4. Навязывание хосту ложного маршрута с помощью протокола icmp для создания в сети ложного маршрутизатора.
Маршрутизация в сети Internetиграет важнейшую роль для обеспечения нормального функционирования сети. Маршрутизация в сетиInternetосуществляется на сетевом уровне (IP-уровень). Для ее обеспечения в памяти сетевой ОС каждого хоста существуют таблицы маршрутизации, содержащие данные о возможных маршрутах. Каждый сегмент сети подключен к глобальной сети Internetчерез как минимум один маршрутизатор, а, следовательно, все ЭВМ в этом сегменте и маршрутизатор должны физически находится в одном сегменте. Поэтому, все пакеты, адресованные в другие сегменты сети, направляются на маршрутизатор, который, в свою очередь, перенаправляет их далее по указанному в пакете IP-адресу, выбирая при этом оптимальный маршрут. Напомним, что в сети Internetдля выбора оптимального маршрута используются специальные протоколы маршрутизации: RIP, OSPF. Рассмотрим, что представляет из себя таблица маршрутизации хоста. В каждой строке этой таблицы содержится описание соответствующего маршрута. Это описание включает:IP-адрес конечной точки маршрута (Destination), IP-адрес соответствующего маршрутизатора (Gateway),а также ряд других параметров, характеризующих этот маршрут. Обычно в системе существует так называемый маршрут по умолчанию (поле Destinationсодержит значение 0.0.0.0,а поле Gateway — IP-адрес маршрутизатора). Этот маршрут означает, что все пакеты, адресуемые на IP-адрес вне пределов данной подсети, будут направляться по указанному по умолчанию маршруту, то есть, на маршрутизатор (это реализуется установкой в поле адреса назначения в Ethernet-пакете аппаратного адреса маршрутизатора).
Как говорилось ранее, в сети Internetсуществует управляющий протокол 1СМР, одной из функций которого является удаленное управление маршрутизацией на хостах внутри сегмента сети. Это необходимо для предотвращения возможной посылки пакетов по неоптимальному маршруту. В сети Internetудаленное управление маршрутизацией реализовано в виде передачи с маршрутизатора на хост управляющего IСМР-сообщения Redirect Message.Изучение протокола IСМРпоказало, что сообщение Redirectбывает двух типов. Первый тип сообщения носит название Redirect Netи уведомляет хост о необходимости смены адреса маршрутизатора, то есть, по умолчанию маршрута. Второй тип —Redirect Hostинформирует хост о необходимости создания нового маршрута к указанному в сообщении хосту и внесения его в таблицу маршрутизации. Для этого в этом сообщении указывается IP-адрес хоста, для которого необходима смена маршрута (адрес будет занесен в полеDestination),и IP-адрес маршрутизатора, на который необходимо направлять пакеты, адресованные данному хосту (этот адрес заносится в поле Gateway).
Анализ исходных текстов ОС Linux 1.2.8показал, что, во-первых, IСМР-сообщение Redirect Netигнорируется данной ОС (это представляется логичным, следовательно, можно сделать вывод, что его игнорируют и другие сетевые ОС), а, во-вторых, единственный параметр, идентифицирующий сообщение IСМР Redirect Host — это IP-адрес отправителя, который должен совпадать с IP-адресом маршрутизатора, так как, это сообщение может передаваться только маршрутизатором.
Для осуществления этой удаленной атаки необходимо подготовить ложное ICMP-сообщение Redirect Host,в котором указать конечный IP-адресмаршрута (Destination)и IP-адрес ложного маршрутизатора. Далее, это сообщение посылается на атакуемый хост от имени маршрутизатора. Для этого в IP-заголовке в поле адреса отправителя указывается IP-адрес маршрутизатора. После этого весь трафик между атакуемым хостом и интересующим атакующего сервером оказывается под контролем на ложном маршрутизаторе и атака перейдет во вторую стадию, связанную с приемом, анализом и передачей пакетов, получаемых от обманутых хостов. Данная стадия атаки полностью совпадает со второй стадией типовой атаки ложный сервер.Рассмотрим схему осуществления второй стадии атаки, связанной с приемом и передачей пакетов на ложном маршрутизаторе:
— если пришел ARP-запрос от атакуемого хоста, то посылается ARP-ответ;
— если пришел пакет от атакуемого хоста, то он переправляется на настоящий маршрутизатор;
— если пришел пакет от маршрутизатора, то он переправляется на атакуемый хост;
— при приеме пакета возможно воздействие на информацию по схеме ложный сервер.
Данная удаленная атака была осуществлена на практике на примере ОС Linux 1.2.8и ОС Windows 95и показала своя работоспособность.
- Сборник информационных материалов по курсу «Защита информации и информационная безопасность»
- Вопрос 1.
- Основные понятия безопасности компьютерных систем.
- Современные программные угрозы информационной безопасности.
- Компьютерные вирусы.
- Троянские кони (программные закладки).
- Средства нарушения безопасности компьютерных сетей
- Вопрос 2.
- Угроза раскрытия
- Угроза целостности
- Угроза отказа служб
- Субъекты, объекты и доступ
- Уровни безопасности, доверие и секретность
- Вопрос 3.
- Объектно-концептуальная модель рпс.
- Пространство отношений доступа к объектам вс.
- Использование понятия легитимности при построении модели безопасности вс.
- Вопрос 4. Классификация удаленных атак на компьютерные сети Понятие удаленной атаки
- Вопрос 5. Политики и модели безопасности
- Модели дискретного доступа
- Модели мандатного доступа
- Модель Белла и Лападула
- Удаленное чтение
- Доверенные субъекты
- Проблема системы z
- Модель системы безопасности с полным перекрытием
- Модели контроля целостности
- Модель понижения уровня субъекта
- Модель понижения уровня объекта
- Объединение моделей безопасности
- Проблемы контроля целостности ядра системы
- Вопросы 6 и 7. Методы анализа безопасности программного обеспечения.
- Контрольно-испытательные методы анализа безопасности по.
- Логико-аналитические методы анализа безопасности по.
- Вопрос 8. Анализ novell netware с точки зрения таксономии причин нарушения информационной безопасности
- Неправильное внедрение модели безопасности
- 1. Отсутствие подтверждения старого пароля при его смене.
- 2. Недостатки в реализации опций Intruder detection и Force periodic password changes.
- 3. Слабое значение идентификатора супервизора.
- 4. Право на создание файлов в каталоге sys:mail.
- 5. Ненадежность атрибута «только для выполнения».
- 6. Получение прав пользователя сервером очереди.
- 1. Возможность обращения хэш-функции
- 2. Атака с использованием сервера печати.
- 3. Использование состояния отсутствия информации.
- 1. Приведение базы данных связок в неработоспособное состояние.
- 2. Недостатки механизма подписи пакетов.
- 1. Передача нешифрованных паролей программой syscon.
- Ошибки в администрировании системы
- 1. Наличие права на запись в системный каталог
- 2. Наличие права на чтение sys:system
- Вопросы 9-10. Механизмы реализации основных типов удаленных атак
- 1. Анализ сетевого трафика.
- 6. Сетевой червь (worm).
- Вопрос 11. Удаленные атаки на ос novell netware 3.12
- 2. Ложный сервер сети Novell NetWare 3.12.
- Вопрос 13. Удаленные атаки на хосты internet
- 1. Исследование сетевого трафика сети Internet.
- 2. Ложный arp-сервер в сети Internet.
- 3. Ложный dns-сервер.
- 4. Навязывание хосту ложного маршрута с помощью протокола icmp для создания в сети ложного маршрутизатора.
- 5. Подмена одного из участников сетевого обмена в сети при использовании протокола tcp.
- 6. Использование недостатков идентификации tcp-пакетов для атаки на rsh-сервер.
- Вопросы 14 – 16. Использование систем firewall
- Достоинства применения Firewall.
- Недостатки, связанные с применением Firewall.
- Структура и функционирование Firewall.
- Принципы работы Firewall.
- Режим доступа к службам.
- Усиленная аутентификация.
- Фильтрация пакетов.
- Шлюзы прикладного и сетевого уровня.
- Вопросы 17-21. Основные схемы защиты на основе Firewall.
- Firewall — маршрутизатор с фильтрацией пакетов.
- Firewallна основе шлюза.
- Экранированный шлюз.
- Firewall –экранированная подсеть.
- Объединение модемного пула с Firewall
- Вопрос 22. Особенности защиты сетей на основе Firewall
- Этапы разработки политики доступа к службам.
- Гибкость политики.
- Обеспечение Firewall.
- Администрирование Firewall.