpieczeństwa. Keyloggery Pozytywne aspekty stosowania Stosowane przez pracodawców sprawdzających wydajność pracy swoich pracowników; Przez rodziców, do kontroli na dzieci surfujących bez nadzoru po Internecie; Używane jako forma zabezpieczenia stanowiska pracy przed intruzami; Wykorzystywane jako kopia bezpieczeństwa danych w przypadku nagłego zaniku napięcia

35 Keyloggery - posoby instalacji Instalacja jawna stosowana przez użytkowników świadomych działania i obecności keyloggera, najczęściej do kontroli wydajności pracowników biurowych, dzieci korzystających z Internetu, itp. Instalacja ukryta stosowana celem pozyskania od osób trzecich poufnych danych, np. kont i haseł dostępu, numerów kart kredytowych, itd. Dane takie są następnie wykorzystywane do celów niezgodnych z prawem. Instalacja zdalna można przykleić instalator keyloggera do dowolnego programu. Podczas uruchomienia tak spreparowanej aplikacji równolegle zachodzi proces instalacji szpiega. Programowe Klasyfikacja Keyloggery Sprzętowe Zewnętrzne Wewnętrzne Keyloggery sprzętowe - charakterystyka Keyloggery sprzętowe Działają natychmiast po zainstalowaniu w porcie komputera; Nie jest wymagana instalacja oprogramowania; Do działania nie potrzebują dodatkowego źródła zasilania,; Współpracują ze wszystkimi systemami operacyjnymi; Pamięć umożliwia zapamiętanie do znaków; Logi mogą być szyfrowane; Potrafią rejestrować klawisze używane podczas konfiguracji BIOS-a, np. haseł - czyli zdarzeń z jakimi nie poradzą sobie keyloggery programowe; Odczyt pamięci możliwy w każdym edytorze tekstu; Niemożliwe do wykrycia i unieszkodliwienia przez oprogramowanie skanujące Keyloggery programowe - charakterystyka DHCP spoofing Są najtańszym i najprostszym narzędziem do kompleksowego inwigilowania użytkowników; Instalacja może być przeprowadzona w trybie jawnym lub ukrytym; Mogą pracować w trybie wsadowym lub z pełnym interfejsem graficznym; Zajmują niewiele miejsca na dysku; Ukrywają swoją obecność w systemie; Rejestrują dużą liczbę zdarzeń. Przydział adresu komputerowi włączonemu do sieci: Stacja kliencka wysyła zapytanie DHCP-Discover na broadcastowy adres MAC FF:FF:FF:FF:FF:FF. Server DHCP odpowiada komunikatem DHCP-Offer zawierającym propozycje adresu IP (na adres MAC klienta). Klient odpowiada komunikatem DHCP-request, który jest potrzymaniem pytania (na adres MAC serwera). Serwer potwierdza dzierżawę pakietem DHCP-ack

36 DHCP DHCP spoofing Klient przyjmuje pierwszy otrzymany komunikat DHCPoffer (akceptuje tylko pierwszy). Atak uruchomienie w atakowanej sieci drugiego serwera DHCP będzie on odpowiadał na zapytania, oferując swój adres IP jako adres bramy. W tej sytuacji dojdzie do wyścigu serwerów DHCP (który???). Jeśli ofiara przyjmie fałszywe dane DHCP, agresor dokonał ataku DHCP spoofing

37 DNS DNS DNS spoofing Jest to atak na serwer DNS, który posiada bazę danych przechowującą numery IP dla poszczególnych adresów; Atak polega na ingerencji w tablicę i modyfikację poszczególnych wpisów tak, aby klient zamiast do komputera docelowego, kierowany był do komputera hakera. Ataki przeciwko DNS Opanowanie serwera DNS = możliwość wprowadzania w błąd użytkowników sieci co do tożsamości komunikujących się ze sobą komputerów; Uwarunkowania ataku: Ataki przeciwko DNS DNS spoofing - pharming

38 DNS lokalny 38

Metody zabezpieczania transmisji w sieci Ethernet

Metody zabezpieczania transmisji w sieci Ethernet Metody zabezpieczania transmisji w sieci Ethernet na przykładzie protokołu PPTP Paweł Pokrywka Plan prezentacji Założenia Cele Problemy i ich rozwiązania Rozwiązanie ogólne i jego omówienie Założenia Sieć

Bardziej szczegółowo

Problemy z bezpieczeństwem w sieci lokalnej

Problemy z bezpieczeństwem w sieci lokalnej Problemy z bezpieczeństwem w sieci lokalnej możliwości podsłuchiwania/przechwytywania ruchu sieciowego pakiet dsniff demonstracja kilku narzędzi z pakietu dsniff metody przeciwdziałania Podsłuchiwanie

Bardziej szczegółowo

Laboratorium Sieci Komputerowych - 2

Laboratorium Sieci Komputerowych - 2 Laboratorium Sieci Komputerowych - 2 Analiza prostych protokołów sieciowych Górniak Jakub Kosiński Maciej 4 maja 2010 1 Wstęp Zadanie polegało na przechwyceniu i analizie komunikacji zachodzącej przy użyciu

Bardziej szczegółowo

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych Wykład 2: Budowanie sieci lokalnych 1 Budowanie sieci lokalnych Technologie istotne z punktu widzenia konfiguracji i testowania poprawnego działania sieci lokalnej: Protokół ICMP i narzędzia go wykorzystujące

Bardziej szczegółowo

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński Temat 8.9. Wykrywanie i usuwanie awarii w sieciach komputerowych. 1. Narzędzia

Bardziej szczegółowo

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność

Bardziej szczegółowo

Laboratorium 6.7.2: Śledzenie pakietów ICMP

Laboratorium 6.7.2: Śledzenie pakietów ICMP Topologia sieci Tabela adresacji Urządzenie Interfejs Adres IP Maska podsieci Domyślna brama R1-ISP R2-Central Serwer Eagle S0/0/0 10.10.10.6 255.255.255.252 Nie dotyczy Fa0/0 192.168.254.253 255.255.255.0

Bardziej szczegółowo

Najbardziej popularne metody włamań

Najbardziej popularne metody włamań Prezentacja: Najbardziej popularne metody włamań Aleksander Grygiel Plan prezentacji Skanery portów Ataki przez przepełnienie bufora Ataki z wykorzystaniem dowiązań w /tmp Ataki odmowy dostępu Skanowanie

Bardziej szczegółowo

Skąd dostać adres? Metody uzyskiwania adresów IP. Statycznie RARP. Część sieciowa. Część hosta

Skąd dostać adres? Metody uzyskiwania adresów IP. Statycznie RARP. Część sieciowa. Część hosta Sieci komputerowe 1 Sieci komputerowe 2 Skąd dostać adres? Metody uzyskiwania adresów IP Część sieciowa Jeśli nie jesteśmy dołączeni do Internetu wyssany z palca. W przeciwnym przypadku numer sieci dostajemy

Bardziej szczegółowo

MODEL OSI A INTERNET

MODEL OSI A INTERNET MODEL OSI A INTERNET W Internecie przyjęto bardziej uproszczony model sieci. W modelu tym nacisk kładzie się na warstwy sieciową i transportową. Pozostałe warstwy łączone są w dwie warstwy - warstwę dostępu

Bardziej szczegółowo

Przyczyny awarii systemów IT

Przyczyny awarii systemów IT Przyczyny awarii systemów IT Przyczyny powstawania strat Rodzaje zagrożeń Ataki na serwery DoS Denial of Service DDoS Distributed Denial of Service Mail Bombing Smurfing Flooding Rodzaje zagrożeń Włamania

Bardziej szczegółowo

Adresy w sieciach komputerowych

Adresy w sieciach komputerowych Adresy w sieciach komputerowych 1. Siedmio warstwowy model ISO-OSI (ang. Open System Interconnection Reference Model) 7. Warstwa aplikacji 6. Warstwa prezentacji 5. Warstwa sesji 4. Warstwa transportowa

Bardziej szczegółowo

Akademia Techniczno-Humanistyczna w Bielsku-Białej

Akademia Techniczno-Humanistyczna w Bielsku-Białej Akademia Techniczno-Humanistyczna w Bielsku-Białej Wydział Budowy Maszyn i Informatyki Laboratorium z sieci komputerowych Ćwiczenie numer: 3 Temat ćwiczenia: Narzędzia sieciowe w systemie Windows 1. Wstęp

Bardziej szczegółowo

Zadania z sieci Rozwiązanie

Zadania z sieci Rozwiązanie Zadania z sieci Rozwiązanie Zadanie 1. Komputery połączone są w sieci, z wykorzystaniem routera zgodnie ze schematem przedstawionym poniżej a) Jak się nazywa ten typ połączenia komputerów? (topologia sieciowa)

Bardziej szczegółowo

z paska narzędzi lub z polecenia Capture

z paska narzędzi lub z polecenia Capture Rodzaje testów i pomiarów pasywnych 40 ZAGADNIENIA Na czym polegają pomiary pasywne sieci? Jak przy pomocy sniffera przechwycić dane przesyłane w sieci? W jaki sposób analizować dane przechwycone przez

Bardziej szczegółowo

Protokoły wspomagające. Mikołaj Leszczuk

Protokoły wspomagające. Mikołaj Leszczuk Protokoły wspomagające Mikołaj Leszczuk Spis treści wykładu Współpraca z warstwą łącza danych: o o ICMP o o ( ARP ) Protokół odwzorowania adresów ( RARP ) Odwrotny protokół odwzorowania adresów Opis protokołu

Bardziej szczegółowo

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo 1 > /proc/sys/net/ipv4/ip_forward Zarządzanie bezpieczeństwem w sieciach Router programowy z firewallem oparty o iptables Celem ćwiczenia jest stworzenie kompletnego routera (bramki internetowej), opartej na iptables. Bramka umożliwiać

Bardziej szczegółowo

Wykład Nr 4. 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Wykład Nr 4. 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia Sieci komputerowe Wykład Nr 4 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia Sieci bezprzewodowe Sieci z bezprzewodowymi punktami dostępu bazują na falach radiowych. Punkt dostępu musi mieć

Bardziej szczegółowo

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący Zarządzanie w sieci Protokół Internet Control Message Protocol Protokół sterujący informacje o błędach np. przeznaczenie nieosiągalne, informacje sterujące np. przekierunkowanie, informacje pomocnicze

Bardziej szczegółowo

Podstawy bezpieczeństwa

Podstawy bezpieczeństwa Podstawy bezpieczeństwa sieciowego Dariusz CHAŁADYNIAK 2 Plan prezentacji Złośliwe oprogramowanie Wybrane ataki na sieci teleinformatyczne Wybrane metody bezpieczeństwa sieciowego Systemy wykrywania intruzów

Bardziej szczegółowo

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet Sieci Komputerowe Wykład 1: TCP/IP i adresowanie w sieci Internet prof. nzw dr hab. inż. Adam Kisiel kisiel@if.pw.edu.pl Pokój 114 lub 117d 1 Kilka ważnych dat 1966: Projekt ARPANET finansowany przez DOD

Bardziej szczegółowo

Projektowanie bezpieczeństwa sieci i serwerów

Projektowanie bezpieczeństwa sieci i serwerów Projektowanie bezpieczeństwa sieci i serwerów Konfiguracja zabezpieczeń stacji roboczej 1. Strefy bezpieczeństwa przeglądarki Internet Explorer. W programie Internet Explorer można skonfigurować ustawienia

Bardziej szczegółowo

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP FILTROWANIE IP mechanizm decydujący, które typy datagramów IP mają być odebrane, które odrzucone. Odrzucenie oznacza usunięcie, zignorowanie datagramów, tak jakby nie zostały w ogóle odebrane. funkcja

Bardziej szczegółowo

Bezpieczeństwo w M875

Bezpieczeństwo w M875 Bezpieczeństwo w M875 1. Reguły zapory sieciowej Funkcje bezpieczeństwa modułu M875 zawierają Stateful Firewall. Jest to metoda filtrowania i sprawdzania pakietów, która polega na analizie nagłówków pakietów

Bardziej szczegółowo

Sieci komputerowe. Wykład 3: Protokół IP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski. Sieci komputerowe (II UWr) Wykład 3 1 / 25

Sieci komputerowe. Wykład 3: Protokół IP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski. Sieci komputerowe (II UWr) Wykład 3 1 / 25 Sieci komputerowe Wykład 3: Protokół IP Marcin Bieńkowski Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe (II UWr) Wykład 3 1 / 25 W poprzednim odcinku Podstawy warstwy pierwszej (fizycznej)

Bardziej szczegółowo

PROTOKOŁY WARSTWY TRANSPORTOWEJ

PROTOKOŁY WARSTWY TRANSPORTOWEJ PROTOKOŁY WARSTWY TRANSPORTOWEJ Na bazie protokołu internetowego (IP) zbudowane są dwa protokoły warstwy transportowej: UDP (User Datagram Protocol) - protokół bezpołączeniowy, zawodny; TCP (Transmission

Bardziej szczegółowo

Plan wykładu. Warstwa sieci. Po co adresacja w warstwie sieci? Warstwa sieci

Plan wykładu. Warstwa sieci. Po co adresacja w warstwie sieci? Warstwa sieci Sieci komputerowe 1 Sieci komputerowe 2 Plan wykładu Warstwa sieci Miejsce w modelu OSI/ISO unkcje warstwy sieciowej Adresacja w warstwie sieciowej Protokół IP Protokół ARP Protokoły RARP, BOOTP, DHCP

Bardziej szczegółowo

Projekt LAN. Temat: Skaner bezpieczeństwa LAN w warstwie 2. Prowadzący: dr inż. Krzysztof Szczypiorski Studenci: Kończyński Marcin Szaga Paweł

Projekt LAN. Temat: Skaner bezpieczeństwa LAN w warstwie 2. Prowadzący: dr inż. Krzysztof Szczypiorski Studenci: Kończyński Marcin Szaga Paweł Projekt LAN Temat: Skaner bezpieczeństwa LAN w warstwie 2 Prowadzący: dr inż. Krzysztof Szczypiorski Studenci: Kończyński Marcin Szaga Paweł 1 Spis treści Strona tytułowa 1 Spis treści 2 Informacje ogólne

Bardziej szczegółowo

Robaki sieciowe. + systemy IDS/IPS

Robaki sieciowe. + systemy IDS/IPS Robaki sieciowe + systemy IDS/IPS Robak komputerowy (ang. computer worm) samoreplikujący się program komputerowy, podobny do wirusa komputerowego, ale w przeciwieństwie do niego nie potrzebujący nosiciela

Bardziej szczegółowo

Moduł Ethernetowy. instrukcja obsługi. Spis treści

Moduł Ethernetowy. instrukcja obsługi. Spis treści Moduł Ethernetowy instrukcja obsługi Spis treści 1. Podstawowe informacje...2 2. Konfiguracja modułu...4 3. Podłączenie do sieci RS-485 i LAN/WAN...9 4. Przywracanie ustawień fabrycznych...11 www.el-piast.com

Bardziej szczegółowo

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko TCP/IP Warstwa aplikacji mgr inż. Krzysztof Szałajko Modele odniesienia 7 Aplikacji 6 Prezentacji 5 Sesji 4 Transportowa 3 Sieciowa 2 Łącza danych 1 Fizyczna Aplikacji Transportowa Internetowa Dostępu

Bardziej szczegółowo

Aby lepiej zrozumieć działanie adresów przedstawmy uproszczony schemat pakietów IP podróżujących w sieci.

Aby lepiej zrozumieć działanie adresów przedstawmy uproszczony schemat pakietów IP podróżujących w sieci. Struktura komunikatów sieciowych Każdy pakiet posiada nagłówki kolejnych protokołów oraz dane w których mogą być zagnieżdżone nagłówki oraz dane protokołów wyższego poziomu. Każdy protokół ma inne zadanie

Bardziej szczegółowo

Skanowanie portów. Autorzy: Jakub Sorys, Dorota Szczpanik IVFDS

Skanowanie portów. Autorzy: Jakub Sorys, Dorota Szczpanik IVFDS Skanowanie portów Autorzy: Jakub Sorys, Dorota Szczpanik IVFDS 1 STRESZCZENIE W niniejszej pracy wyjaśniamy podstawowe pojęcia oraz techniki związane z zagadnieniem skanowania sieci, fingerprintingu i

Bardziej szczegółowo

Rys. 1. Wynik działania programu ping: n = 5, adres cyfrowy. Rys. 1a. Wynik działania programu ping: l = 64 Bajty, adres mnemoniczny

Rys. 1. Wynik działania programu ping: n = 5, adres cyfrowy. Rys. 1a. Wynik działania programu ping: l = 64 Bajty, adres mnemoniczny 41 Rodzaje testów i pomiarów aktywnych ZAGADNIENIA - Jak przeprowadzać pomiary aktywne w sieci? - Jak zmierzyć jakość usług sieciowych? - Kto ustanawia standardy dotyczące jakości usług sieciowych? - Jakie

Bardziej szczegółowo

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl) Wydział Elektroniki i Telekomunikacji POLITECHNIKA POZNAŃSKA fax: (+48 61) 665 25 72 ul. Piotrowo 3a, 60-965 Poznań tel: (+48 61) 665 22 93 LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl) Sieci

Bardziej szczegółowo

Warstwy i funkcje modelu ISO/OSI

Warstwy i funkcje modelu ISO/OSI Warstwy i funkcje modelu ISO/OSI Organizacja ISO opracowała Model Referencyjny Połączonych Systemów Otwartych (model OSI RM - Open System Interconection Reference Model) w celu ułatwienia realizacji otwartych

Bardziej szczegółowo

4. Podstawowa konfiguracja

4. Podstawowa konfiguracja 4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

Routing i protokoły routingu

Routing i protokoły routingu Routing i protokoły routingu Po co jest routing Proces przesyłania informacji z sieci źródłowej do docelowej poprzez urządzenie posiadające co najmniej dwa interfejsy sieciowe i stos IP. Routing przykład

Bardziej szczegółowo

156.17.4.13. Adres IP

156.17.4.13. Adres IP Adres IP 156.17.4.13. Adres komputera w sieci Internet. Każdy komputer przyłączony do sieci ma inny adres IP. Adres ten jest liczbą, która w postaci binarnej zajmuje 4 bajty, czyli 32 bity. W postaci dziesiętnej

Bardziej szczegółowo

Katedra Inżynierii Komputerowej Politechnika Częstochowska. Zastosowania protokołu ICMP Laboratorium podstaw sieci komputerowych

Katedra Inżynierii Komputerowej Politechnika Częstochowska. Zastosowania protokołu ICMP Laboratorium podstaw sieci komputerowych Katedra Inżynierii Komputerowej Politechnika Częstochowska Zastosowania protokołu ICMP Laboratorium podstaw sieci komputerowych Cel ćwiczenia Zastosowania protokołu ICMP Celem dwiczenia jest zapoznanie

Bardziej szczegółowo

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych? Zadanie 1. Rysunek przedstawia topologię A. magistrali. B. pierścienia. C. pełnej siatki. D. rozszerzonej gwiazdy. Zadanie 2. W architekturze sieci lokalnych typu klient serwer A. żaden z komputerów nie

Bardziej szczegółowo

MidpSSH - analiza bezpieczeństwa

MidpSSH - analiza bezpieczeństwa MidpSSH - analiza bezpieczeństwa Bartłomiej Bonarski Paweł Brach Gabriel Kłosiński Piotr Mikulski 18 marca 2009 Spis treści 1. Wstęp 3 2. Identyfikacja stron procesu 4 2.0.1 Użytkownicy posiadające domyślne

Bardziej szczegółowo

Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT 2007. Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk

Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT 2007. Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk Bezpieczeństwo usługi VoIP opartej na systemie Asterisk Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT 2007 Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk Bydgoszcz,

Bardziej szczegółowo

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak Protokół TCP/IP Protokół TCP/IP (Transmission Control Protokol/Internet Protokol) to zestaw trzech protokołów: IP (Internet Protokol), TCP (Transmission Control Protokol), UDP (Universal Datagram Protokol).

Bardziej szczegółowo

Internet Control Messaging Protocol

Internet Control Messaging Protocol Protokoły sieciowe ICMP Internet Control Messaging Protocol Protokół komunikacyjny sterowania siecią Internet. Działa na warstwie IP (bezpośrednio zaimplementowany w IP) Zastosowanie: Diagnozowanie problemów

Bardziej szczegółowo

MASKI SIECIOWE W IPv4

MASKI SIECIOWE W IPv4 MASKI SIECIOWE W IPv4 Maska podsieci wykorzystuje ten sam format i sposób reprezentacji jak adresy IP. Różnica polega na tym, że maska podsieci posiada bity ustawione na 1 dla części określającej adres

Bardziej szczegółowo

9. System wykrywania i blokowania włamań ASQ (IPS)

9. System wykrywania i blokowania włamań ASQ (IPS) 9. System wykrywania i blokowania włamań ASQ (IPS) System Intrusion Prevention w urządzeniach NETASQ wykorzystuje unikalną, stworzoną w laboratoriach firmy NETASQ technologię wykrywania i blokowania ataków

Bardziej szczegółowo

SIECI KOMPUTEROWE - BIOTECHNOLOGIA

SIECI KOMPUTEROWE - BIOTECHNOLOGIA SIECI KOMPUTEROWE - BIOTECHNOLOGIA ĆWICZENIE 1 WPROWADZENIE DO SIECI KOMPUTEROWYCH - PODSTAWOWE POJĘCIA SIECIOWE 1. KONFIGURACJA SIECI TCP/IP NA KOMPUTERZE PC CELE Identyfikacja narzędzi używanych do sprawdzania

Bardziej szczegółowo

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE Politechnika Gdańska Wydział Elektrotechniki i Automatyki Katedra Inżynierii Systemów Sterowania SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE Temat: Identyfikacja właściciela domeny. Identyfikacja tras

Bardziej szczegółowo

Architektura INTERNET

Architektura INTERNET Internet, /IP Architektura INTERNET OST INTERNET OST OST BRAMA (ang. gateway) RUTER (ang. router) - lokalna sieć komputerowa (ang. Local Area Network) Bramy (ang. gateway) wg ISO ruter (ang. router) separuje

Bardziej szczegółowo

Laboratorium 6.7.1: Ping i Traceroute

Laboratorium 6.7.1: Ping i Traceroute Laboratorium 6.7.1: Ping i Traceroute Topologia sieci Tabela adresacji Urządzenie Interfejs Adres IP Maska podsieci Domyślna brama R1-ISP R2-Central Serwer Eagle S0/0/0 10.10.10.6 255.255.255.252 Nie dotyczy

Bardziej szczegółowo

Wireshark analizator ruchu sieciowego

Wireshark analizator ruchu sieciowego Wireshark analizator ruchu sieciowego Informacje ogólne Wireshark jest graficznym analizatorem ruchu sieciowego (snifferem). Umożliwia przechwytywanie danych transmitowanych przez określone interfejsy

Bardziej szczegółowo

Rozkład menu narzędzi

Rozkład menu narzędzi Tylko administrator systemu ma dostęp do wszystkich opcji Narzędzi. Ustawienia urządzenia Ogólne Oszczędzanie energii Inteligentny Uruchamiany pracą Planowany Data i godzina Strefa czasowa (różnica dla

Bardziej szczegółowo

Programowanie sieciowe

Programowanie sieciowe Programowanie sieciowe Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2014/2015 Michał Cieśla pok. D-2-47, email: michal.ciesla@uj.edu.pl konsultacje: środy 10-12 http://users.uj.edu.pl/~ciesla/

Bardziej szczegółowo

1 Moduł Diagnostyki Sieci

1 Moduł Diagnostyki Sieci 1 Moduł Diagnostyki Sieci Moduł Diagnostyki Sieci daje użytkownikowi Systemu Vision możliwość badania dostępności w sieci Ethernet komputera lub innych urządzeń wykorzystujących do połączenia protokoły

Bardziej szczegółowo

Rok szkolny 2014/15 Sylwester Gieszczyk. Wymagania edukacyjne w technikum. SIECI KOMPUTEROWE kl. 2c

Rok szkolny 2014/15 Sylwester Gieszczyk. Wymagania edukacyjne w technikum. SIECI KOMPUTEROWE kl. 2c Wymagania edukacyjne w technikum SIECI KOMPUTEROWE kl. 2c Wiadomości Umiejętności Lp. Temat konieczne podstawowe rozszerzające dopełniające Zapamiętanie Rozumienie W sytuacjach typowych W sytuacjach problemowych

Bardziej szczegółowo

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej Marcin Kłopocki /170277/ Przemysła Michalczyk /170279/ Bartosz Połaniecki /170127/ Tomasz Skibiński /170128/ Styk

Bardziej szczegółowo

Protokoły zdalnego logowania Telnet i SSH

Protokoły zdalnego logowania Telnet i SSH Protokoły zdalnego logowania Telnet i SSH Krzysztof Maćkowiak Wprowadzenie Wykorzystując Internet mamy możliwość uzyskania dostępu do komputera w odległej sieci z wykorzystaniem swojego komputera, który

Bardziej szczegółowo

System Kancelaris. Zdalny dostęp do danych

System Kancelaris. Zdalny dostęp do danych Kancelaris krok po kroku System Kancelaris Zdalny dostęp do danych Data modyfikacji: 2008-07-10 Z czego składaj adają się systemy informatyczne? System Kancelaris składa się z dwóch części: danych oprogramowania,

Bardziej szczegółowo

Rozdział 6 - Z kim się kontaktować - 199 - Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o. 2012. Kopiowanie bez zezwolenia zabronione.

Rozdział 6 - Z kim się kontaktować - 199 - Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o. 2012. Kopiowanie bez zezwolenia zabronione. Rozdział 6 - Z kim się kontaktować - 199 - Spis treści - 200 - Rozdział 6 - Z kim się kontaktować Spis treści Rozdział 1: Podstawy bezpiecznego użytkowania komputera... - 3 - Dlaczego należy aktualizować

Bardziej szczegółowo

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) SYSTEM OPERACYJNY I JEGO OTOCZENIE System operacyjny/wersja, uaktualnienia, klucz produktu Stan

Bardziej szczegółowo

Warstwa transportowa. mgr inż. Krzysztof Szałajko

Warstwa transportowa. mgr inż. Krzysztof Szałajko Warstwa transportowa mgr inż. Krzysztof Szałajko Modele odniesienia 7 Aplikacji 6 Prezentacji 5 Sesji 4 Transportowa 3 Sieciowa 2 Łącza danych 1 Fizyczna Aplikacji Transportowa Internetowa Dostępu do sieci

Bardziej szczegółowo

Laboratorium podstaw telekomunikacji

Laboratorium podstaw telekomunikacji Laboratorium podstaw telekomunikacji Temat: Pomiar przepustowości łączy w sieciach komputerowych i podstawowe narzędzia sieciowe. Cel: Celem ćwiczenia jest przybliżenie studentom prostej metody pomiaru

Bardziej szczegółowo

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka Wybrane metody obrony przed atakami Denial of Service Synflood Przemysław Kukiełka agenda Wprowadzenie Podział ataków DoS Zasada działania ataku Synflood Podział metod obrony Omówienie wybranych metod

Bardziej szczegółowo

Model sieci OSI, protokoły sieciowe, adresy IP

Model sieci OSI, protokoły sieciowe, adresy IP Model sieci OSI, protokoły sieciowe, adresy IP Podstawę działania internetu stanowi zestaw protokołów komunikacyjnych TCP/IP. Wiele z używanych obecnie protokołów zostało opartych na czterowarstwowym modelu

Bardziej szczegółowo

Paweł Pokrywka. Radar w Ethernecie. Lokalizowanie hostów w sieci LAN

Paweł Pokrywka. Radar w Ethernecie. Lokalizowanie hostów w sieci LAN Paweł Pokrywka Radar w Ethernecie Lokalizowanie hostów w sieci LAN Traceroute w L3 Idea dekrementacja pole TTL nagłówka IP ICMP Time Exceeded, gdy TTL == lokalizowanie hosta/routera z dokładnością do routera

Bardziej szczegółowo

Przegląd zagrożeń związanych z DNS. Tomasz Bukowski, Paweł Krześniak CERT Polska

Przegląd zagrożeń związanych z DNS. Tomasz Bukowski, Paweł Krześniak CERT Polska Przegląd zagrożeń związanych z DNS Tomasz Bukowski, Paweł Krześniak CERT Polska Warszawa, styczeń 2011 Agenda Agenda Zagrożenia w Internecie Komunikacja w DNS Zagrożenia w DNS Metody i skutki ataków Zagrożenia

Bardziej szczegółowo

Sieci komputerowe. Protokoły warstwy transportowej. Wydział Inżynierii Metali i Informatyki Przemysłowej. dr inż. Andrzej Opaliński. www.agh.edu.

Sieci komputerowe. Protokoły warstwy transportowej. Wydział Inżynierii Metali i Informatyki Przemysłowej. dr inż. Andrzej Opaliński. www.agh.edu. Sieci komputerowe Protokoły warstwy transportowej Wydział Inżynierii Metali i Informatyki Przemysłowej dr inż. Andrzej Opaliński Plan wykładu Wprowadzenie opis warstwy transportowej Protokoły spoza stosu

Bardziej szczegółowo

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) W latach 1973-78 Agencja DARPA i Stanford University opracowały dwa wzajemnie uzupełniające się protokoły: połączeniowy TCP

Bardziej szczegółowo

ZAKŁAD SYSTEMÓW ROZPROSZONYCH. Politechnika Rzeszowska BEZPIECZEŃSTWO I OCHRONA INFORAMCJI

ZAKŁAD SYSTEMÓW ROZPROSZONYCH. Politechnika Rzeszowska BEZPIECZEŃSTWO I OCHRONA INFORAMCJI ZAKŁAD SYSTEMÓW ROZPROSZONYCH Politechnika Rzeszowska BEZPIECZEŃSTWO I OCHRONA INFORAMCJI Laboratorium 9: ARP spoofing 1. Wstęp teoretyczny ARP spoofing ARP spoofing jest bardzo efektywnym sposobem na

Bardziej szczegółowo

Instrukcja konfiguracji funkcji skanowania

Instrukcja konfiguracji funkcji skanowania Instrukcja konfiguracji funkcji skanowania WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_PL 2004. Wszystkie prawa zastrzeżone. Rozpowszechnianie bez zezwolenia przedstawionych materiałów i informacji

Bardziej szczegółowo

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger Wykaz zmian w programie SysLoger Pierwsza wersja programu 1.0.0.1 powstała we wrześniu 2011. Funkcjonalność pierwszej wersji programu: 1. Zapis logów do pliku tekstowego, 2. Powiadamianie e-mail tylko

Bardziej szczegółowo

Laboratorium nr 4 Ataki aktywne

Laboratorium nr 4 Ataki aktywne Laboratorium nr 4 Ataki aktywne I. Przepełnienie tablicy CAM przełącznika Tablica CAM (Content-addressable memory) przełącznika zawiera powiązanie adresów warstwy 2 (Ethernet) z portami fizycznymi przełącznika

Bardziej szczegółowo

Zadanie 6. Ile par przewodów jest przeznaczonych w standardzie 100Base-TX do transmisji danych w obu kierunkach?

Zadanie 6. Ile par przewodów jest przeznaczonych w standardzie 100Base-TX do transmisji danych w obu kierunkach? Zadanie 1. Na rysunku przedstawiono sieć o topologii A. siatki. B. drzewa. C. gwiazdy. D. magistrali. Zadanie 2. Jaką przepływność definiuje standard sieci Ethernet IEEE 802.3z? A. 1 Gb B. 10 Mb C. 100

Bardziej szczegółowo

Unicast jeden nadawca i jeden odbiorca Broadcast jeden nadawca przesyła do wszystkich Multicast jeden nadawca i wielu (podzbiór wszystkich) odbiorców

Unicast jeden nadawca i jeden odbiorca Broadcast jeden nadawca przesyła do wszystkich Multicast jeden nadawca i wielu (podzbiór wszystkich) odbiorców METODY WYMIANY INFORMACJI W SIECIACH PAKIETOWYCH Unicast jeden nadawca i jeden odbiorca Broadcast jeden nadawca przesyła do wszystkich Multicast jeden nadawca i wielu (podzbiór wszystkich) odbiorców TRANSMISJA

Bardziej szczegółowo

Projektowanie Bezpieczeństwa Sieci i Serwerów mgr inż. Adam Mencwal Katedra Informatyki Stosowanej

Projektowanie Bezpieczeństwa Sieci i Serwerów mgr inż. Adam Mencwal Katedra Informatyki Stosowanej Projektowanie Bezpieczeństwa Sieci i Serwerów mgr inż. Adam Mencwal Katedra Informatyki Stosowanej amencwal@kis.p.lodz.pl http://amencwal.kis.p.lodz.pl/ Bezpieczeństwo teleinformatyczne Bezpieczeństwo

Bardziej szczegółowo

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl Client-side Hacking - wprowadzenie w tematykę ataków na klienta Radosław Wal radoslaw.wal@clico.pl Plan wystąpienia Wprowadzenie Statystyki incydentów bezpieczeństwa Typowe zagrożenia Client-side Minimalne

Bardziej szczegółowo

Ping. ipconfig. getmac

Ping. ipconfig. getmac Ping Polecenie wysyła komunikaty ICMP Echo Request w celu weryfikacji poprawności konfiguracji protokołu TCP/IP oraz dostępności odległego hosta. Parametry polecenie pozwalają na szczegółowe określenie

Bardziej szczegółowo

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi)

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi) Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi) Pytanie 2 a) HTTPs, b) HTTP, c) POP3, d) SMTP. Co oznacza skrót WWW? a) Wielka Wyszukiwarka Wiadomości, b) WAN Word Works,

Bardziej szczegółowo

Sieci komputerowe laboratorium

Sieci komputerowe laboratorium Sieci komputerowe laboratorium Temat ćwiczenia: Konfiguracja zapory ogniowej. Cel ćwiczenia Celem ćwiczenia jest zapoznanie się z podstawowymi metodami ataków na system komputerowy, z metodami wykrywania

Bardziej szczegółowo

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY 4 sierpnia 2014 r. W dniach 1 do 4 sierpnia 2014 r. poddaliśmy analizie oprogramowanie

Bardziej szczegółowo

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Charakterystyka urządzeń sieciowych:

Bardziej szczegółowo

Ataki sieciowe Materiały pomocnicze do wykładu

Ataki sieciowe Materiały pomocnicze do wykładu Ataki sieciowe Materiały pomocnicze do wykładu Bezpieczeństwo systemów informatycznych Ataki Zbigniew Suski 1 Spoofing ARP Spoofing ARP 1 5 Bufor ARP (ARP Cache) A 2 3 B Bufor ARP (ARP Cache) 6 1. Sprawdzenie

Bardziej szczegółowo

PODSŁUCH W SIECIACH ETHERNET SSL PRZECIWDZIAŁANIE PODSŁUCHOWI

PODSŁUCH W SIECIACH ETHERNET SSL PRZECIWDZIAŁANIE PODSŁUCHOWI Bezpieczeństwo w systemach operacyjnych PODSŁUCH W SIECIACH ETHERNET SSL PRZECIWDZIAŁANIE PODSŁUCHOWI 2 Przyczyny Najpowszechniej używane protokoły sieciowe powstały gdy: w Internecie nie było tylu zagrożeń

Bardziej szczegółowo

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl) Wydział Elektroniki i Telekomunikacji POLITECHNIKA POZNAŃSKA fax: (+48 61) 665 25 72 ul. Piotrowo 3a, 60-965 Poznań tel: (+48 61) 665 22 93 LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl) Wireshark

Bardziej szczegółowo

Uniwersalny Konwerter Protokołów

Uniwersalny Konwerter Protokołów Uniwersalny Konwerter Protokołów Autor Robert Szolc Promotor dr inż. Tomasz Szczygieł Uniwersalny Konwerter Protokołów Szybki rozwój technologii jaki obserwujemy w ostatnich latach, spowodował że systemy

Bardziej szczegółowo

System operacyjny Linux

System operacyjny Linux Paweł Rajba pawel.rajba@continet.pl http://kursy24.eu/ Zawartość modułu 15 DHCP Rola usługi DHCP Proces generowania dzierżawy Proces odnawienia dzierżawy Konfiguracja Agent przekazywania DHCP - 1 - Rola

Bardziej szczegółowo

Sieci komputerowe. Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008. Michał Cieśla

Sieci komputerowe. Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008. Michał Cieśla Sieci komputerowe Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008 Michał Cieśla pok. 440a, email: ciesla@if.uj.edu.pl konsultacje: wtorki 10-12 http://users.uj.edu.pl/~ciesla/

Bardziej szczegółowo

UNIWERSYTET EKONOMICZNY WE WROCŁAWIU. Sprawozdanie. Analizator sieciowy WIRESHARK. Paweł Jarosz 2010-11-12 Grupa 20 IiE

UNIWERSYTET EKONOMICZNY WE WROCŁAWIU. Sprawozdanie. Analizator sieciowy WIRESHARK. Paweł Jarosz 2010-11-12 Grupa 20 IiE UNIWERSYTET EKONOMICZNY WE WROCŁAWIU Sprawozdanie Analizator sieciowy WIRESHARK Paweł Jarosz 2010-11-12 Grupa 20 IiE Sprawozdanie zawiera analizę pakietów sieciowych dla protokołów HTTP, HTTPS, TCP, ICMP,

Bardziej szczegółowo

Sieci komputerowe. Wykład 11: Podstawy bezpieczeństwa sieci. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Sieci komputerowe. Wykład 11: Podstawy bezpieczeństwa sieci. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe Wykład 11: Podstawy bezpieczeństwa sieci Marcin Bieńkowski Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe (II UWr) Wykład 11 1 / 35 Czyli krótki przeglad niektórych problemów

Bardziej szczegółowo

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI 1 Broadband Router 10/100 WPROWADZENIE A. Panel przedni 2 WSKAŹNIK LED Lp. Dioda Funkcja 1 Dioda zasilania Jeśli aktywna- zostało włączone zasilanie routera

Bardziej szczegółowo

Narzędzia do diagnozowania sieci w systemie Windows

Narzędzia do diagnozowania sieci w systemie Windows Narzędzia do diagnozowania sieci w systemie Windows Polecenie ping Polecenie wysyła komunikaty ICMP Echo Request w celu weryfikacji poprawności konfiguracji protokołu TCP/IP oraz dostępności odległego

Bardziej szczegółowo

Internetowy serwis Era mail Aplikacja sieci Web

Internetowy serwis Era mail Aplikacja sieci Web Internetowy serwis Era mail Aplikacja sieci Web (www.login.eramail.pl) INSTRUKCJA OBSŁUGI Spis treści Internetowy serwis Era mail dostępny przez komputer z podłączeniem do Internetu (aplikacja sieci Web)

Bardziej szczegółowo

Instrukcja aktywacji tokena w usłudze BPTP

Instrukcja aktywacji tokena w usłudze BPTP Instrukcja aktywacji tokena w usłudze BPTP Użytkownicy usługi BPTP, którzy otrzymali przesyłki pocztowe zawierające token USB wraz z listem informującym o potrzebie aktywacji urządzenia powinni wykonać

Bardziej szczegółowo

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE Politechnika Gdańska Wydział Elektrotechniki i Automatyki Katedra Inżynierii Systemów Sterowania SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE Temat: Podstawowe metody testowania wybranych mediów transmisyjnych

Bardziej szczegółowo

Ataki na serwery Domain Name System (DNS Cache Poisoning)

Ataki na serwery Domain Name System (DNS Cache Poisoning) Ataki na serwery Domain Name System (DNS Cache Poisoning) Jacek Gawrych semestr 9 Teleinformatyka i Zarządzanie w Telekomunikacji jgawrych@elka.pw.edu.pl Plan prezentacji Pytania Phishing -> Pharming Phishing

Bardziej szczegółowo

1PSI: TEST do wykonania (protokoły sieciowe jedna prawidłowa odp.): Tematy prac semestralnych G. Romotowski. Sieci Komputerowe:

1PSI: TEST do wykonania (protokoły sieciowe jedna prawidłowa odp.): Tematy prac semestralnych G. Romotowski. Sieci Komputerowe: 1PSI: Tematy prac semestralnych G. Romotowski Sieci Komputerowe: TEST do wykonania (protokoły sieciowe jedna prawidłowa odp.): 1. Protokołem komunikacyjnym nazywamy: A. polecenie wydawane z wiersza poleceń,

Bardziej szczegółowo