Нападения с использованием сетевых протоколов

Много угроз несет с собой передача специальных пакетов, ко­торые либо содержат неверную информацию, либо были предна­меренно искажены. Пакеты стандарта ТСР/IР имеют специфический порядок бай­тов, размер и строго определенные поля. В большинстве случаев неправильно составленный пакет будет игнорироваться и отраба­тываться либо сетевым интерфейсом, либо маршрутизатором где-нибудь на пути от источника пакета к адресату. Однако в прошлом неправильно организованные пакеты вызывали причудливое пове­дение либо адресата, либо маршрутизатора, встречающегося на пути.

Вследствие некоторых ошибок маршрутизаторов в прошлом пакеты, состоящие из одних единиц (либо нулей), значительно за­медляли работу маршрутизаторов, поскольку устройство "реша­ло", что делать с этими странными данными. Пока маршрутизатор "решал", что делать, другие пакеты продолжали прибывать, в ко­нечном счете, забивая имеющийся буфер маршрутизатора. Это приводило к тому, что на другие пакеты не посылалось уведомле­ние о приеме, вынуждая хост посылать их снова и снова. В неко­торых случаях, когда буфер маршрутизатора заполнялся, послед­ний либо зависал, либо просто перезапускался. Очевидно, что и то, и другое весьма нежелательно. Производители маршрутизаторов продолжают вести обширную проверку надежности своих изделий перед выпуском их на рынок, однако ошибки все еще могут иметь место.

Активные атаки можно разделить на две части. В первом слу­чае злоумышленник предпринимает определенные шаги для пере­хвата и модификации сетевого потока или попыток "притвориться" другой системой. Во втором случае протокол ТСР/IР используется для того, чтобы привести систему-жертву в нерабочее состоянии.

Обладая достаточными привилегиями в UNIX (или попросту используя DOS или Windows, не имеющие системы ограничений пользователей), злоумышленник может вручную формировать IP-пакеты и передавать их по сети. Естественно, поля заголовка паке­та могут быть сформированы произвольным, образом. Получив такой пакет, невозможно выяснить откуда реально он был получен, поскольку пакеты не содержат пути их прохождения.

Рассмотрим несколько конкретных примеров, поясняющих принцип осуществления нападения с использованием сетевых про­токолов.

"Летучая смерть"

"Летучая смерть" (Ping о“Death) - такое название получил достаточно простой способ выведения из строя узлов сети Internet, широко распространенный в последнее время. Результатом атаки является зависание атакуемого сервера, иначе называемого "сервер пели". Примечательно, что для осуществления атаки нужно знать только IР-адрес атакуемого устройства, который в подавляющем большинстве случаев не является секретным. Смысл атаки основан на том факте, что согласно RFС-791 (Request for Comment -специальные документы, выпускаемые Сетевым информационным центром Network Information Center) максимальный размер IР-пакета ограничен размером в 65535 байт. Для хранения такого максимального размера пакета в IР-заголовке отведено 16 бит и на такую максимальную величину рассчитано существующее ПО. Это ограничение максимальной длины злоумышленник может по­пробовать обойти. Дело в том, что более нижний, чем сетевой уро­вень IР, уровень соединения инкапсулирует IР-датаграммы в кад­ры собственной спецификации (например, Еthernet). Датаграмма, один из двух возможных способов межкомпьютерного обмена данными - это сообщение, которое не требует подтверждения о приеме от принимающей стороны. При этом сетевой уровень (IР) фрагментирует IР-датаграмму на несколько пакетов, соответст­вующих максимальному размеру пакета уровня соединения, раз­мер которого ограничен спецификацией уровня соединения (1500 байт в Еthernet). В поле заголовка IР-пакета имеется флаг "фраг­мент-продолжение", который во время фрагментации IР устанав­ливает в "1" во всех фрагментах, кроме последнего. В последнем фрагменте данных бит равен нулю. Кроме того, IР размещает в за­головке фрагмента - в поле смещения фрагмента - смещение дан­ного фрагмента от начала исходного IР-пакета. Максимальное смещение при этом равно 65528 байт. Таким образом, если во фрагменте IР-датаграммы выставить флаг продолжения и подце­пить вторую датаграмму, то можно получить результирующую датаграмму, размер которой будет превышать максимально допус­тимый (например: смещение 65528 + продолжение 1500 = 67028 > 65535). Как правило, принимающие устройства обрабатывают по­ступающие IР-пакеты только после прихода последнего фрагмента текущего пакета, поэтому превышение размеров максимально ожидаемой длины приводит к переполнению буферов и зависа­нию ПК.

SYN-бомбардировка

SYN-бомбардировка (SYN-flooding) - способ нарушения работы Internet-сервера. Он достаточно прост в использовании и достаточ­но трудно предотвращается. Но в отличие от "летучей смерти" он основан на слабости транспортного протокола ТСР, т.е. является более высокоуровневым. Смысл SYN-бомбардировки в том, что транспортный протокол ТСР, в отличие от сетевого IР, является надежным протоколом и гарантирует доставку сегмента данных получателю. Это означает, что в случае отсутствия за определен­ный промежуток времени подтверждения от клиента о получении сегмента данных сервер будет посылать этот сегмент снова и сно­ва, пока не получит подтверждение. Этим свойством и пользуются взломщики для вывода из строя узлов Internet.

Данная атака активизируется при запросах с наполовину от­крытыми соединениями и направляется на конкретную службу (telnet или FTP). Результатом осуществления атаки является резкое снижение производительности или аварийное завершение работы системы.

Все ТСР-соединения являются дуплексными: данные следуют в обоих направлениях одновременно. В силу дуплексной природы соединения оба модуля ТСР должны учитывать и нумеровать дан­ные в каждом направлении по-разному, а значит, обрабатывать два начальных номера последовательности. Стандартный клиент, что­бы обратиться к серверу, посылает по его адресу ТСР-сегмент, в заголовке которого присутствует флаг синхронизации (SYN) и 32-битный начальный номер последовательности. Сервер в ответ по­сылает сегмент ТСР с флагом подтверждения (АСК.) и номером подтверждения, кроме того, в этом сегменте содержится флаг син­хронизации (SYN) и начальный номер последовательности на со­единение в направлении сервер-клиент. При получении этого сег­мента клиент отправляет очередной свой сегмент с флагом под­тверждения и номером подтверждения последовательности серве­ра. И только после прихода на сервер подтверждения последова­тельности сервера между сервером и клиентом устанавливается дуплексная ТСР-связь. Однако можно достаточно легко модифи­цировать стандартный драйвер ТСР-протокола на клиентском компьютере, так чтобы он постоянно посылал на сервер сегменты с проставленным флагом синхронизации и различными начальны­ми номерами последовательностей. Тогда в ответ на каждый такой сегмент сервер открывает отдельный канал связи и посылает от­ветные сегменты. ПК злоумышленника же не отвечает на прихо­дящие данные, а только посылает и посылает новые запросы на установление дополнительных каналов связи. В результате чего загрузка атакованного сервера через некоторое время становится пиковой. Легальные пользователи уже не могут свободно пользо­ваться его ресурсами. Сервер становиться полностью недееспосо­бен, т.е. "зависает".

Спуффинг

Спуффинг - это способ НСД к компьютерам, использующий подмену адресов IР-пакетов (syslog). Этот способ достаточно рас­пространен и эффективен. Для его осуществления используются два уровня сетевой модели ОSI: сетевой IР и транспортный ТСР. На сетевом уровне происходит подмена адресов IР-пакета, а на транспортном - подбор начального номера последовательности ТСР-сегментов и задание портов адресации. Конечным результа­том спуффинга является возможность посылки данных (в том чис­ле выполняемых команд) в выбранный злоумышленником порт атакуемого компьютера.

Спуффинг обычно используется как первая часть плана по не­санкционированному получению прав администратора атакуемого

компьютера. Рассмотрим подробнее стандартный план действий злоумыш­ленника X по получению НСД. Предполагается, что в сети суще­ствует некоторый доверительный компьютер, пользователи кото­рого имеют расширенный доступ к атакуемому серверу S.

Этапы спуффинга таковы:

1) злоумышленник определяет IР-адрес доверенного компью­тера Т;

2) злоумышленник легальным образом устанавливает связь с S (для этого не нужно быть зарегистрированным пользователем, так как аутентификация происходит позднее и на более высоком уров­не) и получает начальный номер последовательности "сервер-зло­умышленник" (ISNs1). Этот номер необходим для того, чтобы вы­числить начальный номер последовательности "сервер-доверен­ный компьютер" (ISNs2). Дело в том, что начальный номер после­довательности носит не случайный характер, а изменяется по стро­го определенному закону (правда, сейчас для устранения этой слабости, например, в Windows NТ или Linux, от генерации на­чального номера последовательности неслучайным образом уже отказались). Поэтому, зная начальный номер последовательности одного соединения, можно вычислить начальный номер последо­вательности другого соединения;

3) злоумышленник временно выводит из строя Т (например, направленным штормом запросов), делая это для того, чтобы не дать Т послать S пакет о том, что соединение не было запрошено, иначе S закроет соединение, установленное злоумышленником;

4) злоумышленник инициирует связь с сервером от имени Т (в заголовке IР-пакетов, в поле отправителя сообщения проставляет адрес доверительного компьютера) и вычисляет начальный номер последовательности "сервер-доверительный компьютер" (ISNs2):

X -> S:SYN(ISNx), (обратный адрес: Т);

5) сервер S шлет ответный сигнал компьютеру Т с подтвер­ждением ISNх и своим начальным номером ISNs2:

S -> Т: SYN(ISNs2), АСК(ISNх);

6) злоумышленник, вычисливший ISNs2, отвечает вместо Т: X -> S: АСК(ISNs2), (обратный адрес:T);

7) теперь злоумышленник получил одностороннюю связь с вы­бранным портом сервера и, в принципе, может дистанционно управлять компьютером-целью. Единственное, что ему остается делать, это посылать подтверждения серверу о непреходящих к нему данных, увеличивая каждый раз на единицу значение ISNs2.

Технически более сложным, но и значительно более эффектив­ным, является вариант спуффинга, когда ПК злоумышленника на­ходится на пути трафика между атакуемым сервером и довери­тельным компьютером. В этом случае злоумышленник помещает cвой ПК вблизи одного из участников диалога и перенаправляет маршрут IР-пакетов так, чтобы они шли через его узел. После это­го он производит стандартную процедуру спуффинга, в результате которой получает возможность не только посылать данные серве­ру, но и принимать ответные пакеты.

Спуффинг относится к достаточно изученным способам НСД в систему. Стандартными мерами профилактики спуффинга являют­ся: запрещение сервисов, основанных на аутентификации по IР-адресу источника, и применение пакетных фильтров со следующей настройкой — недопущение в сеть пакетов, посланных извне с ПК, имеющего внутренний сетевой адрес.