Neler Yeni

IPS Kaçırma Teknikleri

Katılım
22 Nis 2020
Mesajlar
86
Tepkime puanı
23
Puanları
150
Ağ IPS Kaçırma Teknikleri


Saldırıları analiz etmek için birkaç yöntem vardır, ancak anti-kaçak önlemleri daha iyi analiz etmek ve seçmek için saldırganların kullandığı çeşitli kaçınma tekniklerini anlamak önemlidir. Ağ saldırganları, ağ IPS sensörleri tarafından sağlanan izinsiz giriş algılama, önleme ve trafik filtreleme işlevlerini atlamak için ağ IPS kaçakçılık tekniklerini sıklıkla kullanır. Bazı yaygın olarak kullanılan ağ IPS kaçakçılık teknikleri aşağıda sıralanmıştır:
Şifreleme ve Tünelleme
Zamanlama Saldırıları
Kaynak Tüketimi
Trafik Fragmantasyonu
Protokol düzeyinde yanlış yorumlama
Trafik Değiştirme ve Ekleme


Şifreleme ve Tünelleme

Saldırganlar tarafından kullanılan yaygın bir kaçırma yöntemi, paketlerin şifrelenmesi veya güvenli bir tünele yerleştirilmesi ile tespit edilmekten kaçınmaktır. Şimdi birkaç kez tartışıldığı gibi, IPS sensörleri ağı izler ve paketleri ağ üzerinden geçerken yakalar, ancak ağ tabanlı sensörler düz metin içinde aktarılan verilere güvenir. Paketler ne zaman şifrelenirse, sensör verileri yakalar ancak şifresini çözemez ve anlamlı bir analiz gerçekleştiremez. Bu, saldırganın hedef ağ veya ana bilgisayar ile güvenli bir oturum oluşturduğunu varsayar. Bu şifreleme ve tünelleme metodu için kullanılabilecek bazı örnekler:

SSH sunucusuna Güvenli Kabuk (SSH) bağlantısı
İstemci-LAN IPSec (IP Güvenlik) VPN (sanal özel ağ) tüneli
Siteden siteye IPSec VPN tüneli
Güvenli bir web sitesine SSL (Güvenli Yuva Katmanı) bağlantısı
Sensörün çoğu zaman bir kaçırma saldırısında kullandığı bu saldırganların analiz edemediği ve paketini açamadığı başka tür kapsülleme türleri vardır. Örneğin GRE (Genel Rota Kapsülleme) tünelleri genellikle şifreleme ile veya şifreleme olmadan kullanılır.

Zamanlama Saldırıları

Saldırganlar eylemlerini normalden daha yavaş gerçekleştirerek, imzaların farklı paketleri birlikte ilişkilendirmek için kullandıkları zaman pencereleri içerisindeki eşikleri aşmamaktan kaçınabilirler. Bu kaçırma saldırıları, sabit bir zaman penceresi ve birleşik bir olaya birden fazla paketi sınıflandırmak için bir eşik kullanan herhangi bir bağıntılı motora karşı monte edilebilir. Bu tür bir saldırıya örnek olarak, birkaç dakikalık aralıklarla paketler gönderen çok yavaş bir keşif saldırısı yapılacaktır. Bu senaryoda, saldırganın büyük olasılıkla taramayı muhtemelen kabul edilemeyecek kadar uzun yaparak algılamasından kurtulacaktır.

Kaynak Tüketimi

Saldırganlar tarafından kullanılan yaygın bir kaçırma yöntemi aşırı kaynak tüketimidir, ancak bu incelikli yöntem, cihaza ya da cihazı yöneten personele karşı böyle bir inkarın bulunup bulunmadığının bir önemi yoktur. İhtisas araçları, IPS cihazının kaynaklarını tüketen ve saldırıların günlüğe kaydedilmesini engelleyen çok sayıda alarm oluşturmak için kullanılabilir. Bu saldırılar, yönetim sistemleri veya sunucu, veritabanı sunucusu veya bant dışı (OOB) ağı olarak bilinenleri alt edebilir. Bu tabiatın saldırıları, sadece tetiklenen çok sayıda yanlış alarmı araştırmak için gerekli zamana veya beceriye sahip olmayan idari personele zarar verirse başarılı olabilir.

İzinsiz giriş tespiti ve önleme sistemleri, paketlerin kablodan yakalanması ve hızlı bir şekilde analiz edilmesine dayanır, ancak bu sensörün yeterli bellek kapasitesine ve işlemci hızına sahip olmasını gerektirir. Saldırgan, ağın gürültüye maruz kalması ve sensörün gereksiz paketleri yakalamasına yol açarak saldırıların tespit edilmemesine neden olabilir. Saldırı tespit edilirse, sensör kaynakları tükenebilir ancak tükenmekte olan kaynaklar nedeniyle zamanında yanıt verilemez.


Trafik Fragmantasyonu

Trafiğin parçalanması, ağ IPS sensörünü atlamak için kullanılan erken ağ IPS kaçakçılık tekniklerinden biriydi. Saldırganın, tespit veya filtrelemeden kaçınmak için kötü amaçlı trafiği böldüğü herhangi bir kaçırma girişimi, aşağıdakilere göre parçalanma temelli bir kaçırma olarak değerlendirilir:

Herhangi bir yeniden montaj gerçekleştirmezse ağ IPS sensörünü atlayarak.
Ağ IPS sensörü yeniden birleştirme işleminde doğru şekilde sipariş etmezse bölünmüş verileri yeniden sıralama.
Ağ IPS sensörünün, ayrık veriyi doğru bir şekilde yeniden birleştiremeyen ve onunla ilişkili kötü amaçlı yükün eksik olmasına neden olabilecek yeniden birleştirme yöntemlerini karıştırmak.
Bazı klasik parçalanma temelli kaçak örnekleri aşağıdadır:
Seçici ACK’ler ve seçici yeniden iletim gibi olası köşe durumları dahil olmak üzere, sensörün tüm TCP oturumunu doğru şekilde yeniden birleştirmesi gereken TCP bölümlendirme ve yeniden sıralama.
Ağ IPS yeniden birleştirme gerçekleştirmezse, saldırganın tüm trafiği parçaladığı IP fragmantasyonu. Çoğu sensör yeniden birleştirme yapar, böylece saldırgan IP trafiğini benzersiz bir şekilde yorumlanmadığı şekilde parçalar. Bu işlem, sensörün hedefi farklı bir şekilde yorumlamasına ve böylece hedefin ele geçirilmesine neden olur.
Aynı sınıf parçalanma saldırılarında, üst üste binen parçaları içeren bir saldırı sınıfı vardır. Örtüşen parçalarda, IP başlığındaki ofset değerleri olması gerektiği gibi uyuşmaz, dolayısıyla bir parça bir diğeriyle çakışır. IPS sensörü, hedef sistemin bu paketleri nasıl yeniden birleştireceğini bilemeyebilir ve genellikle farklı işletim sistemleri bu durumu farklı şekilde ele alır.

Protokol düzeyinde yanlış yorumlama

Saldırganlar ayrıca ağ IPS sensörünün ağ protokollerinin uçtan uca anlamlarını yanlış yorumlamasına neden olarak tespitten kaçınırlar. Bu senaryoda, trafik, saldırgan tarafından algılayıcının ya göz ardı edilmemesi gereken trafiği ya da tersini göstermesine neden olan hedeften farklı olarak görülür. İki yaygın örnek, kötü TCP kontrol toplamına ve IP TTL (Time-to-live) saldırılarına sahip paketlerdir.

Kötü bir TCP sağlama toplamı aşağıdaki şekilde ortaya çıkabilir: Saldırı, belirli paketlerin TCP sağlama toplamını kasıtlı olarak bozar ve böylece, sağlama toplamını doğrulamayan ağ IPS sensörünün durumunu karıştırır. Saldırgan aynı zamanda kötü sağlama toplamı ile iyi bir yük gönderebilir. Sensör işleyebilir, ancak çoğu ana bilgisayar çalışmayacaktır. Saldırgan iyi bir kontrol toplamı ile kötü bir yük ile takip eder. Ağ IPS sensöründen bu bir kopya gibi görünüyor ve bunu görmezden gelecektir, ancak son ana bilgisayar artık kötü amaçlı yükü işleyecektir.

Paketlerdeki IP TTL alanı, ağ IPS sensöründe bir sorun yaratır çünkü sestörden IP oturum akışının son noktasına kadar atlama sayısını bilmek için kolay bir yol yoktur. Saldırganlar, IPS ince bir ağ üzerinden geçecek çok kısa bir TTL’ye sahip olan bir paket göndererek, ancak bir TTL sıfır olan TTL’den dolayı hedef ile ana bilgisayar arasında bir yönlendirici tarafından bırakılarak bir keşif yönteminden faydalanabilirler. Saldırgan daha sonra uzun bir TTL’ye sahip kötü amaçlı bir paket göndererek bunu izleyebilir, bu da onu son ana bilgisayara veya hedefe yönlendirecektir. Paket, saldırgandan bir yeniden iletim veya çoğaltma paketi gibi görünüyor, ancak ana bilgisayara veya hedefe, gerçekte ulaşan ilk paket bu. Sonuç, güvenilen bir ana bilgisayardır ve ağ IPS sensörü, saldırıyı göz ardı etmiş veya kaçırmıştır.


Trafik Değiştirme ve Ekleme

Kaçınma saldırılarının başka bir sınıfı trafik değiştirme ve sokmayı içerir. Trafik yerine koyma, saldırganın diğer verilerle başka bir formatta, ancak aynı anlamdaki veri yükünü değiştirmeye çalıştığı zamandır. Bir ağ IPS sensörü, belirli bir biçimde veri arar ve verilerin gerçek anlamını tanımıyorsa, bu tür kötü amaçlı yükleri kaçırabilir. Bazı ikame saldırıları örnekleri aşağıdadır:

Alanların sekmelerle değiştirilmesi ve tersi, örneğin HTTP istekleri dahilinde.
HTTP istekleri içindeki ASCII dizeleri ve karakterleri yerine Unicode kullanma.
Belirli bir kötü amaçlı kabuk kodunun (hedef sistemi yürütmek için zorlayan yürütülebilir istismar kodu), aynı anlama ve sonuçta ana bilgisayar veya hedefe göre tamamen farklı bir kabuk kodu ile ikame edilebileceği istismar mutasyonu.
Ağ IPS sensörü büyük / küçük harfe duyarlı bir imzayla yapılandırılmışsa, büyük / küçük harf duyarlılığı ve kötü amaçlı bir yükteki karakterlerin değişmesi durumlarından yararlanın.

Ekleme saldırıları, saldırganın yük yükünü saldırı yüküne dönüştürmeyen ek bilgiler eklenmesiyle aynı şekilde davranır. Bir örnek, boşlukların veya sekmelerin, bu dizileri yok sayan protokollere yerleştirilmesi olabilir.

Unicode, dünya dillerinin tekdüzen bilgisayar gösterimini kolaylaştırmak için her dilde her karakter için benzersiz bir tanımlayıcı sağlar. Unicode Konsorsiyumu Unicode’u yönetir ve bilgi teknolojisi sektörünün liderleri tarafından benimsenmiştir. Java, LDAP (Basit Dizin Erişimi Protokolü) ve XML dahil olmak üzere modern standartlar Unicode gerektirir. Birçok işletim sistemi ve uygulama Unicode’u destekler. ’Kod noktaları’ olarak da bilinen Unicode, x + xxxx ile temsil edilebilir; burada x, onaltılık bir rakamdır.

UTF-8, bir Unicode kod noktasını "Unicode 3.0.1 için Corrigendum to Unicode Unicode" da tanımlandığı şekilde bir ila dört baytlık bir dizi olarak serileştiren Unicode Dönüştürme Biçimidir. UTF-8, Unicode noktalarını kodlamak için bir yol sağlar ve hala Internet’teki metnin genel temsili olan ASCII ile uyumludur.

Unicode belirtimi kod noktalarının farklı bir şekilde ele alınmasını gerektirse de, uygulama veya işletim sisteminin aynı yorumu farklı kod noktalarına atayabildiği zamanlar vardır.
 

Konuyu görüntüleyen kullanıcılar

Üst