АКР-sрооfing или ложный АRР-сервер

В Internet для нахождения адреса сетевого адаптера использу­ется протокол АRР (Address Resolution Ргоtосоl), который позволя­ет получить взаимно однозначное соответствие IР- и Еthernet- адресов для хостов, находящихся внутри одного сегмента. Это достигается следующим образом: при первом обращении к сете­вым ресурсам хост отправляет широковещательный АRР-запрос на Еthernet- адрес FFFFFFFFFFFFh, в котором указывает IР-адрес маршрутизатора и просит сообщить его свой Еthernet-адрес (IР-адрес маршрутизатора — обязательный параметр, который всегда устанавливается вручную при настройке любой сетевой ОС в Internet). Этот широковещательный запрос получат все станции в данном сегменте интрасети, в том числе, и маршрутизатор. Полу­чив данный запрос, маршрутизатор внесет запись о запросившем хосте в свою АRР-таблицу, а, затем, отправит на запросивший хост АRР-ответ, в котором сообщит свой Еthernet-адрес. Полученный в АRР-ответе Еthernet-адрес будет занесен в АRР-таблицу, находя­щуюся в памяти ОС на запросившем хосте и содержащую записи соответствия IР- и Еthernet-адресов для хостов внутри одного сег­мента. В случае адресации к хосту, расположенному в той же под­сети, также используется АRР-протокол и рассмотренная схема полностью повторяется.

При использовании в распределенной сети алгоритмов удален­ного поиска имеется возможность осуществления ТУА, связанной с внесением в систему ложного объекта. Перехватив на атакую­щем хосте внутри данного сегмента интрасети широковещатель­ный АRР-запрос, можно послать ложный АКР-ответ, в котором объявить себя искомым хостом, (например, маршрутизатором), и, в дальнейшем, активно контролировать и воздействовать на сетевой трафик "обманутого" хоста по схеме "Ложный объект распре­деленной сети". Необходимо обратить внимание, что данная УА возможна только в сети с широковещательной средой передачи (типа Еthernet) и является внутрисегментной. (Стать ложным АRР-сервером довольно просто. Например, и в ОС Solaris, и в Linux имеется команда arp, которая, кроме всего прочего, как раз и пред­назначена для этой цели.)

Рассмотрим обобщенную функциональную схему ложного АRР-сервера:

· ожидание АRР-запроса;

· при получении АRР-запроса передача по сети на запросив­ший хост ложного АRР-ответа, в котором указывается адрес сете­вого адаптера атакующей станции (ложного АRР-сервера) или тот Еthernet-адрес, на котором будет принимать пакеты ложный АRР-сервер;

· прием, анализ, воздействие и передача пакетов обмена ме­жду взаимодействующими хостами.

Проблемы здесь, в первую очередь, связаны с тем, что даже очень квалифицированные сетевые администраторы и программи­сты не знают либо не понимают тонкостей работы протокола АRР. При обычной настройке сетевой ОС, поддерживающей протоколы ТСР/IР, не требуется настройка модуля АRР. Поэтому протокол АRР остается, как бы скрытым для администраторов. Обратим также внимание на тот факт, что у маршрутизатора тоже имеется АRР-таблица, в которой содержится информация о IР- и соответ­ствующих им Еthernet-адресах всех хостов из сегмента интрасети, подключенного к маршрутизатору.

IP-Hijacking

При этой атаке злоумышленник перехватывает весь сетевой поток, модифицируя его и фильтруя произвольным образом. Ме­тод является комбинацией "подслушивания" и IР-spoofing. Необходимые условия атаки — злоумышленник должен иметь доступ к ПК, находящемуся на пути сетевого потока, и обладать достаточными правами на нем для генерации и перехвата IР-пакетов.

Существует возможность ввести соединение в. "десинхронизи­рованное состояние", когда присылаемые сервером Sequence Number и АСК не будут совпадать с ожидаемым значением клиен­та, и наоборот. В данном случае злоумышленник, "прослушивая" линию, может взять на себя функции посредника, генерируя кор­ректные пакеты для клиента и сервера и перехватывая их ответы.

Этот метод позволяет полностью обойти такие системы защи­ты, как, например, одноразовые пароли, поскольку злоумышлен­ник начинает работу уже после того, как произойдет авторизация пользователя.

Есть два способа рассинхронизировать соединение.

1). Ранняя десинхронизация. Соединение десинхронизируется на стадии его установки:

· злоумышленник прослушивает сегмент сети, по которому будут проходить пакеты интересующей его сессии;

· дождавшись пакета S-SYN от сервера, он высылает серверу пакет типа RST (сброс), конечно, с корректным Sequence Number, и, немедленно, вслед за ним фальшивый C-SYN-пакет от имени клиента;

· сервер сбрасывает первую сессию и открывает новую, на том же порту, но уже с новым Sequence Number, после чего посы­лает клиенту новый S-SYN-пакет;

· клиент игнорирует S-SYN-пакет, однако злоумышленник, прослушивающий линию, высылает серверу S-АСК-пакет от име­ни клиента;

· итак, клиент и сервер находятся в состоянии ESTABLISHED, однако сессия десинхронизирована.

Естественно, 100 % срабатывания у этой схемы нет, например, она не застрахована от того, что по дороге не потеряются какие-то пакеты, посланные злоумышленником. Для корректной обработки этих ситуаций программа должна быть усложнена.

2). Десинхронизация нулевыми данными. В данном случае зло­умышленник прослушивает сессию и в какой-то момент посылает серверу пакет с "нулевыми" данными, т.е. такими, которые факти­чески будут проигнорированы на уровне прикладной программы и не видны клиенту. Аналогичный пакет посылается клиенту. Очевидно, что после этого сессия переходит в десинхро­низированное состояние. Одна из проблем IР Hijacking заключается в том, что любой пакет, высланный в момент, когда сессия находится в десинхрони­зированном состоянии, вызывает так называемую АСК-бурю. На­пример, пакет выслан сервером, и для клиента он является непри­емлемым, поэтому тот отвечает АСК-пакетом. Реакцией на этот неприемлемый уже для сервера пакет становится получение кли­ентом очередного ответа... И так до бесконечности. Современные сети строятся по технологиям, когда допускается потеря отдель­ных пакетов. Поскольку АСК-пакеты не несут данных, повторных передач не происходит и "буря стихает".

Есть несколько способов детектирования данной атаки. На­пример, можно реализовать ТСРЛР-стек, которые будут контроли­ровать переход в десинхронизированное состояние, обмениваясь информацией о Зециепсе Нитоег/АСК. Однако в данному случае нет страховки от злоумышленника, меняющего и эти значения. Поэтому более надежным способом является анализ загруженно­сти сети, отслеживание возникающих АСК-бурь. Это можно реа­лизовать при помощи конкретных средств контроля за сетью.

Если злоумышленник не поддерживает десинхронизированное соединение до его закрытия или не фильтрует вывод своих ко­манд, это также будет сразу замечено пользователем. К сожалению, подавляющее большинство просто откроют новую сессию, не обращаясь к администратору.

Стопроцентную защиту от данной атаки обеспечивает шифро­вание ТСР/IР-трафика.

Следует заметить, что метод также не срабатывает на некото­рых конкретных реализациях ТСР/IР.