network reconnaissance and ids cs642 computer security
play

Network reconnaissance and IDS CS642: Computer Security - PowerPoint PPT Presentation

May 03, 2023 •252 likes •701 views

Network reconnaissance and IDS CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of

  1. Network ¡reconnaissance ¡ and ¡IDS ¡ CS642: ¡ ¡ Computer ¡Security ¡ Professor ¡Ristenpart ¡ h9p://www.cs.wisc.edu/~rist/ ¡ rist ¡at ¡cs ¡dot ¡wisc ¡dot ¡edu ¡ University ¡of ¡Wisconsin ¡CS ¡642 ¡

  3. Let’s ¡play ¡over ¡the ¡network ¡… ¡ ¡ Target ¡acquisiNon ¡ Port ¡scanning ¡ Host ¡fingerprinNng, ¡NMAP ¡ Network ¡IDS ¡basics ¡ Avoiding ¡IDS ¡ University ¡of ¡Wisconsin ¡CS ¡642 ¡

  4. Target ¡acquisiNon ¡ ISP ¡ OrganizaNon ¡ ¡ X ¡ backbone ¡ How ¡do ¡we ¡find ¡vulnerable ¡server(s) ¡within ¡a ¡target ¡organizaNon? ¡ StarNng ¡point: ¡one ¡or ¡more ¡publicly ¡routable ¡IP ¡addresses ¡ -­‑ ¡WHOIS ¡queries ¡are ¡good ¡way ¡to ¡find ¡them ¡ -­‑ ¡Can ¡be ¡used ¡to ¡idenNfy ¡blocks ¡of ¡IP ¡addresses ¡owned ¡

  5. WHOIS ¡fun ¡

  6. We’ve ¡idenNfied ¡target ¡(range ¡of) ¡IPs, ¡ now ¡what? ¡ • Host ¡discovery ¡ – Narrow ¡broad ¡swath ¡of ¡potenNal ¡IPs ¡to ¡ones ¡that ¡have ¡ hosts ¡associated ¡with ¡them ¡ • Service ¡discovery ¡ – For ¡a ¡parNcular ¡host, ¡idenNfy ¡running ¡services ¡ – E.g., ¡is ¡it ¡accepNng ¡SSH ¡connecNons ¡(22) ¡or ¡HTTP ¡(80)? ¡ • OS ¡fingerprinNng ¡ – IdenNfy ¡the ¡OS ¡so_ware ¡version ¡running ¡ ¡ – E.g., ¡Windows ¡vs ¡Linux? ¡ • ApplicaNon ¡fingerprinNng ¡ – same ¡at ¡higher ¡level ¡ ¡ – Apache ¡version ¡1.3 ¡or ¡2.0+? ¡

  7. Port ¡scanners ¡ • NMAP ¡(network ¡map ¡tool) ¡ – De-­‑facto ¡standard ¡for ¡network ¡reconnaissance, ¡tesNng ¡ – Numerous ¡built ¡in ¡scanning ¡methods ¡ ¡ • Increasingly ¡common ¡to ¡perform ¡scans ¡of ¡enNre ¡ IPv4 ¡address ¡space ¡ – Zmap ¡provides ¡more ¡efficient ¡scanning ¡of ¡certain ¡ limited ¡forms ¡than ¡NMAP ¡ • 1 ¡machine ¡=> ¡scan ¡enNre ¡IPv4 ¡range ¡in ¡~45 ¡minutes ¡ • AcNve ¡scanning ¡now ¡used ¡frequently ¡for ¡research ¡

  9. nmap ¡–PN ¡–sT ¡–p ¡22 ¡ ¡192.168.1.0/24 ¡

  10. Some ¡of ¡the ¡NMAP ¡status ¡messages ¡ • open ¡ – host ¡is ¡accepNng ¡connecNons ¡on ¡that ¡port ¡ • closed ¡ – host ¡responds ¡to ¡NMAP ¡probes ¡on ¡port, ¡but ¡does ¡ not ¡accept ¡connecNons ¡ • filtered ¡ – NMAP ¡couldn’t ¡get ¡packets ¡through ¡to ¡host ¡on ¡ that ¡port. ¡ ¡ – Firewall? ¡

  11. Port ¡scan ¡of ¡host ¡

  12. Service ¡detecNon ¡

  13. nmap ¡–PN ¡–sT ¡–p ¡22 ¡ ¡192.168.1.0/24 ¡

  14. Port ¡scan ¡of ¡host ¡

  15. Service ¡detecNon ¡ Firewall ¡so_ware ¡ What ¡is ¡tcpwrapped ¡? ¡ “man ¡tcpd” ¡

  16. OS ¡fingerprinNng ¡

  17. Another ¡example ¡

  19. Network ¡DMZ ¡ Web ¡server ¡ Internet ¡ Inner ¡ Outer ¡ firewall ¡ firewall ¡ Customer ¡ IDS ¡ databases ¡ DMZ ¡(demilitarized ¡zone) ¡helps ¡isolate ¡public ¡network ¡ ¡ components ¡from ¡private ¡network ¡components ¡ Firewall ¡rules ¡to ¡disallow ¡traffic ¡from ¡Internet ¡to ¡internal ¡services ¡

  20. Firewalls ¡ IP ¡packets ¡or ¡ fragments ¡ Internet ¡ Outer ¡ IP ¡ TCP ¡ Appl ¡ firewall ¡ user ¡data ¡ hdr ¡ hdr ¡ hdr ¡ Firewalls ¡apply ¡rules ¡to ¡packets ¡to ¡determine ¡rouNng ¡acNons ¡ • Stateless: ¡decision ¡must ¡be ¡made ¡looking ¡at ¡single ¡ packet ¡(fragment) ¡ • Stateful: ¡reconstruct ¡packets ¡from ¡fragments, ¡maybe ¡ even ¡TCP ¡messages ¡ • Host ¡based ¡or ¡network ¡based ¡

  21. Port ¡scanning ¡behind ¡firewalls: ¡ ¡ Idle ¡scans ¡ • We ¡want ¡to ¡avoid ¡sending ¡any ¡non-­‑spoofed ¡ packets ¡to ¡the ¡target, ¡but ¡sNll ¡want ¡to ¡port ¡ scan ¡it ¡ Web ¡server ¡ Internet ¡ Inner ¡ Outer ¡ firewall ¡ firewall ¡ Customer ¡ IDS ¡ databases ¡ Can ¡send ¡to ¡Web ¡server ¡ Cannot ¡send ¡to ¡Databases ¡ Can ¡send ¡spoofed ¡as ¡Web ¡server ¡

  22. Idle ¡scans ¡ • We ¡want ¡to ¡avoid ¡sending ¡any ¡non-­‑spoofed ¡ packets ¡to ¡the ¡target, ¡but ¡sNll ¡want ¡to ¡port ¡scan ¡it ¡ • Salvatore ¡(AnNrez) ¡Sanfilippo ¡1998 ¡ • So-­‑called ¡idle ¡scan ¡can ¡enable ¡this ¡ 1) Determine ¡IPID ¡of ¡a ¡zombie ¡via ¡SYN/ACK ¡ 2) Send ¡SYN ¡spoofed ¡from ¡zombie ¡ 3) Determine ¡new ¡IPID ¡of ¡zombie ¡via ¡SYN/ACK ¡ ¡ • Old ¡systems: ¡IPID ¡incremented ¡with ¡each ¡IP ¡ packet ¡sent ¡ ¡

  23. IPv4 ¡ Ethernet ¡frame ¡ ¡ ENet ¡ IP ¡ ENet ¡ data ¡ containing ¡ ¡ hdr ¡ hdr ¡ tlr ¡ IP ¡datagram ¡ 4-­‑bit ¡ 4-­‑bit ¡ 8-­‑bit ¡ ¡ 16-­‑bit ¡ ¡ version ¡ hdr ¡len ¡ type ¡of ¡service ¡ total ¡length ¡(in ¡bytes) ¡ 16-­‑bit ¡ ¡ 3-­‑bit ¡ 13-­‑bit ¡ ¡ idenNficaNon ¡ flags ¡ fragmentaNon ¡offset ¡ 8-­‑bit ¡ ¡ 8-­‑bit ¡ ¡ 16-­‑bit ¡ ¡ Nme ¡to ¡live ¡(TTL) ¡ protocol ¡ header ¡checksum ¡ 32-­‑bit ¡ ¡ source ¡IP ¡address ¡ 32-­‑bit ¡ ¡ desNnaNon ¡IP ¡address ¡ opNons ¡(opNonal) ¡

  24. Idle ¡scans ¡ • We ¡want ¡to ¡avoid ¡sending ¡any ¡non-­‑spoofed ¡ packets ¡to ¡the ¡target, ¡but ¡sNll ¡want ¡to ¡port ¡ scan ¡it ¡ Web ¡server ¡ TCP ¡SYN/ACK ¡ TCP ¡SYN/ACK ¡ RST ¡IPID ¡= ¡12345 ¡ TCP ¡SYN/ACK ¡ RST ¡IPID ¡= ¡12346 ¡ RST ¡IPID ¡= ¡12347 ¡ Internet ¡ SYN ¡spoofed ¡as ¡from ¡ ¡ Inner ¡ Outer ¡ Web ¡Server ¡ firewall ¡ firewall ¡ Customer ¡ IDS ¡ databases ¡ Can ¡send ¡to ¡Web ¡server ¡ Cannot ¡send ¡to ¡Databases ¡ If ¡port ¡open ¡final ¡IPID ¡= ¡first ¡+ ¡2 ¡ Can ¡send ¡spoofed ¡as ¡Web ¡server ¡ If ¡port ¡closed ¡final ¡IPID ¡= ¡?? ¡

  25. Idle ¡scans ¡ • We ¡want ¡to ¡avoid ¡sending ¡any ¡non-­‑spoofed ¡ packets ¡to ¡the ¡target, ¡but ¡sNll ¡want ¡to ¡port ¡ scan ¡it ¡ Web ¡server ¡ RST ¡ TCP ¡SYN/ACK ¡ RST ¡IPID ¡= ¡12345 ¡ TCP ¡SYN/ACK ¡ RST ¡IPID ¡= ¡12346 ¡ Internet ¡ SYN ¡spoofed ¡as ¡from ¡ ¡ Inner ¡ Outer ¡ Web ¡Server ¡ firewall ¡ firewall ¡ Customer ¡ IDS ¡ databases ¡ Can ¡send ¡to ¡Web ¡server ¡ Cannot ¡send ¡to ¡Databases ¡ If ¡port ¡open ¡final ¡IPID ¡= ¡first ¡+ ¡2 ¡ Can ¡send ¡spoofed ¡as ¡Web ¡server ¡ If ¡port ¡closed ¡final ¡IPID ¡= ¡first ¡+ ¡1 ¡

  26. Idle ¡scans ¡ From ¡h9p://nmap.org/book/idlescan.html ¡

  27. Idle ¡scan ¡ From ¡h9p://nmap.org/book/idlescan.html ¡

  28. PrevenNng ¡idle ¡scans ¡ • How ¡can ¡we ¡prevent ¡our ¡system ¡from ¡being ¡a ¡ zombie? ¡

  29. Other ¡idle ¡scan ¡type ¡methods? ¡ • Ensafi ¡et ¡al. ¡“Idle ¡Port ¡Scanning ¡and ¡Non-­‑ Interference ¡Analysis ¡of ¡Network ¡Protocol ¡ Stacks ¡Using ¡Model ¡Checking”, ¡USENIX ¡ Security ¡2010 ¡ • IPID ¡is ¡a ¡side ¡channel ¡– ¡maybe ¡there ¡are ¡ others? ¡ – RST ¡rate ¡ – SYN ¡cache ¡size ¡

  30. Idle ¡scan: ¡RST ¡rate ¡limit ¡ From ¡ ¡Ensafi ¡et ¡al. ¡ ¡2010 ¡

  31. SYN ¡caches ¡and ¡SYN ¡cookies ¡ • SYN ¡cache ¡maintains ¡state ¡for ¡outstanding ¡TCP ¡ SYN ¡requests ¡received ¡ – Finite ¡amount ¡of ¡memory ¡ • SYN ¡cookie ¡is ¡mechanism ¡for ¡dealing ¡with ¡DoS ¡ – When ¡SYN ¡cache ¡is ¡full, ¡calculate ¡response’s ¡ISN ¡ (iniNal ¡sequence ¡number) ¡ 3 ¡bits ¡ 5 ¡bits ¡ Max ¡Seg ¡ 24 ¡bits ¡ Nmestamp ¡t ¡ ¡ Size ¡ ¡ MD5(serverIP,serverPort,clientIP,clientPort,t) ¡ mod ¡32 ¡ encoding ¡

  32. Idle ¡scan: ¡SYN ¡cache ¡ From ¡ ¡Ensafi ¡et ¡al. ¡ ¡2010 ¡

Recommend

Network reconnaissance and IDS CS642: Computer Security

Network reconnaissance and IDS CS642: Computer Security

Network reconnaissance and IDS CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of

655 views • 43 slides
Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from Mitchell, Boneh,

578 views • 34 slides
Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from Mitchell, Boneh,

599 views • 36 slides
CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From

CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From

X86 Review Process Layout, ISA, etc. CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From Last Week ACL-based permissions (UNIX style)

672 views • 28 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Diffie-Hellman, Side-channels, RNGs CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University

494 views • 26 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

827 views • 39 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

576 views • 38 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

933 views • 37 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

811 views • 54 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

985 views • 53 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

636 views • 40 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

630 views • 51 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Low-level soEware vulnerability protecGon mechanisms CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot

919 views • 47 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Low-level soEware vulnerability protecGon mechanisms CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot

733 views • 55 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

603 views • 42 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

606 views • 41 slides
TCP/IP security CS642: Computer Security Professor Ristenpart

TCP/IP security CS642: Computer Security Professor Ristenpart

TCP/IP security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

931 views • 56 slides
Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

567 views • 43 slides
Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

354 views • 33 slides
Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart

Cloud security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

934 views • 42 slides
Foundations of Network and Foundations of Network and Computer Security Computer Security J ohn

Foundations of Network and Foundations of Network and Computer Security Computer Security J ohn

Foundations of Network and Foundations of Network and Computer Security Computer Security J ohn Black J CSCI 6268/TLEN 5831, Fall 2004 Introduction UC Davis PhD in 2000 Cryptography Interested in broader security as well

492 views • 12 slides
Finding vulnerabiliFes CS642: Computer Security Professor

Finding vulnerabiliFes CS642: Computer Security Professor

Finding vulnerabiliFes CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

851 views • 51 slides
E-crime CS642: Computer Security Professor Ristenpart

E-crime CS642: Computer Security Professor Ristenpart

E-crime CS642: Computer Security Professor Ristenpart h/p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642 Spam,

620 views • 60 slides
Asymmetric encrypCon CS642: Computer Security Professor

Asymmetric encrypCon CS642: Computer Security Professor

Asymmetric encrypCon CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

662 views • 33 slides

More recommend