Понятие типовой удаленной атаки. Отказ в обслуживании

Инф-ная атака на комп систему представляет собой действие, предпринимаемое злоумыш через сеть Internet, кот заключается в поиске и исп уязвимости данной системы. Удаленные атаки характерны, тем, что злоумыш м находиться за тысячи километров от атакуемого объекта, и тем, что нападению м подвергаться не конкретный комп, а инф, передающаяся по сетевым соединениям. Типовая удал атака - это удаленное инф-ное разрушающее воздействие, программно осуществляемое по каналам связи и характерное для любой распред ВС.

Одна из основных задач, возлагаемых на сетевую ОС, функционирующую на кажд из объектов РВС, - обеспеч надежного удал доступа с любого объекта сети к данному объекту. В общем случае в РВС каждый субъект системы д иметь возможность подключиться к любому объекту РВС и получить в соответствии со своими правами удаленный доступ к его ресурсам. Возможность предоставления удаленного доступа реализуется так: на объекте РВС в сетевой ОС запускаются на выполнение ряд программ-серверов (например, FTP-сервер, WWW-сервер и т.п.), предоставляющих удал доступ к ресурсам данного объекта. Данные программы-серверы входят в состав телекоммуникационных служб предоставления удал доступа. Задача сервера состоит в том, чтобы, находясь в памяти ОС объекта РВС, постоянно ожидать получения запроса на подключение от удаленного объекта. В случае получения подобного запроса сервер д по возможности передать на запросивший объект ответ, в котором либо разрешить подключение, либо нет. По аналогичной схеме происходит создание вирт канала связи, по которому обычно взаимодействуют объекты РВС. В этом случае непосредственно ядро сетевой ОС обрабатывает приходящие извне запросы на создание вирт канала и передает их в соответствии с идентификатором запроса (порт или сокет (ip-адрес и №порта)) прикладному процессу, которым является соответствующий сервер.

Сетевая ОС способна иметь только ограниченное число открытых вирт соединений и отвечать лишь на огранич число запросов. Огранич зависят от различных парам-в системы в целом, основными из кот явл быстродействие ЭВМ, V опер памяти и пропускная способность канала связи (чем ↑, тем больше число возможных запросов в единицу t). Основная проблема – при отсутствии статической ключевой инф в РВС идентификация запроса возможна только по адресу его отправителя. Если в РВС не предусмотрено средств аутент адреса отправителя, то если инфраструктура РВС позволяет с одного объекта системы передавать на др атакуемый объект бесконечное число анонимных запросов на подключение от имени др объектов, то в этом случае будет иметь успех типовая удаленная атака "Отказ в обслуживании". Результат применения этой удаленной атаки - нарушение на атакованном объекте работоспособности соответст службы предоставления удал доступа, то есть невозм-сть получения удаленного доступа с других объектов РВС!

Вторая разновидность этой типовой удал атаки состоит в передаче с одного адреса такого количества запросов на атакуемый объект, какое позволит трафик (направленный "шторм" запросов). Если в системе не предусмотрены правила, ограничивающие число принимаемых запросов с одного объекта (адреса) в единицу t, то результатом этой атаки м б переполнение очереди запросов ® отказ 1 из телекоммуникац служб; полная остановка комп из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

Третьей разновидностью атаки "Отказ в обслуживании" является передача на атакуемый объект некорректного, спец подобранного запроса. В этом случае при наличии ошибок в удаленной системе возможно зацикливание процедуры обработки запроса, переполнение буфера с последующим зависанием системы.

Протокол ICMP.

Компенсируют недостаточную надежность протокола IP – протоколы верхних уровней, в частности протокол TCP (транспортный ур) и DNS (прикладной ур). Существует еще один механизм ¯ ненадежной передачи сообщений протоколом IP – это пр ICMP (Internet Control Message Protocol - пр межсе управляющих сообщ) - является вспомог сетевым протоколом, включенным в стек протоколов TCP/IP.

Принцип работы ICMP - пр срабатывает для передачи сообщ об ошибках при передаче или исключительных ситуациях, то есть когда маршрутизатор не работает / требуемая услуга недоступна. ICMP не м запросить послать потерянный пакет повторно, просто оповещает о несчастных случаях. Также на ICMP возлагаются некоторые сервисные функции. ICMP-сообщения не повторяются (для избегания «штормов» в сетях). При передаче по сети, сообщения ICMP инкапсулируются в поле данных IP-пакетов.

Заголовок ICMP-сообщения состоит из 8 байт: тип (1 байт) – числовой идентификатор типа сообщения: 0 или 8, где 0 - ICMP reply (ответ), 8 - ICMP request(запрос); код (1 байт) – числовой id, более точно определяющий тип ошибки; контрольная сумма (2 б) – вычисляется для всего ICMP-сообщ. Оставшиеся 4 байта и поле данных зависит от значений полей типа и кода.