Атака Кевина Митника

UFO (ufobject@mail.ru)

Спецвыпуск Xakep, номер #015, стр. 015-066-3

Третий способ (он-то нам и нужен) - посылка десятка нормальных запросов на соединение с удаленным сервером. Если пакет запроса корректен, сервер открывает эти соединения и ставит все остальные запросы в очередь. В итоге, сервер ждет в течение 10 (!) минут любой активности по созданному TCP-соединению и, обломавшись, делает тайм-аут, то есть разрывает эти соединения. Таким образом, на десять минут сервер приводится в состояние "отказа в обслуживании". Минус этой атаки заключается в том, что при открытии соединения нужно подобрать значение ID поля в TCP пакете. Это поле генерируется в зависимости от установленной ОС на удаленном сервере.

Вот это были основные моменты, необходимые для разбора атаки Митника.

Атака Митника

Атака началась в 14:09:32 25.12.94. Сначала Митник начал зондировать атакуемый хост с целью выявления доверенных адресов. Ему это удалось: на хосте toad.com имелась запись с правами ROOT-а. Митник смог запустить команды showmount и rpcinfo. Через 6 минут с хоста 130.92.6.97 последовал шторм пакетов на 513 порт доверенного хоста. Этим атакующий добился отказа в обслуживании. Теперь повешенный доверенный хост был не в силах послать сообщение о разрыве соединения на сервер - к которому медленно, но верно подбирался Кевин. Теперь хакер мог вести удаленное соединение от имени доверенного хоста. Далее последовало 20 попыток создания соединения с удаленным хостом apollo.it.luc.edu на x-terminal.shell. Так Митник вычислял алгоритм изменения начального значения идентификатора TCP-соединения на хосте. Подбор шел не тупым брутфорсом (иначе Митник стал бы дедушкой, пока сломал бы), а по определенному направлению. В полученных от нужного сервака ответных пакетах он смотрел текущее значение ID-поля и времени. По этим данным Кевин пытался предположить, какой алгоритм юзался, и проверял это, посылая новый запрос с другим идентификатором. Отказ в обслуживании избегался периодичным разрывом соединения. После успешного вычисления алгоритма изменения начального значения идентификатора TCP-соединения Митник послал поддельный запрос на TCP-соединение с доверяющим сервером (с ломаемой тачкой). Тем самым атакующий добился возможности исполнения любых команд на удаленном сервере. После этого дело осталось за малым - Кевин послал на взломанный сервер команду "echo + + >>/.rhosts". Эта команда дополняет файл /.rhosts строчкой "+ +" - и теперь любые хосты стали доверенными. Далее Митник закрыл все ранее открытые соединения - ведь после этого он получил возможность соединяться с нужной тачкой как доверенный комп, уже совершенно без геморроя. Вот и вся любовь!