Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Προχωρημένα Θέματα Δικτύων

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "Προχωρημένα Θέματα Δικτύων"— Μεταγράφημα παρουσίασης:

1 Προχωρημένα Θέματα Δικτύων
Πρόγραμμα Μεταπτυχιακών Σπουδών Τμήμα Πληροφορικής ΑΠΘ Μάθημα 2 – Δικτυακοί ιοί

2 Ανίχνευση IP & MAC διευθύνσεων
Α. Ασφάλεια Δικτύων Ανίχνευση IP & MAC διευθύνσεων Πρόβλημα: Ένας υπολογιστής του ΑΠΘ εμφανίζει συμπτώματα δικτυακού ιού – Πρέπει να απομονωθεί! … σε ποια από τις πρίζες είναι;; Ξέρουμε την IP του - έστω Η IP είναι layer 3 διεύθυνση, άρα κάποια layer 3 συσκευή πρέπει να τον ξέρει Ο backbone router! (κεντρικός router) Κάνω telnet στον backbone router

3 Ανίχνευση IP & MAC διευθύνσεων
Α. Ασφάλεια Δικτύων Ανίχνευση IP & MAC διευθύνσεων Βασική δουλειά του δρομολογητή είναι να ξέρει όλα τα δίκτυα που βρίσκονται συνδεδεμένα πάνω του Ο δρομολογητής που πάνω του συνδέονται LANs είναι το παράθυρο των LANs προς τον έξω κόσμο· είναι ο gateway τους Όταν θα έρθει ένα πακέτο από το Internet για να το προωθήσει σε κάποιον host του LAN, ο δρομολογητής θα κάνει ARP request για να μάθει που θα το στείλει ΆΡΑ: Ο δρομολογητής παρόλο που είναι layer 3 συσκευή, ξέρει και τις MAC addresses (layer 2) των hosts των δικτύων που έχει πάνω του συνδεδεμένα! ΆΡΑ: Για να δούμε τι ξέρει για τον μολυσμένο που ψάχνουμε, τον : Ο δρομολογητής είναι Cisco, άρα δίνουμε: show arp για να μας δείξει το ARP table, δηλαδή τις αντιστοιχίες IP – MAC Θυμίζω: Ψάχνουμε που βρίσκεται ο μολυσμένος! (πρίζα δικτύου)

4 Ανίχνευση IP & MAC διευθύνσεων
Α. Ασφάλεια Δικτύων Ανίχνευση IP & MAC διευθύνσεων Ο δρομολογητής ξέρει τις MAC address που υπάρχουν στα τοπικά δίκτυα, και μπορεί να μας πει από ποιο interface του τις βλέπει Σε έναν Cisco αυτό γίνεται με την εντολή: show mac address-table Η MAC address που ψάχνουμε βγαίνει από το port GigabitEthernet 2/20 Δίνουμε show cdp neighbors που μας δείχνει τι υπάρχει συνδεδεμένο σε εκείνο το port Βλέπουμε ότι εκεί βρίσκεται το bld20-aggr, το κεντρικό switch του Βιολογικού. Αυτό (θυμόμαστε την εικόνα) συνδέει άλλα switches και όχι απευθείας χρήστες Άρα στο bld20-aggr πρέπει να συνεχίσουμε το ψάξιμο!

5 Ανίχνευση IP & MAC διευθύνσεων
Α. Ασφάλεια Δικτύων Ανίχνευση IP & MAC διευθύνσεων Πάλι με show mac address-table, μας λέει το κεντρικό switch από ποιο φυσικό interface ξέρει την MAC που ψάχνουμε· είναι το GigabitEthernet 0/3 Αυτό το interface συνδέει το switch bld20fl01-sw το οποίο είναι ο κόμβος της Πληροφορικής Άρα εκεί πρέπει να συνεχίσουμε το ψάξιμο για την MAC του μολυσμένου Το ψάξιμο συνεχίζεται στο bld20fl01-sw !

6 Ανίχνευση IP & MAC διευθύνσεων
Α. Ασφάλεια Δικτύων Ανίχνευση IP & MAC διευθύνσεων Kάνουμε telnet στο bld20fl01-sw και ψάχνουμε εκεί την MAC-address Tην βρίσκουμε στο Gigabit Ethernet 0/13 Βλέπουμε αν υπάρχουν άλλα switches πίσω από αυτό το port· δεν υπάρχουν! Άρα βρήκαμε που βρίσκεται η IP που ψάχναμε: Μπορούμε να κλείσουμε το port (shutdown) ή να το βάλουμε στο Quarantine VLAN για τους μολυσμένους!

7 Ανίχνευση IP & MAC διευθύνσεων
Α. Ασφάλεια Δικτύων Ανίχνευση IP & MAC διευθύνσεων To Quarantine VLAN είναι ένα δίκτυο στο οποίο συνδέεται ένας host ο οποίος απαντάει με την MAC του σε όποιο ARP request γίνει broadcast στο υποδίκτυο ρωτώντας για οποιαδήποτε IP Στη συνέχεια, κάνει rewrite όλα τα DNS και HTTP requests και τα HTTP requests ανακατευθύνει σε μια web page που φιλοξενεί ο ίδιος: Έτσι, ο χρήστης του μολυσμένου ενημερώνεται ότι πρέπει να καθαρίσει τον υπολογιστή του με antivirus...

8 Α. Ασφάλεια Δικτύων Δικτυακοί Ιοί Ο δικτυακός ιός:
είναι ένα πρόγραμμα το οποίο μεταδίδεται από υπολογιστή σε υπολογιστή μέσω δικτύου αρχικός στόχος του: η όσο το δυνατόν εκτενέστερη εξάπλωσή του για την εξάπλωση του χρησιμοποιεί είτε κενά ασφαλείας σε ευρέως χρησιμοποιούμενα λειτουργικά (Windows), ή/και social engineering (μέσω ) απώτεροι στόχοι: συμμετοχή σε botnets μολυσμένων οι οποίοι στέλνουν spam έναντι αμοιβής ή οργανώνουν DoS attacks έναντι αμοιβής κατά τη διάρκεια σκαναρίσματος ενός μολυσμένου υπολογιστή για άλλους υπολογιστές υποψήφια θύματα, παράγεται υπερβολικά μεγάλος αριθμός συνδέσεων που γονατίζουν το δίκτυο Εαν δεν σταματήσει η μόλυνση εγκαίρως, φεύγει εκτός ελέγχου - ο ρυθμός μόλυνσης είναι γεωμετρικός!

9 Α. Ασφάλεια Δικτύων Δικτυακοί Ιοί
Ο δικτυακός ιός δεν προκαλεί πολλή κίνηση! Γιατί τα δίκτυα καταρρέουν; Η απάντηση είναι στην έννοια του flow και στην σχεδίαση των μοντέρνων routers Flow: Μια ακολουθία πακέτων που κατευθύνεται από ένα port ενός υπολογιστή με μια IP προς κάποιο port ενός άλλου υπολογιστή με μια άλλη IP. Ουσιαστικά δηλαδή flow είναι η τετραπλέτα (IP1, port1, IP2, port2) O δρομολογητής χρησιμοποιεί την CPU του για να βρεί προς τα που πρέπει να δρομολογήσει το ΠΡΩΤΟ πακέτο ενός flow – όλα τα υπόλοιπα φεύγουν προς την ίδια κατεύθυνση και αυτό γίνεται στο hardware, χωρίς χρήση CPU. O ιός, σκανάροντας για να βρεί υπολογιστές να μολύνει, δημιουργεί διαφορετικά flows: (IP μολυσμένου, port μολυσμένου, IP υποψήφιου θύματος, port υποψήφιου θύματος) – σε κάθε ένα από αυτά τα flows αλλάζει η IP του υποψήφιου θύματος! Έτσι ο δρομολογητής χρησιμοποιεί CPU για ΚΑΘΕ ΕΝΑ από τα flows που δημιουργεί ο ιός και καταρρέει (δεν μπορεί να ανταποκριθεί στο φόρτο)

10 Α. Ασφάλεια Δικτύων Δικτυακοί Ιοί
Παράδειγμα flows μολυσμένου υπολογιστή: Ο στέλνει ΤCP SYN πακέτα προς διάφορους υπολογιστές στο ίδιο τοπικό δίκτυο προς το destination port 3389 Στο 3389 port ακούει η υπηρεσία Remote Desktop Connection των Windows Πως γίνεται η μετάδοση του ιού: Όταν κατά το σκανάρισμα πετύχει υπολογιστή που τρέχει την εν λόγω ευάλωτη υπηρεσία, θα λάβει TCP ACK Tότε, αφού ολοκληρωθεί το TCP handshake, θα στείλει τον κώδικα που εκμεταλλεύεται το κενό ασφαλείας της υπηρεσίας και θα μολύνει τον υπολογιστή Ο κύκλος ξεκινάει από την αρχή...

11 Ανίχνευση Δικτυακών Ιών
Α. Ασφάλεια Δικτύων Ανίχνευση Δικτυακών Ιών Δυο βασικοί τρόποι: DPI (Deep Packet Inspection) Flow patterns DPI: το δικτυακό ανάλογο ενός antivirus – έλεγχος του payload κάθε πακέτου για επικίνδυνο κώδικα – έλεγχος για γνωστό κώδικα ιών Flow patterns: Έλεγχος στον δρομολογητή για τα flows που υποδεικνύουν προσπάθεια μόλυνσης υπολογιστών – Ποια legitimate χρήση του δικτύου θα έστελνε σε δεκάδες χιλιάδες υπολογιστές TCP Syn πακέτα προς ένα well known port (πχ 3389); Επίδειξη ελέγχου flows στον δρομολογητή!

12 Διαγωνισμός Το Quiz θα το βρείτε εδώ: Το password θα ανακοινωθεί στη λίστα, 1/11 στις 23:00. Απαντήσεις στο μου - ΌΧΙ στη λίστα) με αναφορά πλήρους και αιτιολογημένης περιγραφής της προσέγγισης που ακολουθήθηκε. Διορία: Δεν υπάρχει Έπαθλο: Αύξηση του τελικού βαθμού στο μάθημα κατά 0.7n-1 για τον n-οστό που θα απαντήσει (όποιος στέλνει απάντηση να περιμένει επιβεβαίωσή μου)


Κατέβασμα ppt "Προχωρημένα Θέματα Δικτύων"

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google