network reconnaissance and ids cs642 computer security
play

Network reconnaissance and IDS CS642: Computer Security - PowerPoint PPT Presentation

May 03, 2023 •252 likes •701 views

Network reconnaissance and IDS CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of

  1. Network ¡reconnaissance ¡ and ¡IDS ¡ CS642: ¡ ¡ Computer ¡Security ¡ Professor ¡Ristenpart ¡ h9p://www.cs.wisc.edu/~rist/ ¡ rist ¡at ¡cs ¡dot ¡wisc ¡dot ¡edu ¡ University ¡of ¡Wisconsin ¡CS ¡642 ¡

  3. Let’s ¡play ¡over ¡the ¡network ¡… ¡ ¡ Target ¡acquisiNon ¡ Port ¡scanning ¡ Host ¡fingerprinNng, ¡NMAP ¡ Network ¡IDS ¡basics ¡ Avoiding ¡IDS ¡ University ¡of ¡Wisconsin ¡CS ¡642 ¡

  4. Target ¡acquisiNon ¡ ISP ¡ OrganizaNon ¡ ¡ X ¡ backbone ¡ How ¡do ¡we ¡find ¡vulnerable ¡server(s) ¡within ¡a ¡target ¡organizaNon? ¡ StarNng ¡point: ¡one ¡or ¡more ¡publicly ¡routable ¡IP ¡addresses ¡ -­‑ ¡WHOIS ¡queries ¡are ¡good ¡way ¡to ¡find ¡them ¡ -­‑ ¡Can ¡be ¡used ¡to ¡idenNfy ¡blocks ¡of ¡IP ¡addresses ¡owned ¡

  5. WHOIS ¡fun ¡

  6. We’ve ¡idenNfied ¡target ¡(range ¡of) ¡IPs, ¡ now ¡what? ¡ • Host ¡discovery ¡ – Narrow ¡broad ¡swath ¡of ¡potenNal ¡IPs ¡to ¡ones ¡that ¡have ¡ hosts ¡associated ¡with ¡them ¡ • Service ¡discovery ¡ – For ¡a ¡parNcular ¡host, ¡idenNfy ¡running ¡services ¡ – E.g., ¡is ¡it ¡accepNng ¡SSH ¡connecNons ¡(22) ¡or ¡HTTP ¡(80)? ¡ • OS ¡fingerprinNng ¡ – IdenNfy ¡the ¡OS ¡so_ware ¡version ¡running ¡ ¡ – E.g., ¡Windows ¡vs ¡Linux? ¡ • ApplicaNon ¡fingerprinNng ¡ – same ¡at ¡higher ¡level ¡ ¡ – Apache ¡version ¡1.3 ¡or ¡2.0+? ¡

  7. Port ¡scanners ¡ • NMAP ¡(network ¡map ¡tool) ¡ – De-­‑facto ¡standard ¡for ¡network ¡reconnaissance, ¡tesNng ¡ – Numerous ¡built ¡in ¡scanning ¡methods ¡ ¡ • Increasingly ¡common ¡to ¡perform ¡scans ¡of ¡enNre ¡ IPv4 ¡address ¡space ¡ – Zmap ¡provides ¡more ¡efficient ¡scanning ¡of ¡certain ¡ limited ¡forms ¡than ¡NMAP ¡ • 1 ¡machine ¡=> ¡scan ¡enNre ¡IPv4 ¡range ¡in ¡~45 ¡minutes ¡ • AcNve ¡scanning ¡now ¡used ¡frequently ¡for ¡research ¡

  9. nmap ¡–PN ¡–sT ¡–p ¡22 ¡ ¡192.168.1.0/24 ¡

  10. Some ¡of ¡the ¡NMAP ¡status ¡messages ¡ • open ¡ – host ¡is ¡accepNng ¡connecNons ¡on ¡that ¡port ¡ • closed ¡ – host ¡responds ¡to ¡NMAP ¡probes ¡on ¡port, ¡but ¡does ¡ not ¡accept ¡connecNons ¡ • filtered ¡ – NMAP ¡couldn’t ¡get ¡packets ¡through ¡to ¡host ¡on ¡ that ¡port. ¡ ¡ – Firewall? ¡

  11. Port ¡scan ¡of ¡host ¡

  12. Service ¡detecNon ¡

  13. nmap ¡–PN ¡–sT ¡–p ¡22 ¡ ¡192.168.1.0/24 ¡

  14. Port ¡scan ¡of ¡host ¡

  15. Service ¡detecNon ¡ Firewall ¡so_ware ¡ What ¡is ¡tcpwrapped ¡? ¡ “man ¡tcpd” ¡

  16. OS ¡fingerprinNng ¡

  17. Another ¡example ¡

  19. Network ¡DMZ ¡ Web ¡server ¡ Internet ¡ Inner ¡ Outer ¡ firewall ¡ firewall ¡ Customer ¡ IDS ¡ databases ¡ DMZ ¡(demilitarized ¡zone) ¡helps ¡isolate ¡public ¡network ¡ ¡ components ¡from ¡private ¡network ¡components ¡ Firewall ¡rules ¡to ¡disallow ¡traffic ¡from ¡Internet ¡to ¡internal ¡services ¡

  20. Firewalls ¡ IP ¡packets ¡or ¡ fragments ¡ Internet ¡ Outer ¡ IP ¡ TCP ¡ Appl ¡ firewall ¡ user ¡data ¡ hdr ¡ hdr ¡ hdr ¡ Firewalls ¡apply ¡rules ¡to ¡packets ¡to ¡determine ¡rouNng ¡acNons ¡ • Stateless: ¡decision ¡must ¡be ¡made ¡looking ¡at ¡single ¡ packet ¡(fragment) ¡ • Stateful: ¡reconstruct ¡packets ¡from ¡fragments, ¡maybe ¡ even ¡TCP ¡messages ¡ • Host ¡based ¡or ¡network ¡based ¡

  21. Port ¡scanning ¡behind ¡firewalls: ¡ ¡ Idle ¡scans ¡ • We ¡want ¡to ¡avoid ¡sending ¡any ¡non-­‑spoofed ¡ packets ¡to ¡the ¡target, ¡but ¡sNll ¡want ¡to ¡port ¡ scan ¡it ¡ Web ¡server ¡ Internet ¡ Inner ¡ Outer ¡ firewall ¡ firewall ¡ Customer ¡ IDS ¡ databases ¡ Can ¡send ¡to ¡Web ¡server ¡ Cannot ¡send ¡to ¡Databases ¡ Can ¡send ¡spoofed ¡as ¡Web ¡server ¡

  22. Idle ¡scans ¡ • We ¡want ¡to ¡avoid ¡sending ¡any ¡non-­‑spoofed ¡ packets ¡to ¡the ¡target, ¡but ¡sNll ¡want ¡to ¡port ¡scan ¡it ¡ • Salvatore ¡(AnNrez) ¡Sanfilippo ¡1998 ¡ • So-­‑called ¡idle ¡scan ¡can ¡enable ¡this ¡ 1) Determine ¡IPID ¡of ¡a ¡zombie ¡via ¡SYN/ACK ¡ 2) Send ¡SYN ¡spoofed ¡from ¡zombie ¡ 3) Determine ¡new ¡IPID ¡of ¡zombie ¡via ¡SYN/ACK ¡ ¡ • Old ¡systems: ¡IPID ¡incremented ¡with ¡each ¡IP ¡ packet ¡sent ¡ ¡

  23. IPv4 ¡ Ethernet ¡frame ¡ ¡ ENet ¡ IP ¡ ENet ¡ data ¡ containing ¡ ¡ hdr ¡ hdr ¡ tlr ¡ IP ¡datagram ¡ 4-­‑bit ¡ 4-­‑bit ¡ 8-­‑bit ¡ ¡ 16-­‑bit ¡ ¡ version ¡ hdr ¡len ¡ type ¡of ¡service ¡ total ¡length ¡(in ¡bytes) ¡ 16-­‑bit ¡ ¡ 3-­‑bit ¡ 13-­‑bit ¡ ¡ idenNficaNon ¡ flags ¡ fragmentaNon ¡offset ¡ 8-­‑bit ¡ ¡ 8-­‑bit ¡ ¡ 16-­‑bit ¡ ¡ Nme ¡to ¡live ¡(TTL) ¡ protocol ¡ header ¡checksum ¡ 32-­‑bit ¡ ¡ source ¡IP ¡address ¡ 32-­‑bit ¡ ¡ desNnaNon ¡IP ¡address ¡ opNons ¡(opNonal) ¡

  24. Idle ¡scans ¡ • We ¡want ¡to ¡avoid ¡sending ¡any ¡non-­‑spoofed ¡ packets ¡to ¡the ¡target, ¡but ¡sNll ¡want ¡to ¡port ¡ scan ¡it ¡ Web ¡server ¡ TCP ¡SYN/ACK ¡ TCP ¡SYN/ACK ¡ RST ¡IPID ¡= ¡12345 ¡ TCP ¡SYN/ACK ¡ RST ¡IPID ¡= ¡12346 ¡ RST ¡IPID ¡= ¡12347 ¡ Internet ¡ SYN ¡spoofed ¡as ¡from ¡ ¡ Inner ¡ Outer ¡ Web ¡Server ¡ firewall ¡ firewall ¡ Customer ¡ IDS ¡ databases ¡ Can ¡send ¡to ¡Web ¡server ¡ Cannot ¡send ¡to ¡Databases ¡ If ¡port ¡open ¡final ¡IPID ¡= ¡first ¡+ ¡2 ¡ Can ¡send ¡spoofed ¡as ¡Web ¡server ¡ If ¡port ¡closed ¡final ¡IPID ¡= ¡?? ¡

  25. Idle ¡scans ¡ • We ¡want ¡to ¡avoid ¡sending ¡any ¡non-­‑spoofed ¡ packets ¡to ¡the ¡target, ¡but ¡sNll ¡want ¡to ¡port ¡ scan ¡it ¡ Web ¡server ¡ RST ¡ TCP ¡SYN/ACK ¡ RST ¡IPID ¡= ¡12345 ¡ TCP ¡SYN/ACK ¡ RST ¡IPID ¡= ¡12346 ¡ Internet ¡ SYN ¡spoofed ¡as ¡from ¡ ¡ Inner ¡ Outer ¡ Web ¡Server ¡ firewall ¡ firewall ¡ Customer ¡ IDS ¡ databases ¡ Can ¡send ¡to ¡Web ¡server ¡ Cannot ¡send ¡to ¡Databases ¡ If ¡port ¡open ¡final ¡IPID ¡= ¡first ¡+ ¡2 ¡ Can ¡send ¡spoofed ¡as ¡Web ¡server ¡ If ¡port ¡closed ¡final ¡IPID ¡= ¡first ¡+ ¡1 ¡

  26. Idle ¡scans ¡ From ¡h9p://nmap.org/book/idlescan.html ¡

  27. Idle ¡scan ¡ From ¡h9p://nmap.org/book/idlescan.html ¡

  28. PrevenNng ¡idle ¡scans ¡ • How ¡can ¡we ¡prevent ¡our ¡system ¡from ¡being ¡a ¡ zombie? ¡

  29. Other ¡idle ¡scan ¡type ¡methods? ¡ • Ensafi ¡et ¡al. ¡“Idle ¡Port ¡Scanning ¡and ¡Non-­‑ Interference ¡Analysis ¡of ¡Network ¡Protocol ¡ Stacks ¡Using ¡Model ¡Checking”, ¡USENIX ¡ Security ¡2010 ¡ • IPID ¡is ¡a ¡side ¡channel ¡– ¡maybe ¡there ¡are ¡ others? ¡ – RST ¡rate ¡ – SYN ¡cache ¡size ¡

  30. Idle ¡scan: ¡RST ¡rate ¡limit ¡ From ¡ ¡Ensafi ¡et ¡al. ¡ ¡2010 ¡

  31. SYN ¡caches ¡and ¡SYN ¡cookies ¡ • SYN ¡cache ¡maintains ¡state ¡for ¡outstanding ¡TCP ¡ SYN ¡requests ¡received ¡ – Finite ¡amount ¡of ¡memory ¡ • SYN ¡cookie ¡is ¡mechanism ¡for ¡dealing ¡with ¡DoS ¡ – When ¡SYN ¡cache ¡is ¡full, ¡calculate ¡response’s ¡ISN ¡ (iniNal ¡sequence ¡number) ¡ 3 ¡bits ¡ 5 ¡bits ¡ Max ¡Seg ¡ 24 ¡bits ¡ Nmestamp ¡t ¡ ¡ Size ¡ ¡ MD5(serverIP,serverPort,clientIP,clientPort,t) ¡ mod ¡32 ¡ encoding ¡

  32. Idle ¡scan: ¡SYN ¡cache ¡ From ¡ ¡Ensafi ¡et ¡al. ¡ ¡2010 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Network reconnaissance and IDS CS642: Computer Security

Network reconnaissance and IDS CS642: Computer Security

Network reconnaissance and IDS CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of

655 views • 43 slides
Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from Mitchell, Boneh,

578 views • 34 slides
Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart

Web Security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from Mitchell, Boneh,

599 views • 36 slides
CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From

CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From

X86 Review Process Layout, ISA, etc. CS642: Computer Security Drew Davidson davidson@cs.wisc.edu From Last Week ACL-based permissions (UNIX style)

672 views • 28 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Diffie-Hellman, Side-channels, RNGs CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University

494 views • 26 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

827 views • 39 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

576 views • 38 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

933 views • 37 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

811 views • 54 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

985 views • 53 slides
Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor

Web Security Part 2 CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu Liberal borrowing from

636 views • 40 slides
OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor

OS Security Basics CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS 642

630 views • 51 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Low-level soEware vulnerability protecGon mechanisms CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot

919 views • 47 slides
CS642: Computer Security Professor Ristenpart

CS642: Computer Security Professor Ristenpart

Low-level soEware vulnerability protecGon mechanisms CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot

733 views • 55 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

603 views • 42 slides
Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor

Link layer security CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University of Wisconsin CS

606 views • 41 slides
IST-Africa Talk Slides Conference Paper May 2016 CITATIONS READS 0 122 3 authors ,

IST-Africa Talk Slides Conference Paper May 2016 CITATIONS READS 0 122 3 authors ,

See discussions, stats, and author profiles for this publication at: https://www.researchgate.net/publication/303210806 IST-Africa Talk Slides Conference Paper May 2016 CITATIONS READS 0 122 3 authors , including: Victor R Kebande Nickson

389 views • 23 slides
HoneydV6 A low-interaction IPv6 honeypot Sven Schindler Potsdam University Institute for

HoneydV6 A low-interaction IPv6 honeypot Sven Schindler Potsdam University Institute for

HoneydV6 A low-interaction IPv6 honeypot Sven Schindler Potsdam University Institute for Computer Science Operating Systems and Distributed Systems Reykjavk, July 29, 2013 Outline 1 Introduction 2 An IPv6 darknet experiment HoneydV6 -

890 views • 31 slides
A Proposal for Securing a Large-Scale High-Interaction Honeypot J. Briffaut J.-F. Lalande

A Proposal for Securing a Large-Scale High-Interaction Honeypot J. Briffaut J.-F. Lalande

Honeypots architecture Security Properties Statistical results Conclusion A Proposal for Securing a Large-Scale High-Interaction Honeypot J. Briffaut J.-F. Lalande C. Toinard LIFO Universit dOrlans ENSI de Bourges SHPCS08,

401 views • 19 slides
INTELLIGENT HONEYNET ACTIONABLE INFORMATION FROM HONEYPOTS INTELLIGENT HONEYNET ACTIONABLE

INTELLIGENT HONEYNET ACTIONABLE INFORMATION FROM HONEYPOTS INTELLIGENT HONEYNET ACTIONABLE

INTELLIGENT HONEYNET ACTIONABLE INFORMATION FROM HONEYPOTS INTELLIGENT HONEYNET ACTIONABLE INFORMATION FROM HONEYPOTS JOSH PYORRE Security Researcher Threat Analyst at NASA Threat Analyst at Mandiant @joshpyorre HONEYPOTS CURRENTLY IN USE

1.25k views • 96 slides
Picviz finding a needle in a haystack Sbastien Tricaud INL Usenix, San Diego 2008 Sbastien

Picviz finding a needle in a haystack Sbastien Tricaud INL Usenix, San Diego 2008 Sbastien

Picviz finding a needle in a haystack Sbastien Tricaud INL Usenix, San Diego 2008 Sbastien Tricaud (INL) Picviz finding a needle in a haystack Usenix, San Diego 2008 1 / 47 Speaker: Sebastien Tricaud I Live and work in Paris (FR)

601 views • 48 slides
Securing networks with Honeypots Motivation Scenario : Web server Internet SSH How to

Securing networks with Honeypots Motivation Scenario : Web server Internet SSH How to

Benjamin Braun, Klemens Mang Securing networks with Honeypots Motivation Scenario : Web server Internet SSH How to detect attackers accessing your service? How to analyze attack patterns? How to detect yet unknown attack

246 views • 13 slides
A Security Enforcement Kernel for OpenFlow Networks HotSDN 2012 Phillip Porras, Vinod Yegneswaran

A Security Enforcement Kernel for OpenFlow Networks HotSDN 2012 Phillip Porras, Vinod Yegneswaran

A Security Enforcement Kernel for OpenFlow Networks HotSDN 2012 Phillip Porras, Vinod Yegneswaran , Martin Fong, Mabry Tyson (SRI International) Seungwon Shin, Guofei Gu (Texas A&M University) Classic Network Perimeter Defense Security

207 views • 20 slides
Honeypots as a Security Honeypots as a Security Mechanism Mechanism Presenter: merson Virti

Honeypots as a Security Honeypots as a Security Mechanism Mechanism Presenter: merson Virti

Monitoring, Attack Detection and Mitigation Monitoring, Attack Detection and Mitigation MonAM 2006 MonAM 2006 Honeypots as a Security Honeypots as a Security Mechanism Mechanism Presenter: merson Virti Authors: merson Virti, Liane

474 views • 16 slides

More recommend