logo search
шпоры БВС

Вопрос 10. Сетевые атаки. Пассивные атаки, sniffing. Методы защиты.

Пассивные атаки Прослушивание сетей. Другое название пассивных атак — прослушивание сети, или сниффинг (англ. sniffing). Различают два вида прослушивания — межсегментный (когда хосты, обменивающиеся данными, находятся в различных сегментах сети) и внутрисегментный (когда информационный поток идет между двумя хостами внутри одного сегмента). В первом случае злоумышленник должен разместить устройство прослушивания в таком месте, где он сможет гарантированно иметь возможность копирования — у выхода из первого сегмента (у шлюза), у входа во второй сегмент, либо у одного из передающих промежуточных устройств (при условии, что сетевой трафик не имеет альтернативных каналов доставки). Поскольку в этом случае трафик не может миновать злоумышленника, его задача облегчается — он может анализировать на выбор любой из уровней сетевой модели (обычно от сетевого и выше). Немного остановимся на рассуждениях о том, какой уровень сетевой модели наиболее интересен для злоумышленника. Больше всего значимой информации расположено на верхнем, прикладном уровне. Скажем, если злоумышленник имеет возможность перехватывать пакеты незащищенных Telnet-сессий, то скорее всего, рано или поздно, он получит аутентификационные данные (идентификатор и пароль) пользователя, работающего с Telnet-сервером. Анализ транспортных пакетов предоставит возможность узнать, какие службы функционируют на взаимодействующих хостах. Рассмотрение сетевого уровня может дать картину адресного пространства сегментов. Поскольку основным средством защиты от прослушивания является шифрование, необходимо определиться, на каком уровне производить применение криптографических механизмов. Скажем, если исходящие из сегментного шлюза пакеты направлены только Веб-серверу (возможно еще DNS и почтовому серверу), а сам шлюз выполняет функцию сокрытия адресов, то применять шифрацию можно только на прикладном уровне. А если идет взаимодействие между управляющим и управляемым хостами (например, по протоколу SNMP), то защиту необходимо применять на сетевом уровне. Во втором случае злоумышленнику не обязательно находиться на одном кабеле с хостом, он может использовать свойства работы протоколов канального уровня (например, Ethernet). В сетях подобной топологии сразу несколько (обычно около 10—20) сетевых карт подключено к одному и тому же носителю информации — сетевому кабелю. Каждый пакет, переданный в сети, поступает таким образом на вход каждой сетевой карты. Только после сравнения физического адреса карты получателя (так называемый МАС-адрес, от англ. Media Access Controller — контроллер доступа к среде передачи), указанного в заголовке пакета, с собственным МАС-адресом сетевая карта принимает решение — если предназначался этот пакет. Один из служебных регистров драйвера сетевой карты определяет, должна ли она передавать на более высокий уровень только пакеты, предназначенные ей (штатный режим), либо же все пакеты, прошедшие по сети (англ. promiscuous mode — дословно "неразборчивый режим"). Программы-снифферы переводят сетевую карту во второй режим и, таким образом, получают все пакеты, проходящие по подключенному сетевому кабелю. Пассивное – называется воздействие, которое не оказывает непосредственное влияние на функционирование системы, но может нарушить ее ПБ. Подобное воздействие практически невозможно обнаружить. Относятся: анализ трафика, прослушка канала связи.

Классификация средств сетевой защиты - В статье 274 УК 2 года тюрьмы, либо исправительные работы, либо отстранение от деятельности. Административные методы защиты от сетевых атак:

1) Защита от анализа сетевого трафика. Основными средствами защиты IP пакетов, входящих за пределы сети (IPSec). Защита конкретных информационных ресурсов с помощью встроенных средств в приложение (SSL, Opop);

2) Защита от ложного ARP-сервера (ARP-spoofing). Основные методы защиты – это создание статической ARP-таблицы в виде файла, куда необходимо занести всю необходимую информацию о нужных IP и МАС адресах;

3) Защита от ложного DNS сервера. Внутри локальной сети для защиты можно установить внутренний DNS-сервер, который содержал бы статические записи о наиболее критичных посещаемых узлом сети Интернет;

4) Защита от DOS-атак. Основной метод защиты – использовать как можно более мощные компьютеры. На критичных узлах сети. Защищенная сетевая ОС.

Программно-аппаратные методы защиты от удаленных атак

1) Аппаратные шифраторы сетевого трафика;

2) Использование межсетевых экранов, как программных, так и программно-аппаратных;

3) Защищенные сетевые криптопротоколы;

4) Программно-аппаратный анализатор сетевого трафика;

5) Защищенная сетевая ОС;

6) Защищенные системы аутентификации сетевых ресурсов (Керберс).

Вопрос. 11. Сетевые атаки. Атаки на уровне IP. Микрофрагментация. Перекрытие фрагментов.

1) микрофрагменты

Атака позволяет установить соединении на уровне ТСР с узлом, находящимся под защитой пакетного фильтра, отбрасывающего ТСР пакеты с флагом SYN.

Атака реализуется следующим образом: минимальный размер пакета IP, который можно передать без фрагментации, равен 68 байтам.

Пакетные фильтры работают следующим образом: если они принимают фрагментированный IP пакет, то правила, установленные для 1-го фрагмента будут применяться по всем остальным пакетам по умолчанию.

Следовательно, флаг SYN будет пропущен фильтром и остальные пакеты с флагом SYN. Пакет из фрагментов будет собран на узле жертвы и исполнен, тогда, с узлом жертвы будет установлено соединение на уровне ТСР.

2) перекрытие пакетов

Правило фрагментации таково, что если последующий фрагмент по смещению перекрывает ранее полученный, он его перезаписывает поверх.

1-й фрагмент содержит нулевое значение флагов. 2-й – часть заголовка ТСР, начиная с Data offset с установленным флагом SYN, причем смещение фрагментов в заголовке IPуказывает, что смещение начинается с 13 байта.

1-й пакет пропускается, 2-й поверх 1-го, а при сборе формируется SYN, тогда с узлом жертвы образуется соединение на уровне ТСР.