snmp protokolü, bir ağ saldırıları ve bir zahistu yöntemidir. SNMP güvenliği. Cisco'ya Ait DDoS SNMP Amplification Guard

Golovna / Zahist

ZMİST
GİRİŞ 3
1. SONRAKİ SALDIRI YÖNTEMLERİNİN SNMP PROTOKOLÜ ÜZERİNDEKİ SORUNLARININ TEORİK OLARAK TEMELLENMESİ
1.1 SNMP 5 SALDIRI YÖNTEMLERİ GEREKLİ
1.2 SNMP PROTOKOLÜ: AÇIKLAMA, AMAÇ 7
2. SNMP PROTOKOLÜ ÜZERİNE SALDIRILARIN ANALİZİ VE KORUNMA YÖNTEMİ
2.1 SNMP PROTOKOLÜ ÜZERİNE SALDIRI TEKNİKLERİ VE ÖNCEKİ 11 YÖNTEMLERİ
2.2 SNMP PROTOKOLÜ 15 ÜZERİNE SALDIRI YÖNTEMLERİ
VİSNOVOK 20
DZEREL ZAFERLERİ LİSTESİ 21

Bilgi için parça

bebek 3 -Ekran şekli Yardımcı Programlar SoftPerfectNetworkScannerPatchesZengin çerçeveleme ek binalarının berberleri, sistemde tutarsızlıklar olduğunda gerekli olan yamalar olarak adlandırılır. Bu şekilde, merezhі müştemilatlarında, SNMP'ye yönelik olarak, dozilno zv'yazati z virobniki tsikh müştemilatları, schob z'yasuvati, chi rozrobili gerekli yamaları kokuyor. Windows işletim sisteminde SNMP hizmetini etkinleştirmek için algoritmaya rehberlik edeceğiz: Başlat menüsü - Denetim Masası - Yönetim - Hizmetler'i seçin (bölüm küçük 4). SNMP hizmetini seçin. Hizmet başlatıldığında, “Yükle” düğmesine tıklayın ve ardından “Başlangıç Türü” - “Etkin” seçeneğini seçin. nalashtuvannі mіzhmerezhevih ekranіv i marshrutizatorіv sakinleri koku vikonuvali vhіdnu fіltratsіyu portіv UDP 161 i 162. Tse zapobіgti saldırıları, scho іnіtsіyuyutsya іz zovnіshnoї MEREZHI izin vb vrazlivі pristroї üzerinde vhodі ґruntuєtsya üzerinde vhodіFіltratsіya üzerinde vimknenomu SNMP.Fіltratsіya at navіt yerel hatlar. TCP ve UDP bağlantı noktaları 161, 162, 199, 391, 750 ve 1993 dahil olmak üzere SNMP ile ilişkili hizmetleri destekleyen diğer bağlantı noktaları da giriş filtrelemeyi içerebilir. , scho çitin dışına çıkmak için. Giden trafiği filtreleme UDP bağlantı noktaları 161 ve 162 hudutlarında, saldırı için bir sıçrama tahtası olarak sisteminizden yararlanabilirsiniz. merezhovoi saldırısı) bilgisayar sisteminde veya merezhu'da. IDS olmadan, ağ güvenliği altyapısı düşünülemez hale gelir. Güvenlik kuralları temelinde çalışan aracı ekranları tamamlayan IDS, şüpheli faaliyetleri izler ve korur. Koku, aracı ekrana giren kanunsuzları ortaya çıkarmanıza ve bunu yöneticiye söylemenize olanak tanır, bu da güvenliği sağlamak için gerekli çözümü alacaktır. Saldırı tespit yöntemleri, sistemin genel güvenliğini garanti etmez. IDS seçiminin bir sonucu olarak, aşağıdaki hedeflere ulaşılır: bir eskrim saldırısının veya izinsiz girişin tespiti; zayıf zabіgannya їх vikoristannya için sistemler. Zengin durumlarda, saldırgan hazırlık aşamasını görür, örneğin sistemin tutarsızlığını ortaya çıkarmak için sınırı araştırır (tarar) veya başka bir şekilde test eder; vіdomih tehditlerini belgeleyen zdіysnennya; güvenlik, zocrema, büyük ve katlanır kenar dikişleri açısından idari işler için haslık; otrimannya penetrasyon, ne yapıldığı, faktörün nasıl oluşturulacağı ve onarılacağı, penetrasyondan önce ne yapıldığı hakkında değerli bilgiler; saldırı bölgesinin genişlemesini dış sınırın genişleme noktasından (dış veya iç saldırılar) ortaya çıkarmak, bu da sınırın düğümlerini yerleştirirken doğru kararlar vermenizi sağlar. Kötü şöhretli IDS'nin intikamını almak için: Tedbirin güvenliğine gönderilebilecek denizaltı hakkında bilgi toplayan güvenlik sistemi veya korunan sistem; şüpheli saldırıları ortaya çıkardığı için bir analiz alt sistemi; zberіgaє ilk alt bölüm ve analiz sonuçları gibi bir koleksiyon; sonuçları durumları analiz etmek için alt sistem tarafından ortaya çıkarılan mi ve IDS. Popüler SNMP protokolünün basitliğinin, kendi yolunda çekişmeyi teşvik edebileceği açıktır. SNMP parçaları yaygın olarak kullanılmaktadır ve farklı ürünlerle çalışmak ölümcül sonuçlara yol açabilir. SNMP protokolünü etkin bir şekilde durdurmak için durdurmayı takip edin. Farklı yollar zabіgannya saldırır ve karmaşık bir savunma sistemi olur. VISNOVOK SNMP protokolü yardımıyla eskrim işbirliği organizasyonunun güç güvenliği araştırıldı. Robotik süreçte, adı geçen protokolün özelliği ortaya çıktı. olası problemler yoga vikoristannya. Sorunu netleştirmek için, düşman saldırılarının uygulanmasının yüksek verimliliğini doğrulayan istatistiksel verilere atıfta bulunuldu. Ayrıca teorik kısım, protokolün yapısı, içme / içme şeması ve içmeye başlama aşaması hakkındaki bilgileri dikkate almaktır. dönem ödevi Dos saldırılarını, arabellek taşması saldırılarını ve biçim dizesi tutarsızlıklarını görebileceğiniz SNMP protokolüne olası saldırıların analizi. Açıkçası, potansiyel olarak daha olası tehditler var, ancak aynı zamanda onlara daha derinden ve daha geniş bir şekilde bakmak. çatışmaları çözüme kavuşturmak için bir güvenlik politikası geliştirilerek ve tüm ilkelere ulaşılarak muzaffer yogo hakkında bir karar verilmiştir. Bu şekilde, girişte tayin edilen o töreni işaretlemenin menzili hakkında bir tutam yapmak mümkündür. Rusya Federasyonu 27 Nisan 2006 tarihli N 149-FZ Bilgi, bilgi teknolojileri ve bilgilerin korunması hakkında Özel ve bilimsel literatür listesi Blank-Edelman D. Perl sistem yönetimi için, M.: symbol-Plus, 2009.- 478s.Borodakiy V.Yu. MSS OGV / V.Yu temelinde korunan bilgi ve hesaplama kasvetinin oluşturulması için uygulama ve beklentiler. Borodakiy, A.Yu. Dobrodiev, P.A. Nashchokin // Egemen savunma, özel iletişim ve özel bilgi güvenliği teknolojik sistemlerinin geliştirilmesinin gerçek sorunları: VIII Tüm Rusya Uluslararası Bilimsel Konferansı: Malzemeler ve Dopovidі (Orel, 13–14 Şubat 2013). - Yaklaşık 10 yıl. Bölüm 4 / Genel baskı için. V.V. Mizerova. - Orel: Rusya FTS Akademisi, 2013. Grishina N. V. Bilginin korunması için entegre bir sistemin organizasyonu. - M.: Helios ARV, 2009. - 256 s., Douglas R. Mauro SNMP'nin Temelleri, 2. baskı / Douglas R. Mauro, Kevin J. Schmidt - M.: Symbol-Plus, 2012.-725p. M.V. Bilgisayar sistemleri. Uyanma alıştırması. Fakhivtsiv için, St. Petersburg: St. Petersburg, 2003.-462s. Mulyukha V.A. Bilgisayar bilgilerinin korunma yöntemleri ve yöntemleri. Mіzhmerezhev ekranuvannya: Navchalny posіbnik / Mulyukha V.A., Novopashenny A.G., Podgursky Yu.Є. - St. Petersburg: Vidavnitstvo SPbGPU, 2010. - 91 s. Olifer V.G., Olifer N.P. Bilgisayar ölçümleri. İlkeler, teknolojiler, protokoller. - 4-bunlar. - St. Petersburg: Peter, 2010. -902s. Yerel için anahtarlama ve yönlendirme teknolojileri bilgisayar ağları: baş yardım/ Smirnova. Katılmak; ed. AV Proleter. - M.: MDTU im. olumsuzluk. Bauman, 2013. - 389'lar. Flenov M. Hacker'ın gözünden Linux, St. Petersburg: BHV-St. Petersburg, 2005. - 544 s. Khoriev P.V. Bilgilerin korunmasını sağlama yöntemleri ve yöntemleri bilgisayar sistemleri. - M .: Eğitim merkezi "Akademi", 2005. -205 s. Khoroshko V.A., Chekatkov A.A. Internet-dzherela IDS / IPS - İzinsiz girişleri tespit etme ve önleme sistemleri [Elektronik kaynak] URL: http://netconfig.ru/server/ids-ips/ 2014 roci'de İnternet tehditlerinin analizi. DDoS saldırıları. Web sitesi hackleme. [Elektronik kaynak]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdfKolishchak A. Biçim satırının tutarsızlığı [Elektronik kaynak]. URL: https://securityvulns.ru/articles/fsbug.aspFirst Mile, No. 04, 2013 [Elektronik kaynak]. URL: http://www.lastmile.su/journal/article/3823 SNMP Standartları Ailesi [Elektronik kaynak]. URL: https://ua.wikibooks.org/wiki/SNMP_Standards_Land Literatür "CERT Advisory CA-2002-03: Basit Ağ Yönetim Protokolünün (SNMP) Bagato Uygulamalarında Çoklu Güvenlik Açıkları", 12 Şubat. 2002, (şu anki 11 Mart 2002)

DZEREL ZAFERLERİ LİSTESİ
Düzenleyici yasal işlemler
1. 27 Nisan 2006 tarihli Rusya Federasyonu Federal Kanunu N 149-FZ Bilgi, bilgi teknolojileri ve bilginin korunması hakkında
özel ve bilimsel literatür listesi
2. Sistem yönetimi için Blank-Edelman D. Perl, M: Plus sembolü, 2009. - 478p.
3. Borodakiy V.Yu. MSS OGV / V.Yu temelinde korunan bilgi ve hesaplama kasvetinin oluşturulması için uygulama ve beklentiler. Borodakiy, A.Yu. Dobrodiev, P.A. Nashchokin // Egemen savunma, özel iletişim ve özel bilgi güvenliği teknolojik sistemlerinin geliştirilmesinin gerçek sorunları: VIII Tüm Rusya Uluslararası Bilimsel Konferansı: Malzemeler ve Dopovidі (Orel, 13–14 Şubat 2013). - Yaklaşık 10 yıl. Bölüm 4 / Genel baskı için. V.V. Mizerova. - Kartal: Rusya FTS Akademisi, 2013.
4. Grishina N. V. Bilginin korunması için karmaşık bir sistemin organizasyonu. - E: Helios ARV, 2009. - 256 sn,
5. Douglas R. Mauro SNMP'nin Temelleri, 2. baskı / Douglas R. Mauro, Kevin J. Schmidt - M.: Symbol-Plus, 2012.-725p.
6. Külgin M.V. Bilgisayar sistemleri. Uyanma alıştırması. Fakhivtsiv için, St. Petersburg: Peter, 2003.-462p.
7. Mulyukha V.A. Bilgisayar bilgilerinin korunma yöntemleri ve yöntemleri. Mіzhmerezhevé ekranuvannya: Okul Müdürü / Mulyukha V.A., Novopashenny A.G., Podgursky Yu.Є. - St. Petersburg: Vidavnitstvo SPbGPU, 2010. - 91 s.
8. Olifer V.G., Olifer N.P. Bilgisayar ölçümleri. İlkeler, teknolojiler, protokoller. - 4-bunlar. - St. Petersburg: Peter, 2010. -902s.
9. Yerel bilgisayar ağlarında anahtarlama ve yönlendirme teknolojileri: bir rehber kitap / Smirnova. Katılmak; ed. AV Proleter. - M.: MDTU im. olumsuzluk. Bauman, 2013. - 389'lar.
10. Flen M. Linux ochima Hacker, St. Petersburg: BHV-St. Petersburg, 2005. - 544 s.
11. Khoreev P.V. Bilgisayar sistemlerinde bilgiyi korumaya yönelik yöntem ve teknikler. - M.: izleme merkezi "Akademi", 2005. -205 s.
12. Khoroshko V. A., Chekatkov A. A. Bilginin korunmasını sağlama yöntemleri ve yöntemleri, K.: Junior, 2003. - 504 s.
İnternet-dzherela
13. IDS / IPS - İzinsiz giriş önleme algılama sistemleri [Elektronik kaynak] URL: http://netconfig.ru/server/ids-ips/.
14. 2014 yılında İnternet tehditlerinin analizi. DDoS saldırıları. Web sitesi hackleme. [Elektronik kaynak]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf
15. Kolishchak A. Biçim satırının değişkenliği [Elektronik kaynak]. URL: https://securityvulns.ru/articles/fsbug.asp
16. First Mile, No. 04, 2013 [Elektronik kaynak]. URL: http://www.lastmile.su/journal/article/3823
17. SNMP standartları ailesi [Elektronik kaynak]. URL: https://ua.wikibooks.org/wiki /SNMP_Standards_Set
yabancı edebiyat
18. "CERT Advisory CA-2002-03: Basit Ağ Yönetim Protokolünün (SNMP) Bagato Uygulamalarında Çoklu Güvenlik Açıkları", 12 Şubat. 2002, (şu anki 11 Mart 2002)

Yer almak http:// www. en iyi. tr/

OSI'nin tethering modeline tethering saldırıları tekniğine ve karşı önlem yöntemlerine genel bir bakış

İNSTUP

Truva virüsü saldırıları

Bilgi olsun, üç ana güç vardır:

· Gizlilik.

· Değildir.

· Kullanılabilirlik.

Bu yetkililerin durumunu açıklayın.

Gizli bilgiler - tse vіdomostі, scho, Volodymyr, koristuvannі ve okremyh okremikh physіchnyh'de bulunacak ve yogo zihin durumunun ötesinde poshiryuyutsya'nın ötesinde poshiryuyutsya.

Bilginin bütünlüğü (verinin bütünlüğü), bilişim ve telekomünikasyon teorisinde bir terimdir, yani verilerin daha fazla olduğu anlamına gelir, verilerin üzerlerinde muzaffer operasyon sırasında değiştirilmediğini, bir aktarım olup olmadığını veya bir vergi.

Bilginin mevcudiyeti - bilginin durumu (otomatikleştirilmiş kaynaklar bilgi sistemi), herhangi bir konu için, erişim hakları varsa, bunları kesintisiz olarak uygulayabilirler. Erişim hakları: bilgileri okuma, değiştirme, kopyalama, azaltma hakkı ve kaynakları değiştirme, alıntı yapma, azaltma hakkı yaratma hakkı.

Іsnuyut zahistu'nun üç ana yolu, önem sırasına göre yakі raztashovanі:

· Örgütsel yöntemler ve bilgilerin korunması. Bilginin kurumsal olarak korunması, iş dünyasının gizli bilgilerinin korunmasına yönelik küresel sistemin "çekirdeği" olarak adlandırılan kurumsal bir koçanıdır. Çözümün ticari teşebbüse ve organizasyon başkanlarının ev sahiplerine yönelik bütünlüğü göz önüne alındığında, bilgilerin korunması için sistemin işleyişinin etkinliği iftira ediliyor. Yer sposobіv Zahist Informácie o rolü organіzatsіynogo Zahist Informácie zagalnіy sistemі zahodіv, spryamovanih içinde Zahist konfіdentsіynoї Informácie pіdpriєmstva, viznachayutsya vinyatkovoyu vazhlivіstyu kerіvnitstvom svoєchasnih o vіrnih upravlіnskih rіshen urahuvannyam nayavnih ait için kabul üzerine yogo rozporyadzhennі güçlerine zasobіv, metodіv olduğunu osnovі düzenleyici chinnogo üzerinde metodik aparat.

· Teknik yöntemler ve bilgilerin korunması. Qi yöntemleri, müştemilatlarda varlığa izin verir teknik yardımlar bilgilerin işlenmesi, özel teknik çözümler, hangi bilgilerin kontrolünü koruyacaktır. Ayrıca, bilgi koruma yöntemleri, böylece erişimin sınırlandırılmasını ve bilgilerin yetkisiz kullanımının dışlanmasını sağlayan algoritmaların ve programların karmaşıklığı.

giriş

Bu makale, protokolün işleyişinin temel ilkelerinin verildiği "" materyalinin mantıklı bir devamıdır. Metoyu tsієї roboti
є Üst koruma seviyesinin güvenliği için gerekli girişlerin netleştirilmesi
SNMP. Amel olanlar için okuyucudan şarkı söylemek istiyorum
ön malzemeden anlar tekrarlanır - için gereklidir
daha fazla etrafına bir göz at verilen yiyecek. Burada vahşi bir karakterin bilgileri
asgari sözleşmeye sunulacak; kısa malzeme kabulü için
raju ilk makaleyi okudu.

tehdit etmek

SNMP protokolü ile ilgili sorunlar, eğer mekanizma, ilk sürümle başladı.
zahist böyle hissetmedi. Şanslı bir an olsun, şifreleri tanımak kolaydır
ölçüyü dinlemek. Ale, belirli bir saat sonra, yakіy'de başka bir versiyon ortaya çıktı,
daha ciddi ise, saate kadar dpovіdno
işlev zahistu. Zokrema, yardım MD5 için hash, tarafından şifrelenmiş
DES ve in. (Div. pershu makalesi). Şu anda, SNMP'nin üçüncü sürümü, perakendeciler
güvenliğin güvenliğini sağlamanın ana görevi nedir. Ancak, hepsi değil
üçüncü versiyonun güvenliği ile çok sorunsuz.
SNMP için 6 tür tehdit vardır:

Bilgi ifşası: aracılar arasında veri alışverişi hakkında bilgi.
değer seçme yöntemine göre anahtar istasyonu
maskeli balo
Değişiklikler: hayali operasyonlar için desteğin güçlendirilmesi
Potoci güncellemesinde yapılan değişiklikler
Birleşen trafiğin analizi
Hizmette saldırılar.

Bakalım, ortaya çıktığı gibi, SNMP'nin dünyadaki en korunan üçüncü versiyonu
bu tür saldırılara karşı

SNMPv3'e saldırı

Maskeli balo - af kayboldu, sistem
paketleri incelemek
Değişiklik - protokol, MD5'in yardımı için bütünlük tarafından yeniden doğrulanır
Şifreleme tehdidi - yardım için kripto DES
Trafik analizi - protokol, daha önce olduğu gibi
URASIMO
Vidmova hizmette - URAZHENYA

Aynı zamanda, ortaya çıktığı gibi, belirli saldırı türleri için saldırının 3. versiyonunu oluşturmak. AT
zokrema, ucd-snmp yardımcı program kiti sürüm 5.0.1, 5.0.3, 5.0.4.pre2, ki
SNMP arka plan programı, değerleri yapılandırmak ve ayarlamak için yardımcı programları içerir
MIB, düşmana farklı şekillerde saldırmanın diğer özelliklerinin yanı sıra
hizmet. Razlivіst, Andrew Griffiths tarafından bulundu ve açıklandı
iDEFENSE tarafından 2 Temmuz 2002'de.
Böyle bir planın sorunlarının çözümü daha düzenli güncellemeler olabilir.
yazılım güvenliği.

En yaygın sorunlardan biri navit dosі є şifreleridir.
(topluluk dizeleri) kilit için. Ne söylemek istediğinde
kilitleme ayarları DEĞİŞTİRİLMELİDİR. Çözüm, bu tür dosyalar için kılavuz sayfalarının alınması olarak hizmet etmektir:
snmp.conf, snmp_config, snmpcmd
SNMP yapılandırması ve robot dosyaları. için navigasyon basit yılan göre değer
"genel" bir katlanır parolaya kilitleyin, saldırgan artık
ek önemsiz yardımcı program için sisteminiz hakkındaki bilgileri görüntüleyin
snmpwalk. Anonim merezhevykh ek binaları (anahtarlar, WAN / LAN yönlendiricileri, modemler ve ayrıca
eylemler İşletim sistemleri) kilitlemek için
SNMP'yi etkinleştirin ve rw access(!)'ten gezinin. Böyle bir dengesizliğin mirası
geçmek kolaydır. Eksen, uçlar, ekler için küçük bir listedir.
kilitleme şifreleri:

3com Anahtarı 3300 (3Com SuperStack II) - özel
- Cray MatchBox yönlendirici (MR-1110 MatchBox Yönlendirici/FR 2.01) - özel
- 3com RAS (HiPer Access Yönlendirici Kartı) - genel
- Prestij 128/128 Plus - halka açık
- COLTSOHO 2.00.21 - özel
- PRT BRI ISDN yönlendirici - genel
- CrossCom XL 2 - özel
- WaiLAN Akik 700/800
- HPJ3245A HP Anahtarı 800T - genel
- ES-2810 FORE ES-2810, Sürüm 2.20 - genel
- Windows NT Sürüm 4.0
- Windows 98 (95 değil) - genel
- Sun/SPARC Ultra 10 (Ultra-5_10) - özel

Bu arada 16 Temmuz'da bugtraq listesine bir yenisi daha eklendi.
AVAYA Cajun'a yetkisiz erişim hakkında bilgi. SNMP topluluğu
[e-posta korumalı]! erişime izin vermek. Ayrıca, teşvik edildiler ve belgelendirilmediler
form girişleri diag/danger ve manuf/xxyyzz. Bu tür sorunların çözümü, rw erişiminin çiti, erişim çiti olacaktır.
SNMP çağrılarını etkinleştirmekten uzantılara. Erişimin engellenmesi gerekiyor
Tüm üçüncü taraf bilgisayarlar için SNMP bağlantı noktası. Bitirmek kolay,
ipchains/iptables kurallarının yazımını hacklemeyi bitirin. Bana nalashtuvannya için neşe ver
ipchains'i bitirmek zordur, çünkü yerel ağın topolojisini bilmek gereklidir ve
Ev iş istasyonları için SNMP gerekli değildir.

Verilerle birlikte sağda olabilecek herhangi bir sistem yöneticisi için
protokolü, gerekli programları, robota SNMP ile soruyorlarmış gibi. AT
Cim bağlantısı MRTG ve SNMP::Monitor tarafından tahmin edilebilir. Paketin yazarının fikri üzerine
SNMP::Monitor, bu program MRTG ile çiftler halinde transfer edebilir (
kendiniz, benioku bölümünde okuyabilirsiniz). SNMP::Monitor ile yapılandırabilirsiniz.
packagestormsecurity.org adresinde arşivlendi. Eksen, її işlevleriyle daha az aktiftir:

Bir işlem sonrası süreci başlatma
arayüzler ve veri tabanına günlükleri tutmak
- nadannya grafik arayüz www aracılığıyla
- istatistikleri gösterme
- veri erişim kontrol sistemini etkinleştir
ki.

Verilen SNMP hizmetine mutlaka giriş yapılması gerekmektedir.
yetkisiz ana bilgisayarlar ve günlüklerin daha fazla analizi. Ne istiyorsun
merezhі'nızın tutarsızlığını bozarsanız, snmpsniff kötü bir program olacaktır,
perekhoplyuvach trafik. www.packetstormsecurity.org/sniffers/snmpsniff-1.0.tar.gz adresinden edinebilirsiniz.
Parolaların gücünü kontrol etmek için snmpbrute.c'yi bükebilirsiniz.
є İsveçli bir parola ayrıştırıcısı ile dosit.

Otzhe, bu robotta, becerileri denedikten sonra yemek yemek mümkün
güvenli SNMP robotu. Eğer kaçırdıysam, o zaman kefil olurum
ipucu. Yorumlar için, örneğin, yazmak zorunda kalıyoruz
prodovzhennya.

WINOVOK
Araştırma, ek SNMP protokolü için ağ birlikte çalışabilirliği organizasyonunun güç güvenliğine adanmıştır. Çalışma sürecinde, adı geçen protokolün özellikleri ve bu deneyin olası sorunları ortaya çıkarıldı. Sorunu netleştirmek için, düşman saldırılarının uygulanmasının yüksek verimliliğini doğrulayan istatistiksel verilere atıfta bulunuldu. Ayrıca teorik kısım protokolün yapısı, içme/içme şeması ve içmeyi bırakma aşaması hakkında bilgi aktarmaktır.
Kursun bir parçası olarak, Dos saldırıları, arabellek taşması saldırıları ve biçim satırı tutarsızlığının görülebildiği SNMP protokolüne olası saldırıların bir analizi yapıldı. Açıkçası, potansiyel olarak daha olası tehditler var, ancak aynı zamanda onlara daha derinden ve daha geniş bir şekilde bakmak. hayır.
Sistemi ağdaki aboneler arasında ağı savunmaya teşvik etmek için SNMP protokolüne yapılan saldırıları önlemenin yollarını aradık ve koshtiv kompleksini engellemenin etkili olacağı belirlendi.
Analiz sonucunda, SNMP protokolünün tartışmalı olabileceği ortaya çıkmış ve buna rağmen bir güvenlik politikasının geliştirilmesi ve tüm bu ilkelerin gerçekleştirilmesinin ardından bu değişiklikle ilgili bir karara varılmıştır.
Bu şekilde, girişte atanan işaretin ulaşması ve görevin tamamlanması hakkında visnovki yapabilirsiniz.

İNSTUP
Bilgi teknolojilerinin mevcut gelişme akışı, paradan tasarruf etmek, verileri işlemek ve yeniden oluşturmak için yeni yollar geliştiriyor. Geleneksel bilgi taşıyıcılarından ve şirketteki sunucuların ve özel kişilerin vizyonlarından adım adım küresel İnternet aracılığıyla uygulanan uzak teknolojilere geçiş. İnternet binasındaki hizmetler, görebileceğiniz, dinamik olarak gelişen mevcut işleyişin vazgeçilmez araçları haline gelir. e-posta; dosya değişimi, vikoristannya video eklemeleri ile verilerin sesli bildirimleri; güçlü Web kaynaklarının geliştirilmesi.
Zengin fahіvtsіv düşüncesinde, geniş zastosuvannya tehnologii İnternet vmagaє pobudovy eskrim müştemilatlarının etkin yönetimi sistemi, yapabilecek araçlardan biri SNMP protokolü haline gelir. Prote, eskrim unsurlarına saldırabilmek için tüm protokol boyunca eskrim müştemilatlarının yönetimi ve izlenmesi organizasyonu. Bu şekilde, teknolojinin internet hizmetlerinin hafif gelişimine yönelik tehdit tehdidini yenme gücü öne çıkıyor ve evrensel analizden daha ağır basıyor. Konu tam da bu konuyla alakalı.
Zengin yazarlara güç atayarak sistemi SNMP protokolüne yönelik saldırılara karşı korumaya teşvik edin, ancak güvenliğin karmaşıklığı yoluyla SNMP güvenliğinin nasıl sağlanacağı konusunda tek bir düşünce yoktur. Bu nedenle, Flenov M., "Hacker'ın Gözü Linux" adlı kitabında bu protokolün bazı eksikliklerini gördü ve önermiyor. Smirnova. C. “Yerel Bilgisayar Ağlarında Anahtarlama ve Yönlendirme Teknolojileri” ana kitabında, SNMP protokolü yardımıyla ağların verimli yönetimi ve veri aktarımı için çeşitli zengin adres şemaları ve ayrıca güç kaynağı hakkında yazdı. trafik sıkışıklığının güvenliği. Özel literatüre ve İnternete daha yakından bakıldığında, bu arayışın geçerliliği hakkında bir karar vermek için güvenli günlük kaydının gücünü SNMP protokolüne güncelleme ihtiyacını doğrulamaktadır. ne kararı olası saldırıların ve saldırı yöntemlerinin etkinliğinin bir analizi haline gelir.
Meta takibi - SNMP protokolüne olası saldırıların genel bir analizini ve bunları önlemenin yollarını yapmak.
Amaca ulaşmak için gerekli başarı düşük zavdandır:
1. SNMP protokolüne dayalı güvenli ağ işbirliği organizasyonu için Internet-Jerell hakkında bir literatür taraması yapın.
2. SNMP protokolüne saldırı yöntemlerini ve bunlara saldırma yöntemlerini ortadan kaldırma ihtiyacını belirleyin.
3. SNMP protokolünün yönetim özelliklerine bakın.
4. SNMP protokolü için tekniği analiz edin.
5. SNMP protokolüne saldırma yöntemlerini açıklayın.
Takip nesnesi – SNMP protokolü.
Araştırmanın konusu, SNMP protokolüne yapılan ağ saldırılarının yöntemleri ve bulaşma yollarıdır.
Takip yöntemleri: analiz, sentez, dzherel bilgisinin üretilmesi.
Ders çalışması bir giriş, iki bölüm ve bir visnovkiv'den oluşmaktadır. Sorunun teorik olarak hazırlanmasına yönelik ödevlerin ilk bölümü. Olası saldırıların intikam analizinin bir başka parçası ve bunları bulaştırmanın yolları

DZEREL ZAFERLERİ LİSTESİ
Düzenleyici yasal işlemler
1. 27 Nisan 2006 tarihli Rusya Federasyonu Federal Kanunu N 149-FZ Bilgi, bilgi teknolojileri ve bilginin korunması hakkında
özel ve bilimsel literatür listesi
2. Sistem yönetimi için Blank-Edelman D. Perl, M: Plus sembolü, 2009. - 478p.
3. Borodakiy V.Yu. MSS OGV / V.Yu temelinde korunan bilgi ve hesaplama kasvetinin oluşturulması için uygulama ve beklentiler. Borodakiy, A.Yu. Dobrodiev, P.A. Nashchokin // Devlet koruma, özel iletişim ve özel bilgi güvenliği teknolojik sistemlerinin geliştirilmesinin gerçek sorunları: VIII Tüm Rusya Uluslararası Bilimsel Konferansı: Malzemeler ve Dopovidі (Orel, 13-14 Şubat 2013). - yaklaşık 10 yıl. Bölüm 4 / Zag.ed için. V.V. Mizerova. - Kartal: Akadi Miya FST Rusya, 2013.
4. Grishina N. V. Bilginin korunması için karmaşık bir sistemin organizasyonu. - E: Helios ARV, 2009. - 256 sn,
5. Douglas R. Mauro SNMP'nin Temelleri, 2. baskı / Douglas R. Mauro, Kevin J. Schmidt - M.: Symbol-Plus, 2012.-725p.
6. Külgin M.V. Bilgisayar sistemleri. Uyanma alıştırması. Fakhivtsiv için, St. Petersburg: Peter, 2003.-462p.
7. Mulyukha V.A. Bilgisayar bilgilerinin korunma yöntemleri ve yöntemleri. Mіzhmerezhevé ekranuvannya: Okul Müdürü / Mulyukha V.A., Novopashenny A.G., Podgursky Yu.Є. - St. Petersburg: Vidavnitstvo SPbGPU, 2010. - 91 s.
8. Olifer V.G., Olifer N.P. Bilgisayar ölçümleri. İlkeler, teknolojiler, protokoller. - 4-bunlar. - St. Petersburg: Peter, 2010. -902s.
9. Yerel bilgisayar ağlarında anahtarlama ve yönlendirme teknolojileri: bir rehber kitap / Smirnova. Katılmak; ed. AV Proleter. - M.: MDTU im. olumsuzluk. Bauman, 2013. - 389s.
10. Flenov M. Linux Hacker, St. Petersburg: BHV-St. Petersburg, 2005. - 544 s.
11. Khoreev P.V. Bilgisayar sistemlerinde bilgiyi korumaya yönelik yöntem ve teknikler. - M: izleme merkezi "Akademi", 2005. -205 s.
12. Khoroshko V. A., Chekatkov A. A. Bilginin korunmasını sağlama yöntemleri ve yöntemleri, K.: Junior, 2003. - 504 s.
İnternet-dzherela
13. IDS / IPS - İzinsiz giriş önleme algılama sistemleri [Elektronik kaynak] URL: http://netconfig.ru/server/ids-ips/.
14. 2014 yılında İnternet tehditlerinin analizi. DDoS saldırıları. Web sitesi hackleme. [Elektronik kaynak]. URL: http://onsec.ru/resources/Internet%20threats%20in%202014.%20Overview%20by%20Qrator-Wallarm.pdf
15. Kolishchak A. Biçim satırının değişkenliği [Elektronik kaynak]. URL: https://securityvulns.ru/articles/fsbug.asp
16. First Mile, No. 04, 2013 [Elektronik kaynak]. URL: http://www.lastmile.su/journal/article/3823
17. SNMP standartları ailesi [Elektronik kaynak]. URL: https://ua.wikibooks.org/wiki /SNMP_Standards_Set
yabancı edebiyat
18. "CERT Advisory CA-2002-03: Basit Ağ Yönetim Protokolünün (SNMP) Bagato Uygulamalarında Çoklu Güvenlik Açıkları", 12 Şubat. 2002, (şu anki 11 2002 Mart

Zamanı gelince dergi editörleri ile birlikte 164-165 (lime-serpen 2016) sayısından "Sistem Yöneticisi" dergisinin sayısına kadar "DDoS'u Elle Savunmak. Bölüm 3. SNMP Amplification" makalemi yayınlıyorum.

Tüm dünya siber uzayının savunmasına katkınızı artırmak için DDoS , zovsіm obov'yazkovo yol obladnannya chi hizmeti satın almak değil. İster internetten erişilebilen bir sunucunun yöneticisi olun, ek maddi katkılar, vicorist olmadan böyle asil bir hakkın kaderini alabilir ve bunu sadece kısa bir süre için bilebilirsiniz.

Vikoristannya hizmetiyle "amplifikasyon" türündeki DDoS saldırılarına bir göz atalım SNMP.

SNMP amplifikasyon

Saldırının özü şu gerçeğinde yatmaktadır: SNMP- rica etmek Düzeltilecek paket sayısını en aza indirirken tablo veri alımının otomatikleştirilmesi için Razrobleni. TOPLU- içmeye başladı etkili araç tutulmuş DDoS kötülerin elinde saldırılar. Yak konuşma RFC3416, GetBulkRequest, SNMP Sürüm 2'deki Uygulamalar, İnternette saldırıya uğrayan, saldırıya uğrayan, yanlış yapılandırılmış sunuculardan çok sayıda veri talep etme yeteneği için randevular.

20000 tablolarında döndürülen maksimum satır sayısı ve yanlış ayarlanmış sunucu/ekin adresinde tam tersi nasıl ayarlanır:

:~$ snmpbulkget -c genel -v 2c -C r20000 192.168.10.129 1.3.6.1

şöyle bir şey gibi görünüyor:

iso.3.6.1.2.1.1.1.0 = STRING: "SNMP4J-Agent - Windows 2003 - x86 - 5.2"

< 290 satır atlandı>

iso.3.6.1.6.3.18.1.1.1.8.123.123.12.123.123.12.12.123.123.12.123.123.12 = Bu MIB Görünümünde başka değişken kalmadı (MIB'nin sonu geçmiş)

tcpdump'ı çalıştırırken döndürülmüş paketin boyutunu göster:

21:41:18.185058 IP 192.168.10.128.39565 > 192.168.10.129.snmp: GetBulk(25) N=0 M=20000 .iso.org.dod.internet

21:41:18.603553 IP 192.168.10.129.snmp > 192.168.10.128.39565:

İstek üzerine, isteğin boyutu yaklaşık 70 bayttır ve başlıklar sunucuda çözülür, giriş yaklaşık 10 kilobayttır, bu 150 kat daha büyük olabilir. Güç katsayısı sabit değildir ve işletim sisteminin türüne ve eklentinin konfigürasyonundaki parametrelere bağlı olarak daha fazla (1700 kata kadar) veya daha az alınabilir. Yakshcho, böyle bir isteği şekillendirmenin bir saatinde vikoristovuvat pіdmіnu IP- kaynağın adresi kurbanın adresine ve rastgele sunucuya indirmenin yüksek yoğunluğu DDoS saldırısı hazır.

Sebeb olmak

Sorunun özü, kural olarak, tuhaflıkta değil, bir GetBulkRequest'te görülebilen ayarlanmış değer sayısında değil, ama önemli olan SNMP topluluğu kilidin arkasına takılı: herkese açık salt okunur yoksa daha kötüsü neözel - okuma-yazma. SNMP protokolü için temellerin 1. ve 2. sürümleri UDP, bu yönetimi izlemek için vikoristovuetsya,ve vicorist değerinin çekirdekli sahipliğine erişim için bir kimlik doğrulama parametresi olarak topluluk, yak sadece okumak için koyabilir ancak ( Sadece oku ) veya yazma olasılığı ile ( okuma yazma ). Sistemlerde en yaygın olanı servis aktivasyon saatidir. SNMP kilidin değeri geri yüklendihalka açık salt okunur için özel okuma-yazma için. Saldırıları güçlendirmek için yanlış yapılandırılmış bir sunucuyu yansıtıcı olarak kullanma olasılığından nasıl soyutlanacağınızı öğrenin. SNMP, o zaman, bu sürümün yeni belleniminde yüklü olan sunucu hakkındaki bilgileri farklı bir değerle alma tehdidi açıktır.halka açık kilitlemek için Sadece oku. Yöneticinin haklarından eke pratik olarak sınırsız ayrıcalık erişimi verilir okuma-yazma topluluğu özel . Navitt değişmek zorunda kalmamak için yoğun bir şekilde protokole göre içilir. SNMP sunucunun kaynak sayısı, neler öğrenileceği, hizmetlerinin kalitesine neler eklenebileceği hakkında daha fazla bilgi edinebilirsiniz.

Zahist

için özel SNMP Sunucunun veya uçtaki güvenliğinin nasıl sağlanacağına ilişkin öneriler aşağıdaki yönergelere ayrılabilir:

1. Mimari: isteklerin yalnızca güvenilmeyen ağlardan erişilemeyen arabirimlerde işlenmesine izin verdi.

2. Topluluğu değiştir daha önemli.

3. IP değişimi anahtar istasyonların adresi.

4. BeslemeİD, para çekme / değiştirme için uygun SNMP.

5 . Chi vіdmova ve wikoros'un en aza indirilmesi topluluk okuma ve yazma için.

6. SNMP'ye geçiş wikilerin 3. versiyonu ek parametreler kimlik doğrulama ve şifreleme.

7. SNMP Kablolaması, yakscho değil vikoristovuєtsya.

Farklı işletim sistemlerinde qi diї nasıl vikonate edilir?

Hizmetin yapılandırma dosyasında snmp aşağıdaki parametreleri ayarlayın:

temsilciAdres udp:10.0.0.1:161#IP-adres, protokol kabul eden bağlantı noktasıdırSNMP

Yakscho Unix- sunucu esasen bir yönlendiricidir ve mimari olarak birkaç arayüze sahiptir, güvenlik için kaldırılması gerekir SNMP Artık arayüz yok, güvenilir bir segmentten teslimatlar, sadece İnternet'ten. ben topluluk parametre tarafından ayarlanan erişim için rocommunity (salt okunur) veya rwcommunity (okuma-yazma), ayrıca erişime izin verilen bir şifre de belirleyebilirsiniz.İD, robotlar için kullanılabilir topluluk. Örneğin, izleme sistemlerinin 10.0.0.0/24 altından arayüzle ilgili bilgilere erişmesine izin vermek için ( OSB 1.3.6.1.2.1.2 ), vicorist satır erişimi MaKe_It_SeCuRe Salt okunur haklarıyla, yapılandırma parçası şöyle görünür:

rocommunity MaKe_It_SeCuRe10.0.0.0/24 .1.3.6.1.2.1.2

Okremi'de vipadkah vikoristannya raznomanіtnyh Unix- visseral gösterge sistemleri, diğer parametrelerin varyasyon düzeni ve bileşenlerin hiyerarşi yapısı için bir dizi olası değişiklik sözdizimi yapılandırma dosyası. Komutu yazarak ayrıntılı bir açıklama bulunabilir.

adam snmpd.conf

Yine de görev, güvenlik hizmetinin mümkün olduğunca hızlı olmasını sağlamaktır. snmpd, yanlış cephede ne kadar ilmek oluşturabilirsiniz? yedek kopya snmpd.conf yeni yapılandırma dosyası topluluk. Debian'da şöyle görüneceksin:

#CD< dizinsnmpd.conf>

# mv snmpd.conf snmpd.conf.backup

# echo rocommunity MaKe_It_SeCuRe10.0.0.0/24 > snmpd.conf

# /etc/init.d/snmpd yeniden başlatma

tarafından erişimden sonra SNMP 10.0.0.0/24 yenisi yardımı ile sunucuya daha az olacaktır. topluluk, değiştirilmediği tüm sunucularda topluluk yenisinde, kötüler gibi içki içmeyi bırakın.

Victoria'ya geçmek güvenli olacak SNMPv3, kimlik doğrulama parametrelerini değiştirme yeteneğine sahiptir. Ek olarak, vіdmіnu vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd vіd versiyon 1 2c, SNMPv3 izleme sistemi ile kontrol sistemi arasındaki şifreli trafiğin güvenliğini sağlamanıza olanak tanır. Trafiği okuma, doğrulama ve şifreleme haklarına sahip bir koristuvach oluşturmak için yapılandırma dosyası snmpd.conf eklemek gereklidir:

createUser v3user SHA "some_AuThPaSs" AES some_privpass

authuser okuma v3user authpriv 1.3.6.1.2.1. 2

Vіdpovіdno, koristuvach v3user salt okunur haklarını iptal eder inceleme için SNMP için 1.3.6.1.2.1.2.

Hizmeti yeniden başlattıktan sonra yapılandırmanın doğruluğunu kontrol edebilirsiniz. SNMP 192.168.10.128 sunucusunda, istemcide çalıştırılan komutla:

$ snmpwalk -v 3 -A some_AuThPaSs -X some_privpass -a SHA -x AES -u v3user -l authPriv 192.168.10.128 1

Eğer öyleyse, tüm ağaca güvenenlerden bağımsız olarak, 1 sunucudan başlayarak sadece 1.3.6.1.2.1'e izin verilir. 2 , yapılandırmada ayarlanacağı gibi.

SNMPv3 hızında SNMP v1/v2c'ye bir göz atın Ayrıca, rahatsız etmemeleri için yapılandırma dosyasının parçalarını yapılandırma dosyasından silmek gerekir. SNMPv3.

SNMP'ye ne dersiniz? sunucu izleme içinKazanma, en önemli kararlar pakete verilecek snmpd.

Cisco IOS bir arayüz seçmek için günlük olasılık SNMP. Değişim, ek erişim listelerine bağlıdır ( erişim kontrol listesi, ACL). Diyelim ki 10.0.0.0/24 kullanımına izin verilecek. oluşturuldu EKL:

(config)#access-list 10 izin 10.0.0.0 0.0.0.255

hangi daha sonra vіdpovіdnogo için zastosovuetsya SNMP v1/v2c topluluğu, bu uygulamada salt okuma hakkı olan MaKe_It_SeCuRe vardır:

(config)#snmp-sunucu topluluğu MaKe_It_SeCuRe RO 10

SNMP OID'lere kadar değişim yardım için dur görüş

(yapılandırma)# snmp sunucu görünümü YÜZLER 1.3.6.1.2.1. 2 dahil

yapılanlardan sonra ekli topluluğu görüntüle:

(config)#snmp-server topluluğu MaKe_It_SeCuReview IFACES RO 10

Kazanmak için SNMPv3 gerekli takaslar ile(kimlik doğrulama ve şifreleme, sadece okuma, 10.0.0 alt boyutundan erişim. IFACES'i görüntüle) , bir grup oluşturmak gerekli(GÜVENLİ) sadece okuma erişimine sahip IFACES görünümünden OID şifreleme ile gerekli kimlik doğrulama, daha önce yapılanlarla bağlantı kurma erişim listesi 10 :

(yapılandırma)#snmp-sunucu grubu GÜVENLİ v3 özel okumaYÜZLERerişim 10

sonra gruba ekle fiziksel kayıt koristuvaça(v3kullanıcısı) ondan kimlik doğrulama ve şifreleme için şifreler ve ayrıca şifreleme algoritması isteyerek(bu vipadka AES128'de):

(yapılandırma)#snmp sunucu kullanıcısıv3kullanıcıGÜVENLİ v3 kimlik doğrulaması Strong_Password özel 128 Priv_Password

SNMP şifre kurtarma için hack yapabilirsiniz ve güvenlik seviyesi için kısayolların arkasındaki erişimdeki parametreleri ayarlamak, giriş için tahmin edilmesi kolay bir şifre ile eşleştirilebilir. SSH. Makaledeki önerileri açıkladık, ağımıza ve sunucularımıza yapılan saldırılara karşı sadece rastgele savunma yapmıyoruz, kaynaklarımızı başkalarına saldırmak için affedilmez bir şekilde kullanıyoruz ve ayrıca basındaki gösterişli manşetler için gönderi sayısını en aza indiriyoruz "Rus bilgisayar korsanları saldırdı ...".

Ayrıca sunucunuzu SNMP protokolüne yetkisiz erişimden korumak, SNMP amplifikasyon türündeki DDoS saldırılarının sayısını azaltmak ve altyapı segmentinizin bunlara katılımını minimuma indirmek mümkündür, bunu aşağıdakiler yardımıyla yapabilirsiniz. ek mali katkı gerektirmeyecek gelecek olanlar:

Mülkiyet yönetimi, işletmenin segmentine emanet edilenden daha azdır. Hizmeti ana arayüze bağlayan yardım veya yardım için değişim erişim listeleri.

Kilit başına SNMP değerini değiştirin (genel ve özel) vagkovgaduvani'de.

civciv değişimiİD, para çekme / değiştirme için uygun SNMP.

sadece Wikoristanya SNMPv Kimlik doğrulama ve şifrelemede zastosuvannyam ek parametrelerinin 3'ü.

Vimknennya servisi SNMP z vydalennyam kofiguratsі - povnu vіdmova vіd hakkında razі priynyattya prіshennya SNMP.

Ve böylece İnternet'ten erişilebilen sunucuların yöneticisinin cildini kırmak için dijital dünya mükemmele yaklaşacaktır.

Savunmacılara katkınızı artırmak için DDoS saldırıları yazın, zovsіm obov'yazkovo kupuvat yolu obladnannya chi servis değil. İster internetten erişilebilen bir sunucunun yöneticisi olun, bu kadar asil bir hakkın kaderini ek maddi katkılar olmadan, dolaylı olarak alabilir ve bunu yalnızca kısa bir süre için bilebilirsiniz.

SNMP Amplification DDoS saldırıları sırasında trafik bu şekilde görünür.

DDOS saldırısı SNMP Amplifikasyonu

Saldırının özü, schob'un SNMP talebi üzerine bagatorazovo zbіlshenu vіdpovіd olduğu gerçeğinde yatmaktadır. Yönetilebilecek paket sayısını en aza indirirken tablo halindeki verilerin kaldırılmasını otomatikleştirmek için BULK istekleri, saldırganların elinde DDoS saldırılarını gerçekleştirmek için etkili bir araç haline geldi. Yak konuşma RFC3416, GetBulkRequest, SNMP sürüm 2'deki uygulamalar, İnternet'teki sunucuların yanlış yapılandırılmasıyla saldırıya uğrayabilecek çok miktarda veri isteme yeteneği için atamalar.

20000 tablolarında döndürülen maksimum satır sayısı ve yanlış ayarlanmış sunucu/ekin adresinde tam tersi nasıl ayarlanır:

$ snmpbulkget -c genel -v 2c -C r20000 192.168.10.129 ↵ 1.3.6.1

$ snmpbulkget -c genel -v 2c -C r20000 192.168.10.129 ↵1.3.6.1

şöyle bir şey gibi görünüyor:

iso.3.6.1.2.1.1.1.0 = STRING: "SNMP4J-Agent Windows 2003 x86 5.2"<пропущено 290 строк>iso.3.6.1.6.3.18.1.1.1.8.123.123.12.123.123.12.12.123.123.12 .123.123.12 = Bu MIB Görünümünde başka değişken kalmadı (Bu,

iso. 3.6.1.2.1.1.1.0 = DİZEL : "SNMP4J Aracısı Windows 2003 x86 5.2"

< пропущено290 строк>iso. 3.6.1.6.3.18.1.1.1.8.123.123.12.123.123.12.12.123.123.12 . 123.123.12 =

Bu MIB Görünümünde başka değişken kalmadı (MIB ağacının sonunu geçti)

tcpdump'ı her çalıştırdığınızda, paket boyutunu gösterin:

21:41:18.185058 IP 192.168.10.128.39565 > 192.168.10.129. snmp: GetBulk(25) N=0 M=20000 .iso.org.dod.internet 21:41:18.603553 IP 192.168.10.129.snmp >

21:41:18.185058 IP 192.168.10.128.39565 > 192.168.10.129.

snmp: GetBulk(25) N=0 M=20000. iso. org. dod. internet

21:41:18.603553 IP 192.168.10.129.snmp>

192.168.10.128.39565 : [len1468< asnlen10102 ]

İstek üzerine, isteğin boyutu yaklaşık 70 bayttır ve başlıklar sunucuda çözülür, giriş yaklaşık 10 kilobayttır, bu 150 kat daha büyük olabilir. Güç katsayısı sabit değildir ve işletim sisteminin türüne ve eklentinin konfigürasyonundaki parametrelere bağlı olarak daha fazla (1700 kata kadar) veya daha az alınabilir. Mağdurun adresindeki yöneticinin IP adresini vikoristovuvaty için böyle bir talep oluşturmak için ne kadar zamana ihtiyaç duyulduğu ve çileden çıkaran sunucuya yapılan saldırının yüksek yoğunluğu, DDoS saldırısı hazır.

DDoS saldırılarının nedeni

Tutarsızlığın özü, kural olarak, bir kişi için görülen yerleşik anlam sayısında değildir. GetBulkRequest, ama önemli olan SNMP topluluğu kilidin arkasına takılı: herkese açık salt okunur yoksa daha kötüsü ne özel - okuma yazma.

Protokol SNMP sürüm 1 ve 2, UDP'yi temel alır, izleme ve kontrol için saldırıya uğradı ve saldırıya uğramış değerin önbelleğe alınmış mülkiyetine erişim için bir kimlik doğrulama parametresi olarak topluluk yalnızca okuma için ayarlanabilen ( Sadece oku) veya yazılabilir (r okuma yazma). Çoğu zaman, aktivasyon saati sistemlerinde SNMP hizmeti promosyon değerine ayarlanır - salt okunur için public ve okuma-yazma için özel.

Şimdi, SNMP saldırılarını güçlendirmek için yanlış yapılandırılmış bir sunucuyu yansıtıcı olarak kullanma olasılığını soyutlarsak, sunucu hakkındaki bilgileri kaldırma, yeni bir bellenim ve kilitleme için farklı bir ortak değere sahip diğer sürümleri yükleme tehdidi açıktır. Sadece oku.

Yöneticinin haklarından eke pratik olarak sınırsız ayrıcalık erişimi verilir özel okuma-yazma topluluğu. Bununla birlikte, sunucu kaynaklarının sayısını, ne öğreneceğinizi, hizmet kalitesi için ne kullanacağınızı, ne umduğunuzu etkileyebilecek SNMP protokolü için ağır değişiklikler, yoğun istekler olmayacaktır.

DDoS saldırılarına karşı savunma türü SNMP Amplification

Tartışma saldırıları için genel öneriler BCP38 ve RFC2827ön tarafta anlatılan.

Mimari: istekleri yalnızca güvenilmeyen ağlardan erişilemeyen arabirimlerde işlemeyi mümkün kıldı.
Suspіlstva'nın değişmesi daha önemli - tahmin.
Anahtar istasyonların IP adresini değiştirin.
SNMP'nin alınması/değiştirilmesi için mevcut OID anahtarının değişimi.
Chi vіdmova ve wikoros'un en aza indirilmesi topluluk okuma ve yazma için.
Kimlik doğrulama ve şifreleme için ek gelişmiş parametreler için SNMP sürüm 3'e geçiş.
SNMP azaltma, vikoristovuetsya olmadığı için.

Farklı sistemlerde vikonati qi diї nasıl yapılır?

Unix için DDoS SNMP Amplifikasyon koruması

SNMP hizmeti için yapılandırma dosyası yapılandırıldı saldırgan parametreler:

# IP adresleri, protokol ve istekleri kabul eden port SNMP agentAddress udp:10.0.0.1:161

Bir Unix sunucusu aslında bir yönlendirici olduğundan ve bazı arayüzlere sahip olabileceğinden, güvenlik için yalnızca SNMP aracılığıyla erişilebilen, güvenilir bir segmentten erişilebilen ve İnternet'ten erişilemeyen arayüzü devre dışı bırakmak gerekir. ben topluluk erişim için rocommunity parametresi ( Sadece oku) veya rwcommunity ( okuma yazma), ayrıca bir alt boyut, izin verilen erişim ve alt boyuta atanan robot için topluluk satır haklarına sahip bir OID kutusu ayarlayabilirsiniz.

Örneğin, dışarıdan izleme sistemlerine izin vermek için 10.0.0.0/24 arayüzle ilgili bilgilere erişim ( OSB 1.3.6.1.2.1.2), vicorist satır erişimi MaKe_It_SeCuRe Salt okunur haklarıyla, yapılandırma parçası şöyle görünür:

rocommunity MaKe_It_SeCuRe 10.0.0.0/24.1.3.6.1.2.1.2

snmpd servisinin güvenliğinin mümkün olduğunca güvenli olması için yanlış cephe işaretine kadar snmpd.conf yedeğini oluşturabilir, ortama göre yeni bir konfigürasyon dosyası ekleyebilirsiniz. izleme sistemleri ve toplumu değiştirmek. Debian şöyle görünecek:

#CD<директория с snmpd.conf># mv snmpd.conf snmpd.conf.backup # echo rocommunity MaKe_It_SeCuRe 10.0.0.0/24 > snmpd.conf # /etc/init.d/snmpd restart

#CD<директория с snmpd.conf>

# mv snmpd.conf snmpd.conf.backup

# echo rocommunity MaKe_It_SeCuRe 10.0.0.0/24 > snmpd.conf # /etc/init.d/snmpd restart

Sunucuya bir sonraki SNMP erişimi, bir sonraki için daha az olacaktır. 10.0.0.0/24 Ayrıca yeni topluluğun desteği için, topluluğun yenisiyle değiştirilmediği tüm sunucular, kötü niyetliler gibi istekleri kabul etmeyi bırakmalıdır.

Kimlik doğrulamada parametreleri değiştirmenize izin verdiği için bunun yerine SNMPv3'e geçmek güvenli olacaktır. Ek olarak, vіdmіnu vіd vіd vіd vіd vіd versiyon 1 ta üzerinde 2c SNMPv3 izleme sistemi ile test edilmekte olan sahiplik arasındaki trafiğin şifrelenmesini sağlamanıza olanak tanır.

Yapılandırma dosyasından gelen trafiği okuma, doğrulama ve şifreleme haklarına sahip bir koristuvach oluşturmak için snmpd.conf eklemek gereklidir:

createUser v3user SHA "some_AuThPaSs" AES some_privpass authuser okuma v3user authpriv 1.3.6.1.2.1.2

createUser v3user SHA "some_AuThPaSs" AES some_privpass

authuser okuma v3user authpriv 1.3.6.1.2.1.2

Vіdpovіdno, koristuvach v3kullanıcı hakları elinden almak Sadece oku inceleme için SNMP için 1.3.6.1.2.1.2.

İstemcide çalıştır komutuyla 192.168.10.128 sunucusunda SNMP hizmetini yeniden başlattıktan sonra yapılandırmanın doğruluğunu kontrol edebilirsiniz:

$ snmpwalk -v 3 -A some_AuThPaSs -X some_privpass -a SHA ↵ -x AES -u v3user -l authPriv 192.168.10.128 1

$ snmpwalk - v 3 - A some_AuThPaSs - X bazı_privpass - bir SHA ↵- x AES - u v3user - l authPriv 192.168.10.128 1

Eğer öyleyse, 1'den başlayarak tüm ağaca güvenenler ne olursa olsun, sunucuya artık izin verilmez. .3.6.1.2.1.2, yapılandırmada ayarlanacak.

Gördüğünde SNMPv1/v2c açgözlülük SNMPv3 Ayrıca, rahatsız etmemeleri için yapılandırma dosyasının parçalarını yapılandırma dosyasından silmek gerekir. SNMPv3.

Sunucu izleme için SNMP muzaffer olmasa da en iyi çözüm paketi silmek olacaktır. snmpd.

Cisco'ya Ait DDoS SNMP Amplification Guard

Cisco IOS, SNMP'yi etkinleştirebilecek bir arayüz seçme yeteneğine sahiptir. Değişim, ek erişim listelerine bağlıdır ( erişim kontrol listesi, ACL). İzin verilir, izin verilir 10.0.0.0/24 . EKL oluştur:

(config)#access-list 10 izin 10.0.0.0 0.0.0.255

Ek görünüm için SNMP OID soketleriyle değiştirin:

(config)#snmp-sunucu görünümü IFACES 1.3.6.1.2.1.2 dahil

Kazanmak için SNMPv3 gerekli değişimlerle (kimlik doğrulama ve şifreleme, daha az okuma, diğerinden erişim) 10.0.0.0/24 IFACES görünümünde belirtilen arabirim başlığına), bir grup oluşturmanız gerekir ( GÜVENLİ) yalnızca okuma erişimine sahip OSB h IFACES'i görüntüleşifreleme ile gerekli kimlik doğrulama, daha önce yapılanlarla bağlantı kurma erişim listesi 10:

(config)#snmp-server group SECURE v3 özel IFACES okuma ↵ erişim 10

SNMPv3 uygulamasının daha fazla ayarlamayla yeniden doğrulanması ekip tarafından gerçekleştirilir.