JAVIER ECHAIZ. Clase 19. Prof. Javier Echaiz D.C.I.C. U.N.S.

Transcripción

1 Clase 19 Prof. Javier Echaiz D.C.I.C. U.N.S.

2 Introducción El mensaje ICMP route redirect es generalmente enviado por el default router al sistema para indicar que existe una ruta más corta para un destino particular. Un hacker puede falsificar un mensaje ICMP redirect para lograr un efecto similar al provocado por el problema de ARP cache poisoning. 2

3 Semántica IP Los datagramas pueden Perderse Demorarse Duplicarse Ser enviados fuera de orden Corromperse 3

4 Internet Control Message Protocol (ICMP) El ICMP (RFC 792) fue diseñado para hacer frente a las deficiencias del protocolo IP el protocolo IP no tiene mecanismos de reporte y corrección de errores. Por ejemplo descartar un datagrama debido a que no se encuentra el router o el campo time-to-live tiene un valor 0. Al protocolo IP también le falta un mecanismo de manejo de queries. Por ejemplo se necesita información de otro host o de un router. 4

5 Otros Protocolos Otros protocolos que ayudan al protocolo IP en cuanto a controles y funciones de ruteo (además del ICMP): Multicast signaling (IGMP) Setting up routing tables (RIP, OSPF, BGP, PIM, ) Etc. 5

6 Posición del ICMP en capa Network 6

7 Mensaje ICMP El ICMP forma un protocolo de capa de red por sí mismo. Sin embargo sus mensajes no se pasan directamente a la capa link, primero son encapsulados en datagramas IP (doble encapsulado). 7

8 Formato general de un mensaje ICMP Type Code Additional information or 0x Checksum Type (8 bit): type of ICMP message Code (8 bit): further specify condition (Subtype) Checksum (16 bit): calculate over entire ICMP message. Similar to IP header checksum Contents: e.g., if error, part of the original IP datagram (IP header + 8 bytes of data) Cada mensaje ICMP tiene al menos 8 bytes de longitud. Si no hay info adicional se agregan 4 bytes seteados a cero. 8

9 Header ICMP struct icmphdr { u_int8_t type; /* message type */ u_int8_t code; /* type sub-code */ u_int16_t checksum; union { struct { u_int16_t id; u_int16_t sequence; } echo; /* echo datagram */ u_int32_t gateway; /* gateway address */ struct { u_int16_t unused; u_int16_t mtu; } frag; /* path mtu discovery */ } un; }; 9

10 Mensajes ICMP (1) #define ICMP_ECHOREPLY 0 /* Echo Reply */ #define ICMP_DEST_UNREACH 3 /* Destination Unreachable */ #define ICMP_SOURCE_QUENCH 4 /* Source Quench */ #define ICMP_REDIRECT 5 /* Redirect (change route) */ #define ICMP_ECHO 8 /* Echo Request */ #define ICMP_TIME_EXCEEDED 11 /* Time Exceeded */ #define ICMP_PARAMETERPROB 12 /* Parameter Problem */ #define ICMP_TIMESTAMP 13 /* Timestamp Request */ #define ICMP_TIMESTAMPREPLY 14 /* Timestamp Reply */ #define ICMP_INFO_REQUEST 15 /* Information Request */ #define ICMP_INFO_REPLY 16 /* Information Reply */ #define ICMP_ADDRESS 17 /* Address Mask Request */ #define ICMP_ADDRESSREPLY 18 /* Address Mask Reply */ #define NR_ICMP_TYPES 18 10

11 Mensajes ICMP (2) 3: Destination unreachable 4: Source quench 11: time exceeded 12: Parameter Problem 5: Redirection 8,0: Echo request or reply 13,14: Timestamp request and reply 17,18: Address mask request and reply 10,9: Route solicitation and advertisement 11

12 Códigos para Unreachable /* Codes for UNREACH. */ #define ICMP_NET_UNREACH 0 /* Network Unreachable */ #define ICMP_HOST_UNREACH 1 /* Host Unreachable */ #define ICMP_PROT_UNREACH 2 /* Protocol Unreachable */ #define ICMP_PORT_UNREACH 3 /* Port Unreachable */ #define ICMP_FRAG_NEEDED 4 /* Fragmentation Needed/DF set*/ #define ICMP_SR_FAILED 5 /* Source Route failed */ #define ICMP_NET_UNKNOWN 6 #define ICMP_HOST_UNKNOWN 7 #define ICMP_HOST_ISOLATED 8 #define ICMP_NET_ANO 9 #define ICMP_HOST_ANO 10 #define ICMP_NET_UNR_TOS 11 #define ICMP_HOST_UNR_TOS 12 #define ICMP_PKT_FILTERED 13 /* Packet filtered */ #define ICMP_PREC_VIOLATION 14 /* Precedence violation */ #define ICMP_PREC_CUTOFF 15 /* Precedence cut off */ #define NR_ICMP_UNREACH 15 /* instead of hardcoding immediate value */ 12

13 Códigos para Redirect y Time_Exceded /* Codes for REDIRECT. */ #define ICMP_REDIR_NET 0 /* Redirect Net */ #define ICMP_REDIR_HOST 1 /* Redirect Host */ #define ICMP_REDIR_NETTOS 2 /* Redirect Net for TOS */ #define ICMP_REDIR_HOSTTOS 3 /* Redirect Host for TOS */ /* Codes for TIME_EXCEEDED. */ #define ICMP_EXC_TTL 0 /* TTL count exceeded */ #define ICMP_EXC_FRAGTIME 1 /* Fragment Reass time exceeded */ 13

14 ICMP Query Message ICMP query: Request enviado por un host hacia otro host/router Reply enviada al host que hizo el pedido 14

15 Ping: Echo Request and Reply Packet InterNet Groper (PING) Herramienta de Diag.: e.g. testea si se puede llegar a un host. El cliente de ping envia msgs. ICMP echo request al host. Espera un msgs. echo reply del server ping. Se mide el round trip time (RTT). 15

16 Ej. de Query: ICMP Timestamp Un sistema (host o router) solicita la hora actual a otro sistema. El tiempo se mide en milisegundos después de medianoche UTC (Universal Coordinated Time) del día actual. El emisor envía el pedido y el receptor responde. 16

17 Redirección (1) Cuando un router o un host necesita enviar un paquete destinado a otra red, debe conocer la dirección IP apropiada del router próximo. Cada router y cada host debe tener una tabla de ruteo. Por cuestiones de eficiencia usualmente los hosts no toman parte en el proceso de actualización del ruteo. Ruteo estático. 17

18 Redirección (2) Habitualmente la tabla de ruteo de un host tiene un número limitado de entradas. Conoce el IP de un único router, el default router. El host puede enviar un datagrama (a otra red) a un router equivocado. El router que recibe estos datagramas hará un forward del datagrama hacia el router correcto. una actualización de la tabla de ruteo del host enviándole un mensaje de redirección. 18

19 Redirección (3) 19

20 Redirección (4) Code 0: Redirección para ruteo específico de red. Code 1: Redirección para ruteo específico de host. Code 2: Redirección para ruteo específico de red basado en el tipo de servicio especificado. Code 3: Redirección para ruteo específico de host basado en el tipo de servicio especificado. 20

21 Redirección (5) 21

22 Redirección (6) Algunos hosts realizan algunos chequeos antes de modificar su tabla de ruteo al recibir un mensaje ICMP redirect. Estos chequeos tratan de prevenir problemas a partir de un router/host que se encuentra funcionando mal o un usuario malicioso, que esta modificando una tabla de ruteo de un sistema. Sin embargo no es difícil crear un mensaje ICMP falso, el cual puede pasar exitosamente todos estos tests. 22

23 Redirección (7) Items que pueden ser verificados. El nuevo router debe encontrarse conectado en forma directa a la red. El mensaje de redirección debe ser enviado por el router actual para ese destino. El mensaje de redirección no puede decirle al host que utilice al emisor del mensaje de redirección como router. La ruta que está siendo modificada debe ser una ruta indirecta. 23

24 ICMP Spoofing Un hacker puede falsificar un mensaje ICMP redirect para lograr un efecto similar al producido por ARP cache poisoning. Suponga que el hacker ( ) trata de convencer al target ( ) que el camino más corto a es a través de Suponga que el router original es Se enviará el siguiente paquete falso. 24

25 VER HLEN Service Type PACKET_LEN Identification Flag Fragmentation offset Time to live Protocol (ICMP) Header Checksum Source IP address ( ) Destination IP address ( ) Option Type (5) Code (1) Checksum IP address of the target router ( ) VER HLEN Service Type PACKET_LEN Identification Flag Fragmentation offset Time to live Protocol (IPPROTO_IP) Header Checksum Source IP address ( ) Destination IP address ( ) Option 8 bytes of data No necesita llenarse en el mensaje falso IP header ICMP Embedded header 25

26 Propiedades Algunas propiedades del ICMP redirect A diferencia de las entradas de la cache ARP las entradas de ruteo no expiran con el tiempo. en algunos sistemas si expiran (ej. redhat 7.2) El ataque puede lanzarse desde cualquier lugar. Se puede conseguir evitar que el target se comunique con cualquier dirección fuera de su subnet (DoS). 26

27 Smurf DoS via ICMP echo (1) Ping a un IP broadcast mediante una spoofed source IP addr, e.g. ping Todos los nodos de la LAN responden al ICMP echo con un ICMP echo request, dest = source La LAN (y especiealmente el source) son inundados de paquetes ICMP. Spoofed Source B ICMP Echo B=Broadcast

28 Smurf DoS via ICMP echo (2) Soluciones Patch en el OS para deshabilitar los ICMP echo request cuando el ICMP echo emplea una dirección IP broadcast Evitar que el router haga forward de direcciones IP broadcast externas en nuestra LAN 28

29 Traceroute (1) Traza la ruta (traceroute) de un paquete IP Un nodo envía un paquete IP std a la dirección IP destino con TTL=1. El primer router (path) decrementa el TTL (TTL=0), y devuelve al fuente un ICMP Time exceeded La dirección fuente del mensaje ICMP es la del primer router! Se incrementa el TTL (TTL=2), el próximo mensaje ICMP de error es enviado por el segundo router en el camino. Continuar incrementando el TTL para determinar los routers en el camino (hasta llegar al IP destino). 29

30 Traceroute (2) Source Timeline: TTL=1 Router 1 Router 2 Destination Router 1 known TTL=2 Router 2 known TTL=3 Destination known 30

31 Traceroute (3) Traza la ruta de un paquete IP Cuando se alcanza el IP destino: No se genera un msg. Time exceeded Cómo sabe cuando se llega al destino final? Traceroute envía un msg a un port UDP no utilizado (>30000), generando un msg. ICMP destination unreachable Con el subcódigo = port unreachable 31

32 Router Discovery via ICMP Los routers envían periodicamente un ICMP router advertisement a la LAN local Cada 7 minutos Expira en 30 minutos Los nodos pueden enviar un broadcast con un msg. ICMP router solicitation para no esperar 7 minutos ICMP Redirect Se envía cuando hay dos o más routers en la misma LAN Cada router sabrá si sus vecinos (LAN) están más cerca de un dado destino Cuando el source envía un msg. a un router más costoso (lejano), ese router le envía un msg ICMP Redirect. 32

33 Tipos posibles de Ataque Sniffing Man-in-the-middle Session hijack DoS Nameserver Router 33

34 Prevención (1) Firewall Bloquea todos los mensajes ICMP redirect provenientes del exterior de la LAN. No es bueno confiar ciegamente y unicamente en el firewall. No puede bloquear hackers que tienen acceso a nuestra red local. Simplemente descartar todos los ICMP redirect en su host. 34

35 Para redhat 6.1 for f in /proc/sys/net/ipv4/a done Prevención (2) Para redhat 6.2 o superior Agregar las siguientes líneas al archivo /etc/sysctl.conf: # Disable ICMP Redirect Acceptance net.ipv4.conf.all.accept_redirects = 0 Debe resetear su red para que los cambios tengan efecto /etc/rc.d/init.d/network restart 35

36 Ataques (Protocolos) Ataques conocidos (por no decier viejos): ARP cache/cam table poisoning, ARP msgs no solicitados y ARP/{DHCP,BOOTP} spoofing Herramientas: dsniff, hunt, ARP0c, taranis, etc. Nuevos (y no tan viejos ataques): HSRP/VRRP (next-hop redundancia) spoofing STP (Spanning Tree)/VTP (VLAN Trunking)/DTP (Dynamic Trunking) attacks VLAN jumping/hoping Ataques futuros? Ataques a protocolos de ruteo avanzado (eg. IRPAS) Rootkits y Loadable Kernel Modules 36

37 Coming Next!