Полезное:
Как сделать разговор полезным и приятным
Как сделать объемную звезду своими руками
Как сделать то, что делать не хочется?
Как сделать погремушку
Как сделать так чтобы женщины сами знакомились с вами
Как сделать идею коммерческой
Как сделать хорошую растяжку ног?
Как сделать наш разум здоровым?
Как сделать, чтобы люди обманывали меньше
Вопрос 4. Как сделать так, чтобы вас уважали и ценили?
Как сделать лучше себе и другим людям
Как сделать свидание интересным?
Категории:
АрхитектураАстрономияБиологияГеографияГеологияИнформатикаИскусствоИсторияКулинарияКультураМаркетингМатематикаМедицинаМенеджментОхрана трудаПравоПроизводствоПсихологияРелигияСоциологияСпортТехникаФизикаФилософияХимияЭкологияЭкономикаЭлектроника
|
Нападения с использованием сетевых протоколов
Много угроз несет с собой передача специальных пакетов, которые либо содержат неверную информацию, либо были преднамеренно искажены. Пакеты стандарта ТСР/IР имеют специфический порядок байтов, размер и строго определенные поля. В большинстве случаев неправильно составленный пакет будет игнорироваться и отрабатываться либо сетевым интерфейсом, либо маршрутизатором где-нибудь на пути от источника пакета к адресату. Однако в прошлом неправильно организованные пакеты вызывали причудливое поведение либо адресата, либо маршрутизатора, встречающегося на пути. Вследствие некоторых ошибок маршрутизаторов в прошлом пакеты, состоящие из одних единиц (либо нулей), значительно замедляли работу маршрутизаторов, поскольку устройство "решало", что делать с этими странными данными. Пока маршрутизатор "решал", что делать, другие пакеты продолжали прибывать, в конечном счете, забивая имеющийся буфер маршрутизатора. Это приводило к тому, что на другие пакеты не посылалось уведомление о приеме, вынуждая хост посылать их снова и снова. В некоторых случаях, когда буфер маршрутизатора заполнялся, последний либо зависал, либо просто перезапускался. Очевидно, что и то, и другое весьма нежелательно. Производители маршрутизаторов продолжают вести обширную проверку надежности своих изделий перед выпуском их на рынок, однако ошибки все еще могут иметь место. Активные атаки можно разделить на две части. В первом случае злоумышленник предпринимает определенные шаги для перехвата и модификации сетевого потока или попыток "притвориться" другой системой. Во втором случае протокол ТСР/IР используется для того, чтобы привести систему-жертву в нерабочее состоянии. Обладая достаточными привилегиями в UNIX (или попросту используя DOS или Windows, не имеющие системы ограничений пользователей), злоумышленник может вручную формировать IP-пакеты и передавать их по сети. Естественно, поля заголовка пакета могут быть сформированы произвольным, образом. Получив такой пакет, невозможно выяснить откуда реально он был получен, поскольку пакеты не содержат пути их прохождения. Рассмотрим несколько конкретных примеров, поясняющих принцип осуществления нападения с использованием сетевых протоколов. "Летучая смерть" "Летучая смерть" (Ping о“Death) - такое название получил достаточно простой способ выведения из строя узлов сети Internet, широко распространенный в последнее время. Результатом атаки является зависание атакуемого сервера, иначе называемого "сервер пели". Примечательно, что для осуществления атаки нужно знать только IР-адрес атакуемого устройства, который в подавляющем большинстве случаев не является секретным. Смысл атаки основан на том факте, что согласно RFС-791 (Request for Comment -специальные документы, выпускаемые Сетевым информационным центром Network Information Center) максимальный размер IР-пакета ограничен размером в 65535 байт. Для хранения такого максимального размера пакета в IР-заголовке отведено 16 бит и на такую максимальную величину рассчитано существующее ПО. Это ограничение максимальной длины злоумышленник может попробовать обойти. Дело в том, что более нижний, чем сетевой уровень IР, уровень соединения инкапсулирует IР-датаграммы в кадры собственной спецификации (например, Еthernet). Датаграмма, один из двух возможных способов межкомпьютерного обмена данными - это сообщение, которое не требует подтверждения о приеме от принимающей стороны. При этом сетевой уровень (IР) фрагментирует IР-датаграмму на несколько пакетов, соответствующих максимальному размеру пакета уровня соединения, размер которого ограничен спецификацией уровня соединения (1500 байт в Еthernet). В поле заголовка IР-пакета имеется флаг "фрагмент-продолжение", который во время фрагментации IР устанавливает в "1" во всех фрагментах, кроме последнего. В последнем фрагменте данных бит равен нулю. Кроме того, IР размещает в заголовке фрагмента - в поле смещения фрагмента - смещение данного фрагмента от начала исходного IР-пакета. Максимальное смещение при этом равно 65528 байт. Таким образом, если во фрагменте IР-датаграммы выставить флаг продолжения и подцепить вторую датаграмму, то можно получить результирующую датаграмму, размер которой будет превышать максимально допустимый (например: смещение 65528 + продолжение 1500 = 67028 > 65535). Как правило, принимающие устройства обрабатывают поступающие IР-пакеты только после прихода последнего фрагмента текущего пакета, поэтому превышение размеров максимально ожидаемой длины приводит к переполнению буферов и зависанию ПК. SYN-бомбардировка SYN-бомбардировка (SYN-flooding) - способ нарушения работы Internet-сервера. Он достаточно прост в использовании и достаточно трудно предотвращается. Но в отличие от "летучей смерти" он основан на слабости транспортного протокола ТСР, т.е. является более высокоуровневым. Смысл SYN-бомбардировки в том, что транспортный протокол ТСР, в отличие от сетевого IР, является надежным протоколом и гарантирует доставку сегмента данных получателю. Это означает, что в случае отсутствия за определенный промежуток времени подтверждения от клиента о получении сегмента данных сервер будет посылать этот сегмент снова и снова, пока не получит подтверждение. Этим свойством и пользуются взломщики для вывода из строя узлов Internet. Данная атака активизируется при запросах с наполовину открытыми соединениями и направляется на конкретную службу (telnet или FTP). Результатом осуществления атаки является резкое снижение производительности или аварийное завершение работы системы. Все ТСР-соединения являются дуплексными: данные следуют в обоих направлениях одновременно. В силу дуплексной природы соединения оба модуля ТСР должны учитывать и нумеровать данные в каждом направлении по-разному, а значит, обрабатывать два начальных номера последовательности. Стандартный клиент, чтобы обратиться к серверу, посылает по его адресу ТСР-сегмент, в заголовке которого присутствует флаг синхронизации (SYN) и 32-битный начальный номер последовательности. Сервер в ответ посылает сегмент ТСР с флагом подтверждения (АСК.) и номером подтверждения, кроме того, в этом сегменте содержится флаг синхронизации (SYN) и начальный номер последовательности на соединение в направлении сервер-клиент. При получении этого сегмента клиент отправляет очередной свой сегмент с флагом подтверждения и номером подтверждения последовательности сервера. И только после прихода на сервер подтверждения последовательности сервера между сервером и клиентом устанавливается дуплексная ТСР-связь. Однако можно достаточно легко модифицировать стандартный драйвер ТСР-протокола на клиентском компьютере, так чтобы он постоянно посылал на сервер сегменты с проставленным флагом синхронизации и различными начальными номерами последовательностей. Тогда в ответ на каждый такой сегмент сервер открывает отдельный канал связи и посылает ответные сегменты. ПК злоумышленника же не отвечает на приходящие данные, а только посылает и посылает новые запросы на установление дополнительных каналов связи. В результате чего загрузка атакованного сервера через некоторое время становится пиковой. Легальные пользователи уже не могут свободно пользоваться его ресурсами. Сервер становиться полностью недееспособен, т.е. "зависает". Спуффинг Спуффинг - это способ НСД к компьютерам, использующий подмену адресов IР-пакетов (syslog). Этот способ достаточно распространен и эффективен. Для его осуществления используются два уровня сетевой модели ОSI: сетевой IР и транспортный ТСР. На сетевом уровне происходит подмена адресов IР-пакета, а на транспортном - подбор начального номера последовательности ТСР-сегментов и задание портов адресации. Конечным результатом спуффинга является возможность посылки данных (в том числе выполняемых команд) в выбранный злоумышленником порт атакуемого компьютера. Спуффинг обычно используется как первая часть плана по несанкционированному получению прав администратора атакуемого компьютера. Рассмотрим подробнее стандартный план действий злоумышленника X по получению НСД. Предполагается, что в сети существует некоторый доверительный компьютер, пользователи которого имеют расширенный доступ к атакуемому серверу S. Этапы спуффинга таковы: 1) злоумышленник определяет IР-адрес доверенного компьютера Т; 2) злоумышленник легальным образом устанавливает связь с S (для этого не нужно быть зарегистрированным пользователем, так как аутентификация происходит позднее и на более высоком уровне) и получает начальный номер последовательности "сервер-злоумышленник" (ISNs1). Этот номер необходим для того, чтобы вычислить начальный номер последовательности "сервер-доверенный компьютер" (ISNs2). Дело в том, что начальный номер последовательности носит не случайный характер, а изменяется по строго определенному закону (правда, сейчас для устранения этой слабости, например, в Windows NТ или Linux, от генерации начального номера последовательности неслучайным образом уже отказались). Поэтому, зная начальный номер последовательности одного соединения, можно вычислить начальный номер последовательности другого соединения; 3) злоумышленник временно выводит из строя Т (например, направленным штормом запросов), делая это для того, чтобы не дать Т послать S пакет о том, что соединение не было запрошено, иначе S закроет соединение, установленное злоумышленником; 4) злоумышленник инициирует связь с сервером от имени Т (в заголовке IР-пакетов, в поле отправителя сообщения проставляет адрес доверительного компьютера) и вычисляет начальный номер последовательности "сервер-доверительный компьютер" (ISNs2): X -> S:SYN(ISNx), (обратный адрес: Т); 5) сервер S шлет ответный сигнал компьютеру Т с подтверждением ISNх и своим начальным номером ISNs2: S -> Т: SYN(ISNs2), АСК(ISNх); 6) злоумышленник, вычисливший ISNs2, отвечает вместо Т: X -> S: АСК(ISNs2), (обратный адрес:T); 7) теперь злоумышленник получил одностороннюю связь с выбранным портом сервера и, в принципе, может дистанционно управлять компьютером-целью. Единственное, что ему остается делать, это посылать подтверждения серверу о непреходящих к нему данных, увеличивая каждый раз на единицу значение ISNs2. Технически более сложным, но и значительно более эффективным, является вариант спуффинга, когда ПК злоумышленника находится на пути трафика между атакуемым сервером и доверительным компьютером. В этом случае злоумышленник помещает cвой ПК вблизи одного из участников диалога и перенаправляет маршрут IР-пакетов так, чтобы они шли через его узел. После этого он производит стандартную процедуру спуффинга, в результате которой получает возможность не только посылать данные серверу, но и принимать ответные пакеты. Спуффинг относится к достаточно изученным способам НСД в систему. Стандартными мерами профилактики спуффинга являются: запрещение сервисов, основанных на аутентификации по IР-адресу источника, и применение пакетных фильтров со следующей настройкой — недопущение в сеть пакетов, посланных извне с ПК, имеющего внутренний сетевой адрес. Date: 2016-08-30; view: 469; Нарушение авторских прав |