Техника и технология атак злоумышленников в распределенных информационных системах. Часть 2. Атакуем и продолжаем рекогносцировку. SQL injection

Техника и технология атак злоумышленников в распределенных информационных системах. Часть 2. Атакуем и продолжаем рекогносцировку. SQL injection

Данная работа не содержит каких-либо практических рекомендаций по «взлому» реальных информационных систем и является естественным продолжением первой части. Она может служить руководством по подготовке к возможным атакам на компьютерные системы и практическим пособием, содержащим сведения по технологии и технике проведения атак и возможным механизмам защиты от злоумышленников.

Жанр: Книги о компьютерах
Цикл: Не является частью цикла
Год публикации: Неизвестен

Читать онлайн Техника и технология атак злоумышленников в распределенных информационных системах. Часть 2. Атакуем и продолжаем рекогносцировку. SQL injection


© Иван Андреевич Трещев, 2023

© Наталья Андреевна Гулина, 2023


ISBN 978-5-0062-0059-3 (т. 2)

ISBN 978-5-0055-1062-4

Создано в интеллектуальной издательской системе Ridero

Введение

Мы живем в эпоху резкого увеличения числа угроз безопасности и преступлений в сфере информационных технологий. Ежедневно появляются все новые записи в банке данных угроз безопасности ФСТЭК России и CVE. Уязвимости в программном обеспечении, аппаратном обеспечении, социальная инженерия – все это механизмы доступные злоумышленникам при атаках на информационные системы. Специалист по защите информации должен быть в тренде современных подходов и методологий проведения атак и понимать возможные вектора с использованием которых хакеры или другие наавторизованные субъекты могут попытаться получить доступ к информации ограниченного распространения. В данной книге сделана попытка обобщить опыт проведения атак и сделать обзор технологий и методов их реализации.

Удаленные сетевые атаки

Введение

Удалённая сетевая атака – информационное разрушающее воздействие на распределённую вычислительную систему (ВС), осуществляемое программно по каналам связи.

Задачи:

– Познакомится с атаками, представленными в списке;

– Реализовать каждую атаку, используя OS Kali Linux и необходимое сетевое оборудование;

Таблица 1 – Виды атак



1 MAC-Spoofing

1.1 Описание


Суть данной атаки заключается в подмене MAC-адреса на сетевой карте компьютера, что позволяет ему перехватывать пакеты, адресованные другому устройству, находящемуся в том же широковещательном домене.

1.2 Реализация


Посмотрим атаку на практике. Использовать будем следующую топологию, построенную в GNS3:


Рисунок 1.1 – Сетевая топология для проведения атаки MAC-Spoofing


Посмотрим на таблицу MAC-адресов на коммутаторе (рисунок 1.2).


Рисунок 1.2 – Таблица MAC-адресов на коммутаторе ESW1


Пусть наш компьютер пытается получить доступ на сервис knastu.ru посредством ICMP-запросов (рисунок 1.3).


Рисунок 1.3 – Пинг knastu.ru


В это время злоумышленник подменивает на своем сетевом интерфейсе MAC-адрес на тот, которые совпадает с компьютером жертвы (рисунок 1.4)


Рисунок 1.4 – Смена MAC-адреса атакующего на MAC-адрес жертвы


Вновь взглянем на CAM-таблицу коммутатора (рисунок 1.5)


Рисунок 1.5 – Теперь MAC-адрес жертвы присвоен интерфейсу атакующего


В таблице MAC-адресов коммутатора запись с атакованным MAC-адресом соотнесена с интерфейсом, на котором в последний раз был идентифицирован кадр с данным source MAC-адресом. Как результат, до поступления кадра с атакуемого устройства, все данные коммутатор, в соответствии со своей таблицей MAC-адресов, будет пересылать на атакующее устройство.

Теперь, если злоумышленник начнет генерировать трафик, то некоторые пакеты, адресованные жертве, будут приходить на сетевой интерфейс атакующего. Посмотрим, как злоумышленник может перехватывать трафик, адресованный жертве (рисунок 1.6).


Рисунок 1.6 – Перехват трафика


Как можно заметь из рисунка 1.6 злоумышленник имеет адрес 192.168.1.101 на сетевом интерфейсе, однако на него все равно приходят пакеты, адресованные 192.168.1.100. Причем, если пакет попал на сетевой интерфейс злоумышленника, то жертва получает сообщение Request timed out.

Теперь вернем MAC-адрес на прежний (рисунок 1.7).


Рисунок 1.7 – Возвращаем обратно MAC-адрес


Как можно увидеть данная атака выполняется очень легко, посредством всего двух утилит.

1.3 Защита

Защитится от данной атаки можно так же просто, как и реализовать ее. Для этого на интерфейсе коммутатора достаточно включить port-security. К сожалению, из-за ограничений GNS3 (невозможность работы обычного коммутатора, а замена его на EtherSwitch) команда port-security не может быть продемонстрирована на практике (листинг 1.1).


Вам будет интересно
В ходе проектирования информационных систем возникает большое количество вопросов – от выбора метода и средств проектирования до обеспечения информационной безопасности в финальном продукте. Данная книга призвана помочь в выборе средств для проектирования и защиты в созданных системах...
Читать онлайн
Данная книга содержит теоретические и практические сведения по аттестации специалистов по защите информации в автоматизированных системах. Основной упор сделан на реализацию требований ФГОС ВО по специальности 10.05.03 «Информационная безопасность автоматизированных систем», специализация «Обеспечение информационной безопасности распределенных информационных систем»....
Читать онлайн
Данная книга содержит практические аспекты по анализу исходных текстов программ при отсутствии к ним доступа. Предполагается наличие знаний языка ассемблер и C++/C#, Python у читателя....
Читать онлайн
Данная книга содержит основные материалы курсов программирования для мобильных платформ, используемых на кафедрах «Математическое обеспечение и применение ЭВМ» и «Информационная безопасность автоматизированных систем» ФГБОУ ВО КнАГУ....
Читать онлайн
Книга содержит основные сведения в области безопасности вычислительных сетей. Приведены основные сведения по настройке Ideco ICS, Cisco ASA, ЦУС Континент....
Читать онлайн
В книге рассмотрены вопросы моделирования и обеспечения защиты информации при наличии программно-аппаратных уязвимостей. Проведен анализ зарубежных банков данных уязвимостей...
Читать онлайн
Кубиты и криптография: новый взгляд на защиту данных. Мною разработана уникальная формула и алгоритм позволяют шифрование и расшифровку сообщений с использованием кубитов. Простые числа и методы факторизации обеспечивают защиту от взлома. Алгоритм Евклида и обратный алгоритм преобразования данных обеспечивают получение исходного сообщения. Эта формула и алгоритм представляют надежную и безопасную систему шифрования для обмена конфиденциальными данными....
Читать онлайн
Книга представляет уникальную, разработанную мною кубитную формулу для безопасной квантовой криптосистемы. Она описывает основные принципы, идеи и преимущества кубитной формулы перед традиционными криптографическими алгоритмами. Книга также обсуждает генерацию ключей, шифрование и дешифрование сообщений, проверку правильности расшифровки и принципы работы криптографической системы на квантовых кубитах. Раскрывая потенциал кубитной формулы и применения в квантовой криптографии....
Читать онлайн
Книга представляет собой всестороннее исследование квантовой криптографии и криптографии на базе эллиптических кривых. Изучаем принципы и применение созданной мною формулы в квантовых криптосистемах, анализируем алгоритмы и протоколы, исследуем уровень безопасности и защиты данных. Книга обращает внимание на важность использования кубитов и точек на эллиптической кривой в криптографии, а также обсуждает преимущества и вызовы при применении данных технологий....
Читать онлайн
Формулы F – это исчерпывающее руководство, посвященное применению формулы F в криптографии. Представляю подробное исследование оператора Адамара, операции сложения по модулю 2 и XOR, а также их влияния на преобразование входных данных и параметров вращения. Книга освещает уникальность и применение формулы F в криптографии, сравнивая её с другими методами. Руководство по применению формулы обеспечивает практическую и простую готовность к использованию....
Читать онлайн
В этой книге вы узнаете о формуле QDC (Quantum Decoding Formula), которая играет ключевую роль в декодировании квантовых кодов. При помощи QDC вы сможете повысить точность и эффективность декодирования, так как она учитывает фазовые сдвиги, энергию сигнала и количество повернутых кубитов. В этой книге вы найдете обзор формулы, анализ влияния ее параметров и методы оптимизации декодирования. Получите глубокое понимание и примените QDC для успешного декодирования квантовых кодов....
Читать онлайн
Книга «QCD: Квантовое декодирование – формула эффективности» исследует значимость фомурлы QCD в повышении эффективности декодирования в квантовых вычислениях. Рассматривая операции вращения, дополнительные кубиты и уникальное сочетание операций декодирования, авторы раскрывают влияние каждого компонента на точность исправления ошибок. Книга представляет руководство для исследователей и профессионалов в области квантовых вычислений, стремящихся углубить свое понимание....
Читать онлайн
Исследуйте мир квантовых данных в этой захватывающей книге, посвященной формуле декодирования. Узнайте, как эта формула превращает искаженные квантовые состояния в полезную информацию. Рассмотрите ее применение для повышения точности и минимизации потерь. Исследуйте создание алгоритмов и преимущества формулы в развитии квантовых технологий. Для всех, кто интересуется квантовыми вычислениями и коммуникацией....
Читать онлайн
Это практическое руководство представляет собой сборник вопросов и ответов по JavaScript, охватывающих ключевые аспекты языка, важные для подготовки к техническим собеседованиям. От основ до актуальных тем, книга предоставляет обзор основных вопросов, позволяя вам обновить и проверить свои знания. Здесь вы найдете не просто ответы, а инструменты и стратегии для уверенного прохождения собеседований по JavaScript....
Читать онлайн
Николас Миллер и Алиса Меллоу живут в мире, где давно нет войны и безработицы. Так может показаться на первый взгляд. Мало кто знает, что корпорация «Идеал» ставит над людьми страшные эксперименты. Отслеживание снов и блокирование памяти – начало попыток достичь совершенства…Ник с детства знает тайну современного общества и рассказывает Алисе о настоящем устройстве страны. Вовлечение девушки в политические разногласия не осталось безнаказанным. Власти обвиняют Алису в совершении преступления. Вл...
Читать онлайн
Когда Демиург находится на грани самоубийства, существование созданного им мира повисает на волоске. Эта книга о Демиурге, борющемся за свою жизнь, о плоском мире, составленном из трёх параллельных пластин, о вампирах и эльфах в тех ипостасях, в которых вы их никогда прежде не видели, о заражённых разумными гельминтами людях и, наконец, о темноборце, пытающемся воскресить растерзанную колдуном невесту. Но вместе с тем это книга о современной культуре, свободе творчества, прогнивающем милитаризме...
Читать онлайн
Что может быть хуже, чем попасть в другой мир? Пожалуй, вернуться обратно, и обнаружить, что кто-то наглым образом жил твою жизнь. И ладно бы, если просто жил, а не активно менял мир под свой вкус. Мирра Кассима почти привыкла к этому странному миру, с автомобилями, и телефонной связью, как вдруг чудесным образом вернулась в свою реальность. Самое время жить и радоваться, но та, что занимала ее тело целый год, явно времени не теряла. Теперь девушка фаворитка будущего короля, участница заговора, ...
Читать онлайн
Кристоф много лет поклонялся богу грома, но защищая монастырь и своих братьев, был ранен. Придя в себя в больнице, он видит девушку — прекрасную как цветок и столь же порочную. Кристоф обидел ее, и теперь Мирабель мстит ему, заставляя нарушить обет безбрачия. Сможет ли святой отец выдержать пытки бесстыжей медсестры? P.s. Альтернативная история. Религия - вымышленная...
Читать онлайн