#47740, "מהו ACK Tunneling"
|
מהו ACK Tunneling
פרוטוקול TCP מיישם התקשרות דו צדדית ע"י כך שהקליינט שולח
פאקט SYN, הסרבר משיב לו ב SYN ACK, הקליינט חותם בACK
ואז מתחיל להיווצר קשר מסודר, והפאקטים נשלחים אחד אחרי השני
מהסרבר לקליינט (בתגובה לבקשות הקליינט כמובן).
כלומר, כל התקשרות TCP "נורמלית", אמורה להתבצע ע"י לחיצת היד
המשולשת הזו, שתחילתה ב SYN, וסופה בACK.
לאחר ההתקשרות הראשונית, מתחיל הסרבר לשלוח פאקטים לקליינט
כשכל פאקט מסומן בSEQUANSE=X (ה X מסמן את כמות הנתונים
הנשלחת), וכל מספר פאקטים, הקליינט שולח ACKNOWLADGE
לסרבר עם ACK=Y
לדוגמא:
סרבר > 1460 SEQ
סרבר > 2920 SEQ
קליינט > 4380 ACK
(קליינט: "קיבלתי מנות נתונים (בכפולות של 1460), אני מאשר וממתין
כעת לפאקט הבא..")
הפאיירוואלים הנפוצים יכולים ליישם שני מצבים של בדיקת פאקטים.
1. הסתמכות על הSYN הראשוני הנפתח בין הקליינט (נניח מחשב פנימי
בתוך הLAN) לסרבר, ובדיקת הרולים\תוכן בהתאם וברגע שאלה "בסדר"
מבחינת הFW, הוא חותם את ה session הזה ב "מאושר", (ולא ממשיך
לבדוק את כל ה ACK = כל הסשין בינהם) ועוזב אותו לנפשו.
2. בדיקת כל פאקט ופאקט, בלי התייחסות מיוחדת לSYN הראשוני.
כלומר, בדיקת כל ה ACK...
כלומר, ישנם FW הבודקים רק את יצירת הסשין (SYN ראשוני), וברגע שזה
מתאים מבחינתם - הכל בסדר... ואילו ישנם FW שלא מסתמכים על בדיקת
הSYN לבדה, ובודקים גם את הפאקטים מסוג ACK. וישנם FW שניתנים
לקנפוג בעניין הזה, כלומר ניתן להגדיר בהם האם יעבדו במצב של בדיקת
כל ACK בפני עצמו, או הסתמכות על SYN ראשוני.
ההבדלים מבחינת משאבי מערכת הם עצומים. בעוד בדיקת SYN ראשוני
מסתכמת בבודדים (יחסית), בדיקת כל ACK מתייחסת למליוני פאקטים
שיכולים לעבור פר SYN בודד שסימן את תחילת הקשר.
נו? אז איפה ACK Tunneling נכנס לתמונה ?
ובכן, ACK Tunneling מתאר מצב בו התקשורת לא מבצעת את לחיצת
היד המשולשת, אלא מתחילה ישר לשלוח ACK (מנות מידע).
לכותב וירוסים\סוסים טרויאנים שרוצה לחדור לרשת הפנימית המסתתרת
מאחורי FW (עם כל הרולים שלא מאפשרים לו להיכנס...), ישנם מספר ברירות.
1. לתכנת כך שהמידע ישלח ע"ג פורטים מאושרים. לדוגמא, תיעוד הקשות
המקלדת לתוך קובץ טסט, ושליחת קובץ הטקסט לכתובת הדואר האלקטרוני
שלו, על גבי פורט 80, או על גבי פורט 25 - ששניהם בד"כ פתוחים ברשתות
ארגוניות (כאן המקום להזכיר שאין בד"כ שום טעם להשאיר את פורט 25 פתוח
ורצוי "לחנך" את המשתמשים לשלוח את הדואר שלהם דרך שרת הדואר
הארגוני, או דרך WEBMAILS למינהם)
2. לתכנת כך שהמידע יצא דרך פורטים שגם אם אינם מאושרים דרך הFW
יוכלו לצאת ע"י שימוש בעיקרון ה ACK Tunneling.
הדבר מבוצע בעיקר ע"י כותבי סוסים טרואינים למינהם. הם מתכנתים כך
שהתקשורת בין המחשב הפנימי שמתסתתר מאחורי הFW לסרבר שלהם
תתבצע ישירות דרך שליחת ACK, ו"דילוג" על עניין הSYN הראשוני, כדי
למנוע מחוקי הFW לזהות אותם.
איך לזהות נסיונות ACK Tunneling
במידה ומדובר בFW ארגוני, מדובר כנראה בFW שבודק את העניין הזה..
FW ארגוניים ומתקדמים דוגמת צ'ק פוינט, פשוט בודקים האם הפאקט הראשוני
באותו סשין הוא לא SYN, ואם הוא לא SYN - הם חוסמים בהתאם...
נוכל לראות לעיתים בלוגים מחשבים פנימיים שנחמסים החוצה ב:
First Packet isn't SYN - tcp_flags: SYN
שורה כזו מעידה על שליחת פאקט ראשוני שאינו מסוג SYN, (ובמקרה הזה
מסוג ACK), וחסימה בהתאם. אגב, זה ממש לא אומר בהכרח שמדובר בסוס
טרויאני - ישנם לעיתים מצבים מוזרים בהם ניתוק\המשך קשר מניב פאקט
מסוים מסוג ACK, למרות שסשין הSYN הראשוני שלו נגמר..
אבל לעיתים , זה בהחלט מסמן על סוס טרואני באותו מחשב פנימי המנסה
לפתוח ACK Tunneling ולעקוף את חוקי הFW.
לסיכום, ACK Tunneling הוא דרך נפוצה של כותבי סוסים-טררויאנים לגרום
למחשב ברשת הפנימית לצאת החוצה ולעקוף את ה Firewall , כשפאיירוואלים
ארגוניים בד"כ עוצרים את הפאקטים האלה.
ניתן לראות תוכנה לדוגמא המיישמת ACK Tunneling בין מחשב קליינט
למחשב סרבר, בקישור הבא:
http://ntsecurity.nu/toolbox/ackcmd
זהירות עם הקובץ, מאחר ומדובר בפתיחת טאנל לקליינטים מבחוץ , להתחבר
למחשב ולעקוף את הFW. הקובץ יעבוד ב windows 2000 / xp (ללא עדכון
SP2). ישנם 2 קבצים, אחד "סרבר" הנשתל במחשב הקורבן, ואחד "קליינט"
שכמובן יופעל במחשב התוקף.
הקבצים מדגימים את העיקרון של קיום קשר דו כיווני ללא ביצוע SYN ראשוני
לחץ לקריאת המשך הטקסט...
LOL
קרדית לשד 550
nirbar אתה מלך!!!!
|
|
