IP sårbarheter och hot

Det finns ännu fler typer av attacker än de som diskuterats i tidigare avsnitt. Vissa riktar sig specifikt mot IP-sårbarheter, vilket det kommer att tas upp i detta avsnitt.

IPv4 och IPv6

IP verifierar inte om avsändarens IP-adressen som finns i ett paket faktiskt är legitim. Av den anledningen kan hotaktörer skicka paket med en förfalskad source IP-adress. Hotaktörer kan också manipulera andra fält i IP-styrinformation för att genomföra sina attacker. Säkerhetsanalytiker måste förstå de olika delar i både IPv4- och IPv6-styrinformation (header).

IP-attacktekniker

ICMP attacker – Hotaktörer använder ICMP echo-paket (pings) för att upptäcka delnät och datorer på ett skyddat nätverk, för att generera DoS attacker och för att ändra datorns routing-tabeller.
Förstärknings- och reflektionsattacker – Hotaktörer försöker förhindra att legitima användare får tillgång till information eller tjänster genom att använda DoS- och DDoS-attacker.
Adress spoofing attacker – Hotaktörer förfalskar avsändarens-IP-adressen i ett IP-paket för att utföra blind spoofing eller icke-blind spoofing.
Man-in-the-middle attack (MITM) – Hotaktörer placerar sig mellan en avsändaren och destination för att transparent övervaka, fånga upp och kontrollera kommunikationen. De kan avlyssna genom att inspektera fångade paket, eller ändra paketen och vidarebefordra dem till deras ursprungliga destination.
Session kapning – Hotaktörer får tillgång till det fysiska nätverket och använder sedan en MITM-attack för att kapa en session.

ICMP attacker

Hotaktörer använder ICMP för rekognosering och skanningsattacker. De kan genomföra informationsinsamlingsattacker för att kartlägga en nätverkstopologi, upptäcka vilka nätverksenheter som är aktiva (åtkomliga), identifiera deras operativsystem (OS fingerprinting) och avgöra brandväggens status. Hotaktörer använder också ICMP för DoS attacker.

Notera: ICMP för IPv4 (ICMPv4) och ICMP för IPv6 (ICMPv6) är utsatta för liknande typer av attacker.

Nätverk bör ha strikt ICMP-åtkomstkontrollistfiltrering (ACL) vid nätverksgränsen för att undvika ICMP-sondering från internet. Säkerhetsanalytiker bör kunna upptäcka ICMP-relaterade attacker genom att kontrollera på fångad trafik och loggfiler. I stora nätverk kan säkerhetsdetektorer som brandväggar och intrångsdetektionssystem (IDS) upptäcka sådana attacker och generera larm till säkerhetsanalytikerna.

Vanliga ICMP-meddelanden av intresse för hotaktörer listas nedan:

ICMP echo request och echo reply – Detta används för att utföra värdverifiering och DoS-attacker.
ICMP unreachable – Detta används för att utföra nätverksrekognosering och skanningsattacker.
ICMP mask reply – Detta används för att kartlägga ett internt IP-nätverk.
ICMP redirects – Detta används för att locka en målvärd att skicka all trafik genom en komprometterad enhet och skapa en MITM-attack.
ICMP router discovery – Detta används för att injicera falska ruttinlägg i routingtabellen hos en målvärd.

Förstärknings- och Reflektionsattacker

Hotaktörer använder ofta förstärknings- och reflektionstekniker för att skapa DoS-attacker. Exemplet i figuren illustrerar hur en förstärknings- och reflektionsteknik som kallas för en Smurf-attack används för att överväldiga en mål-dator.

Notera: Nyare former av förstärknings- och reflektionsattacker såsom DNS-baserade reflektions- och förstärkningsattacker samt Network Time Protocol (NTP) förstärkningsattacker används nu.

Hotaktörer använder även attacker som utmattar resurser. Dessa attacker konsumerar resurserna hos en server för att antingen krascha den eller för att uttömma resurserna i ett nätverk.

Adress spoofing attacker

IP adressförfalskningsattacker inträffar när en hotaktör skapar paket med falsk source-IP-adressinformation för att antingen dölja sändarens identitet eller utge sig för att vara en annan legitimerad användare. Hotaktören kan då få tillgång till annars otillgängliga data eller kringgå säkerhetskonfigurationer. Förfalskning används vanligtvis i samband med en annan attack, såsom en Smurf-attack.

Spoofingattacker kan vara antingen icke-blinda eller blinda:

Non-blind spoofing – Hotaktören kan se trafiken som skickas mellan datorklienten och servern (offret). Hotaktören använder icke-blind spoofing för att inspektera svarspaketet från det tänkta offret. Icke-blind spoofing fastställer brandväggens tillstånd och förutsägelse av sekvensnummer. Det kan även fånga en auktoriserad session.
Blind spoofing – Hotaktören kan inte se trafiken som skickas mellan datorklienten och servern (offret). Blind spoofing används i DoS-attacker.

MAC-adressförfalskningsattacker används när hotaktörer har tillgång till det interna nätverket. Hotaktörer ändrar MAC-adressen på sin dator för att matcha en annan känd MAC-adress exempelvis hos en server, som visas i figuren. Den angripande datorn skickar sedan en ram genom nätverket med den ny-konfigurerade MAC-adressen. När switchen tar emot ramen undersöker den source-MAC-adressen.

Bilden visar att en server och en hotaktör är anslutna till samma switch. Servern har en MAC-adress AABBCC och är ansluten till port 1. Hotaktören är ansluten till port 2 och har en förfalskad MAC-adress AABBCC. En notis från hotaktören lyder: ”Jag har ändrat MAC-adressen på min dator för att matcha servern.” En diagram ovanför switchen indikerar att den har kartlagt AABBCC till port 1. Port 2 har ingen kartläggning.

Genom att efterlikna serverns MAC-adress lyckas hotaktören förvirra switchen, vilket leder till att switchen omprogrammerar sin CAM-tabell och felaktigt tillskriver MAC-adressen AABBCC till port 2. En anteckning under switchen bekräftar denna förändring: ”Enheten med MAC-adress AABBCC anses nu vara flyttad till port 2. Jag behöver därför justera min MAC-adresstabell.” En illustration ovanför switchen visar att MAC-adressen AABBCC nu är associerad med port 2, medan port 1 inte längre har någon tilldelning. Detta tillvägagångssätt gör det möjligt för hotaktören att omdirigera trafiken, som är avsedd för servern, till sig själv istället.