Понятие типовой удаленной атаки. Ложный объект РВС

Инф-ная атака на комп систему представляет собой действие, предпринимаемое злоумыш через сеть Internet, кот заключается в поиске и исп уязвимости данной системы. Удаленные атаки характерны, тем, что злоумыш м находиться за тысячи километров от атакуемого объекта, и тем, что нападению м подвергаться не конкретный комп, а инф, передающаяся по сетевым соединениям. Типовая удал атака - это удаленное инф-ное разрушающее воздействие, программно осуществляемое по каналам связи и характерное для любой распред ВС.

Если в РВС не решены проблемы идентификации сетевых управляющих устройств (напр, маршр-ов), возникающие при взаимод этих устройств с объектами системы, то подобная РВС м подвергнуться типовой удал атаке, связ с ∆ маршрутизации и внедрением в систему ложного объекта. + Внедрить такой объект м, если инфраструктура предусматр исп алгоритмов удаленного поиска ® сущест 2 принципиально разные причины, обусловлив появление «ложного объекта РВС»: внедрение путем навязывания ложного маршрута; внедрение путем исп недостатков алгоритмов удаленного поиска.

Маршрут - последовательность узлов сети, по кот данные передаются от ист к приемнику, маршрутизация - выбор маршрута. Все роутеры имеют спец таблицу, называемую таблицей маршрутизации, в кот для каждого адресата указывается оптимальная послед-сть узлов. Для обеспеч эффективной маршрутизации в РВС применяются спец управляющие протоколы, позволяющие роутерам обмениваться инф друг с другом, – RIP, OSPF (Open Shortest Path First); уведомлять хосты о новом маршруте, – ICMP; удаленно управлять маршрутизаторами, – SNMP. Все эти протоколы позволяют удаленно изменять маршр-ию в Internet- протоколы управления сетью.

Основная цель атаки – ∆ исходную маршрутизацию на объекте РВС так, чтобы новый маршрут проходил через ложный объект – хост атакующего.

Реализация угрозы «внедрение путем навязывания ложного маршрута» состоит в несанкц исп протоколов управления сетью для ∆ исходных таблиц маршрутизации, для чего атакующему необходимо послать по сети спец служебные сообщ, определенные данными протоколами, от имени сетевых управляющих устройств (роутеров). В результате успешного изменения маршрута атакующий получит полный контроль над потоком инф, которой обмениваются два объекта РВС, и атака перейдет во вторую стадию, связанную с приемом, анализом и передачей сообщений, получаемых от дезинформированных объектов РВС.

Внедрение путем исп недостатков алгоритмов удаленного поиска. Объекты РВС обычно имеют не всю необх для адресации сообщений инф, под кот понимаются аппар (адрес сет адаптера) и логич адреса (напр, IP-адрес) объектов РВС. Для получения подобной инф в РВС используются различные алгоритмы удаленного поиска, заключающиеся в передаче по сети спец вида поисковых запросов и в ожидании ответов на них. Полученных таким образом сведений об искомом объекте запросившему субъекту РВС достаточно для послед адресации к нему. Примером сообщений, на которых базируются алгоритмы удаленного поиска, могут служить ARP– и DNS-запросы в Internet.

Существуют 2 типа поисковых запросов: широковещ и направленный. Широковещ поисковый запрос получают все объекты в Сети, но только искомый объект отсылает в ответ нужную инф. Поэтому, чтобы избежать перегрузки Сети, подобный механизм запросов исп-ся обычно внутри одного сетевого сегмента, если не хватает инф для адресации на канальном уровне OSI. Направленный поисковый запрос передается на один (неск) специально выделенный для обработки подобных запросов сетевой объект (напр, DNS-сервер) и применяется при межсегментном поиске в том случае, когда не хватает инф для адресации на сетевом уровне OSI.

При исп РВС механизмов удаленного поиска реализация данной типовой угрозы состоит в перехвате поискового запроса и передаче в ответ на него ложного сообщ, где указываются данные, исп которых приведет к адресации на атакующий ложный объект®в дальнейшем весь поток инф между субъектом и объектом взаимодействия будет проходить через ложный объект РВС.

Другой вариант реализации данной угрозы состоит в периодической передаче на атакуемый объект заранее подготовленного ложного ответа без приема поискового запроса. Взломщик м спровоцировать атакуемый объект на передачу поискового сообщения, обеспечив тем самым успех своему ложному ответу. Данная типовая удал атака характерна для глобальных сетей, когда атакующий и его цель находятся в разных сегментах и возможности перехватить поисковый запрос не существует.

Ложный объект РВС – активное воздействие, совершаемое с целью нарушения конфиденциальности и целостности инф, кот м являться атакой по запросу от атакуемого объекта, а также безусловной атакой.

Получив контроль над проходящим потоком инф между объектами, ложный объект РВС может применять различные методы воздействия на перехваченную инф. В связи с тем, что внедрение в РВС ложного объекта является целью многих удаленных атак и представляет серьезную угрозу безопасности РВС в целом. Методы воздействия на инф, перехваченную ложным объектом:

1. сохранение инф

2. модификация (∆ передаваемого кода – внедрение разрушающих программных средств/изменение логики работы исполняемого файла; ∆ данных – частичное искажение)

3. подмена (полная)

Протокол TCP.

TCP обеспеч свою надежность:

- Данные от приложения разбиваются на блоки определенного размера, которые будут отправлены.

- Когда TCP посылает сегмент, он устанавливает таймер, ожидая, что с удаленного конца придет подтверждение на этот сегмент. Если подтверждение не получено по истечении t, сегмент передается повторно.

- TCP осуществляет расчет контрольной суммы для своего заголовка и данных. Cумма, рассчитываемая на концах соединения, целью которой является выявить любое ∆ данных в процессе передачи. Если сегмент прибывает с неверной контрольной суммой, TCP отбрасывает его и подтверждение не генер-ся. (Ожидается, что отправитель отработает тайм-аут и осуществит повторную передачу.)

- Так как TCP сегменты передаются в виде IP-датаграмм, а IP-датаграммы м прибывать беспорядочно®беспорядочно м прибывать и TCP-сегменты. После получения данных TCP м по необходимости ∆ их послед-сть, в результате приложение получает данные в правильном порядке.

-Так как IP-датаграмма м б продублирована, принимающий TCP д отбрасывать продублированные данные.

- TCP осущ контроль потока данных. Каждая сторона TCP соединения имеет опред пространство буфера. TCP на принимающей стороне позволяет удаленной стороне посылать данные только в том случае, если получатель м поместить их в буфер. Это предотвращает от переполнения буферов медленных хостов быстрыми хостами.

Для отслеживания подтверждения доставки в TCP реализуется алгоритм "скользящего" окна. Примером прикладного процесса, исп-ющего ветвь TCP, м служить FTP, при этом будет работать стек протоколов ftp/tcp/ip/ethernet или telnet (сет пр для реализации текстового интерфейса по сети).

Формат TCP-сегмента:

Код позиции в сообщении определяет порядковый № первого октета в поле данных пользователя. HLEN определяет длину заголовка сегмента, кот измеряется в 32-разрядных словах. Размер окна сообщает, сколько октетов готов принять получатель.

Поле данные в TCP-сегменте может и отсутствовать, характер и формат передаваемой информации задается исключительно прикладной программой, максимальный размер этого поля составляет в отсутствии опций 65495 байт.

Установление связи клиент-сервер осуществляется в три этапа: 1. Клиент посылает SYN-сегмент с указанием № порта сервера, который предлагается использовать для организации канала связи. 2. Сервер откликается, посылая свой SYN-сегмент, содержащий идентификатор (ISN). 3. Клиент отправляет подтверждение получения syn-сегмента от сервера с id равным ISN (сервера)+1.

Завершение соединения рассмотр в 3 этапа: 1. Посылка серверу от клиента флага FIN на завершение соединения. 2. Сервер посылает клиенту флаги ответа ACK , FIN, что соединение закрыто. 3. После получения этих флагов клиент закрывает соед и в подтверждение отправляет серверу ACK , что соединение закрыто.

TCP требует явного указания мах размера сегмента (MSS) в случае, если вирт соединение осущ-ся через сегмент сети, где мах размер блока (MTU) менее, чем стандартный MTU Ethernet (1500 байт).

Недостатки протокола проявляются в успешных теоретических и практических атаках, при которых злоумыш м получить доступ к передаваемым данным, выдать себя за другую сторону или привести систему в нерабочее состояние.