МИСЗКИ книга (1085503), страница 12
Текст из файла (страница 12)
Конечно, подключение к оптоволоконному кабечю является более сложным, но и оно вполне осуществимо. Существуют варианты контактного и бесконтактного подключения к линиям волоконно-оптической связи (ВОЛС). Для контактного подключения удаляют защитный слой кабеля, стравливают светоотражающую оболочку и изгибают оптический кабель на небольшой угол. При таком подключении к ВОЛС обнаружить утечку информации за счет ослабления 70 Бесконтактное подключение к ВОЛС осуществляется слелующим образом: — в качестве пьемонта съема светового сигнала использу- и о н н стеклянная трубка, + нпюлненная жидко- Рвс. 12.
Бесаоитактпое подвпочетвге к ВОЛС. пью с высоким покамгслсм преломления и с изогнутым концом, жестко фиксированная на оптическом кабеле, с которого предварительно сшпа гара иная оболочка; — на отогнутом конце трубки устанавливается объектив, фонусирующий световой поток на фотодиод, установленный на рнесюянии. Затем сигнал с фотодиода подается на усилитель и приемник. Самыми уязвимыми для перехвата трафика являются ралноссти — кракеру достаточно установить приемную антенну и 1н саклю ппъ к ней свой компьютер.
Несомненно, прослушивание сети очень полезно с точки йхюия злоумышленника, поскольку паволяет получить множеогео полезной информации — передаваемые по сети пароли, адреса компъютеров, конфиденциальные данные„письма и прочее. Однако простое прослушивание не позволяет кракеру вме- компьютер посылает ответ АКР, но не широковещательный, а направленный по МАС-адресу, указанному в запросе. Одновременно запрошенный компьютер вносит МАС- адрес инициатора запроса в свой кэш АКР, 4. Инициатор запроса получает ответ и вносит новый МАС-адрес в свой кэш АКР. После этого становится возможным обмен информацией между компъютерами. Если же два компьютера находятся в разных сетях, определять МАС-адрес получателя нет необходимости.
Пакеты будут пересылаться через маршругизатор, который подставляет свой МАС-адрес в адресное поле отправителя пакетов. Таким образом, на уровне протокола 1Р указывается конечный адрес получателя, а на физическом уровне — МАС-адрес ближайшего маршрутизатора. То есть, для перехвата сетевого трвфика, к(жкеру достаточно навязать компьютерам А и В свой 1Р-адрес. Алгоритм атаки будет выглядеть следующим образом: 1. Крекер определяет МАС-адреса компьютеров А и В. 2. Кракер отправляет на выявленные МАС-адреса компьютеров А и В сообщения, представляющие собой фальсифицированные АКР-отвегы на запросы разрешения 1Р-адресов в МАС-адреса. Компъютеру А сообщается, что 1Р-адресу компьютера В соответствует МАС-адрес компьютера кракера; компьютеру В сообщается чт пэ адресу компьютеаъа А также соотв т ствует МАС-адрес компьютера кракера.
3. Компьютеры А и В заносят полученные МАС-адреса в свои кэши АКР и далее используют их для передачи сообщений друг другу. Поскольку 1Р-адресам А и В соответствует МАС- адрес компьютера кракера, компьютеры А и В, ничего не подозревая, общаются через посредника, способного делать с их посланиями что угодно. Для защиты от таких атак надо либо использовать статические АКР таблицы, либо периодически проверять соответствие 1Р и МАС-адресов компьютеров. 2.3.
Ложная ма Для перехвата сетевого трафик, кракер может подменить л лзьный 1Р-адрес сетевого маршрутизатора своим 1р-адресом, выполнив зто, например, с помощью фальсифицированных л 'МР-сообщений Кедйесг. Полученное сообщение Кейгесг комеьюгср А должен, воспринять как ответ на дейтаграмму, помилую другому компьютеру, например, В. Свои действия на 6щение Кео(гесг компьютер А определяет, исходя из содервмого полученного сообщения Кео)гесг, и если в Кейгесг заьз и, перенаправление дейтаграмм нз А в В по новому маршруту, лосино это компьютер А и сделает.
Для выполнения этой атаки кракер должен знать некотовыг подробности об организации локальной сети, в которой наявтся А, в частности, 1Р-адрес маршрутизатора, через который ~ орзкляется трафик от компьютер А к В. Зная это, кракер мою ~ сформировать 1Р-дейтаграмму, в которой 1Р-адрес отправи«ья определен как 1Р-адрес маршрутизатора, а получателем ~ ья ~аи компъютер А. Также в дейтаграмму включается сообщеш К".МР КеойесГ с полем адреса нового маршрутизатора, устае ~и зсиным как 1Р-адрес компьютера кракера. Полу~ив такое сои ьзсоие, компьютер А будет отправлять все сообщения по пои ! Р-адресу, т.
е. на компъютер кракера. Дяя защиты от такой атаки следует отключить (например, мощью файрвола) на компьютере А обработку сообщений в мр Кейгес~. Также может помочь периодическая проверка л оа появление в ией непредусмотренных маршрутов. 2.4. ехват ТСР-сое пения. Наиболее изощренной атакой перехвата сетевого трафика 'згст считать захват ТСР-соединения (ТСР )п)асЫпд), когда лам р путем генерации и отсылки на атакуемый компьютер А 1 ~ 3' пакетов прерывает текущий сеанс связи с компъютером В. Ф гс, пользуясь возможностями протокола ТСР по восстановив> прерванного ТСР-соединения, кракер перехватывает прегьлооый сеанс связи и продолжает его вместо отключенного 113~'3пж ((ротокол ТСР (Тгалзппззюп Сошго) Рго(осо1 — Протокол ~.ишсния передачей) является одним из базовых протоколов 75 транспортного уровня О81, позволяющим устанавливать логические соединения по виртуальному каналу связи.
По этому каналу передаются и принимаются пакеты с регистрацией их последовательности, осуществляется управление потоком пакетов, организовываегся повторная передача искаженных пакетов, а в конце сеанса канал связи разрывается. Протокол ТСР является единственным базовым протоколом из семейства ТСР/1Р, имеющим серьезную систему идентификации сообщений и соединения. Для идентификации ТСР-пакета в ТСР-заголовке существуют два 32-разрядных идентификатора, которые также играют роль счетчика пакетов, называемых порядковым номером и номером подтверждения.
Также в ТСР-пакете присутствует поле размеров б бит, содерядпше управляющие флаги: $3КΠ— флаг срочности; АСК вЂ” флаг подтверждения; Р8Н вЂ” флаг переноса; К8Т вЂ” флаг переустановки соединения; 8 "т'Ь1 — флаг синхронизации; НХ вЂ” флаг завершения соединения. Рассмотрим порядок создания ТСР-соединения. 1. Если компьютеру А необходимо создать ТСР- соединение с компьютером В, то А посылает В следующее сообщение: А — В: 8УМ, 188а Это означает, что в передаваемом компьютером А сообщснии установлен флаг 8УХ, а в поле порядкового номера установлено начальное 32-битное значение 188а. 2.
В ответ на полученный от компьютера А запрос компьютер В отвечает сообщением, в котором установлен бит 8ТХ и установлен бнт АСК. В поле порядкового номера В устанавливает свое начальное значение счетчика — 188Ь; поле номера подтверждения будет при этом содержать значение 188а, полученное в первом пакете от А, увеличенное на единицу. Таким образом, компьютер В отвечает следующим сообщением:  — А: 8 т'г1, АСК, 188Ь, АСК(188а+1) 76 3. Наконец, компьютер А посылает сообщение компьюте- ~ и В, в котором: установлен бит АСК; поле порядкового номера держит значение 188а + 1; поле номера подтверждения содери г значение 188Ь + 1. После этого ТСР-соединение между комьк псрамн А и В считается установленным: А — В: АСК, 188а+1, АСКП88Ь+1) 4.
Теперь компьютер А может посылать пакеты с данными з компьютер В по только что созданному виртуальному ТСР- неллу: А — + В: АСК, 188а+1, АСК(188Ь+1); 13АТА РАТА — обозначает передаваемые данные. Из рассмотренного выше алгоритма создания ТСР- единения видно, что единственными идентификаторами ТСР- иснтов и ТСР-соединения являются два 32-бнтных параметра «рндкового номера н номера подтверждения — 188а и 188Ь. кгаовательно, если кракеру удастся подобрать текущие значе- ~ параметров 188а и 188Ь пакета ТСР для данного ТСР- «лннения и послать пакет с любого компъютера Интернета от «*к ии клиента данного ТСР-подключения, то данный пакет буьзкпринят как верный Таким образом, для осуществления описанной выше атаки ° «нжодимым и достаточным условием является знание двух « «тщих 32-битных параметров 188а и 188Ь, идентифицирую- ~ ~ ТСР-соединение.
Рассмотрим возможные способы их полунин. В случае, когда компьютер кракера подключен к атакуемт сетевому сегменту, задача получения значений 188а и 188Ь вьется тривиальной и решается путем анализа сетевого трафи- ~ Следовательно, надо четко понимать, что протокол ТСР лопнет в принципе защитить соединение только в случае невоз«вности перехвата атакующим сообщений, передаваемых по ~иному соединению, то есть только в случае, когда компьютер ~ .в сра подключен к другому сетевому сегменту. Поэтому наибольший интерес для нас представляют межмсптные атаки, когда атакующий и его цель находятся в раз- « ~ ссгмензвх сети. В этом случае задача получения значений 77 188а и 188Ь является довольно сложной.
Для ее решения в настоящее время предложено только два способа: — Математическое предсказание начального значении параметров ТСР-соедзгнения экстраполяцией предыдущих значе ний 188а и 188Ь. — Использование уязвимостей идентификации абонентов ТСР-соединения для атаки на гзЬ-сервер 1)Х(Х.
Первая способ основан на углубленных исследованиях реализаций протокола ТСР в различных операционных системах. Как показывает практический анализ, в большинстве ОС используются ие случайные числа, а последовательное увеличение 18Х на некоторое значение по прошествии интервала времс. ни. Так, для %шйовз ХТ 18Х увеличнваегся на 1 каждые 10 мс В 1.шпх 1.2.8.