| ||||||||||||||||
| ||||||||||||||||
| ||||||||||||||||
Удаленные атаки на хосты Internet В связи с большой популярностью сети Internet огромное значение приобретает проблема информационной безопасности в сети. Из-за сложной инфраструктуры сети Internet, большого числа различных протоколов обмена на базе TCP/IP, спроектированных без учета требований к их безопасности, возможны различные способы нарушения безопасности компьютерной сети со стеком протоколов TCP/IP. Рассмотрим следующие виды удаленных атак на хосты Internet: - Исследование сетевого трафика Данное воздействие широко используется хакерами в сети Internet для получения статических паролей, используемых пользователями для доступа к удаленным хостам по протоколам FTP и TELNET. В данных протоколах обмена не предусмотрено шифрование пароле й перед передачей их по сети, следовательно, простой перехват имени пользователя и пароля позволит хакеру получить несанкционированный доступ к удаленному хосту. - Навязывание хосту ложного маршрута с помощью протокола ICMP В сети Internet существует специальный протокол ICMP (Internet Control Message Protocol), одной из функцией которого является информирование хостов о смене текущего маршрутизатора. Данное управляющее сообщение носит название redirect. Существует в озможность посылки с любого хоста в сегменте сети ложного redirect-сообщения от имени маршрутизатора на атакуемый хост. В результате у хоста изменяется текущая таблица маршрутизации и, в дальнейшем, весь сетевой трафик данного хоста будет проходить, напр имер, через хост, отославший ложное redirect-сообщение. Таким образом возможно осуществить активное навязывание ложного маршрута внутри одного сегмента сети Internet. - Ложный ARP сервер В сети Internet каждый хост имеет уникальный IP-адрес, на который поступают все сообщения из глобальной сети. Однако протокол IP это не столько сетевой, сколько межсетевой протокол обмена, предназначенный для связи между объектами в глобальной сет и. На канальном уровне пакеты адресуются по аппаратным адресам сетевых карт. В сети Internet для взаимно однозначного соответствия IP и Ethernet адресов используется протокол ARP (Address Resolution Protocol). Первоначально хост может не иметь информации о Ethernet-адресах других хостов, находящихся с ним в одном сегменте, в том числе и о Ethernet-адресе маршрутизатора. Соответственно, при первом обращении к сетевым ресурсам хост отправляет широковещательный ARP-запро с, который получат все станции в данном сегменте сети. Получив данный запрос, маршрутизатор отправляет на запросивший хост ARP-ответ, в котором сообщает свой Ethernet-адрес. Данная схема работы позволяет злоумышленнику послать ложный ARP-ответ, в котором объявить себя искомым хостом, (например, маршрутизатором), и, в дальнейшем, активно контролировать весь сетевой трафик “обманутого” хоста. - Ложный DNS сервер Для обращения к хостам Internet по именам, а не по IP-адресам, в сети Internet существует протокол DNS (Domain Name System). Основная задача службы DNS, для которой в сети создаются специальные DNS-серверы, состоит в получении от хоста DNS-запроса на поиск сервера, поиска по полученному в DNS-запросе имени IP-адреса сервера и его передача на запросивший хост. При анализе безопасности данного протокола выяснилось, что при перехвате хакером DNS-запроса на поиск с ервера существует возможность послать ложный DNS-ответ, в котором в качестве искомого IP-адреса указать IP-адрес станции злоумышленника, что приведет к тому, что, в дальнейшем, весь трафик между запросившем хостом и сервером будет перехвачен ложным DNS-с ервером. Данная атака возможна в случае нахождения в одном сегменте с настоящим DNS-сервером и позволяет организовать межсегментную атаку на хосты Internet. |
|
| ||||||||||||||||
|