Олифер В.Г., Олифер Н.А. - Компьютерные сети. Принципы, технологии, протоколы (4-ое изд.) - 2010 - обработка (953099), страница 210
Текст из файла (страница 210)
Для подготовки и проведения атак могут использоваться либо специально разработанны~ для этих целей программные средства, либо легальные программы «мирного» назначения Так, последний пример показывает, как легальная программа р!пй, которая создавалас~ в качестве инструмента диагностики сети, может быть применена для подготовки атаки При проведении атак злоумышленнику важно не только добиться своей цели, заклю чающейся в причинении ун!ерба атакуемому объекту, но и уничтожить все следы своеп участия в этом.
Одним из основных приемов, используемых злоумышленниками длг «заметания следов», является подмена содержимого яакешов (зрообпя). В частности, длг сокрытия места нахождения источника вредительских пакетов (например, при атаке отказ в обслуживании) злоумышленник изменяет значение поля адреса отправителя в заголовка пакетов. Поскольку адрес отправителя генерируется автоматически системным программ ным обеспечением, злоумышленник вносит изменения в соответствующие программны~ модули так, чтобы они давали ему возможность отправлять со своего компьютера пакеть с любыми 1р-адресами.
Типы и примеры атак Атаки отказа в обслуживании Атаки отказа в обслуживании (Реп!а! о( бегк1се, Ро5) направляются обычно на информа ционные серверы предприятия, функционирование которых является критически важныь условием для работоспособности всего предприятия. Чаще всего объектами РОЗ-ата~ становятся основные веб-серверы, файловые и почтовые серверы предприятия, а такж~ корневые серверы системы Р!к!5.
Для проведения РоЯ-атак злоумышленники часто координируют «работу» нескольки: компьютеров (как правило, без ведома пользователей этих компьютеров). Говорят, чт< в таких случаях имеет место распределенная атака отказа в обслуживании (Р!згг!Ьцгег Реп!а! о15егк!се, РРоЯ). Злоумышленник, захватив управление над группой удаленньс компьютеров, «заставляет» их посылать пакеты в адрес узла-жертвы (рис.
24.1). Полу чившийся в результате мощный суммарный поток «затопляет» атакуемый компьютер 832 Глава 24. Сетевая безопасность вызывая его перегрузку и, в конечном счете, делает его недоступным. Блокировка происходит в результате исчерпания ресурсов либо процессора, либо операционной системы, либо канала связи (полосы пропускания). Подчиненные омпьютеры Рмс. 24.1. Схема 00ов-атакн А теперь рассмотрим более конкретный пример проведения ))оЯ-атаки, в которой используются особенности протокола ТСР. Как мы уже обсуждали в главе 17, для установления логического соединения по протоколу ТСР узлы должны обменяться тремя пакетами (рис. 24.2, а): сначала инициатор соединения посылает пакет с флагом 5УМ, на который сервер отвечает пакетом с установленными флагами А5К и 5УЖ.
Завершает процедуру пакет от узла-инициатора с флагом 5УАГ. Для выполнения атаки злоумышленник организует передачу на сервер массированного потока пакетов с флагом 5УМ, каждый из которых инициирует создание нового ТСР- соединения (рис. 24.2, б). Получив пакет с флагом 5УАГ, сервер выделяет для нового соединения необходимые ресурсы и в полном соответствии с протоколом отвечает клиенту пакетом с флагами А5К и 5УУ. После этого, установив тайм-аут, он начинает ждать от клиента завершающйй пакет с флагом А5К, который, увы, так и не приходит.
Аналогичным образом создается множество других «недоустановленныхь соединений. В результате возникает перегрузка сервера, все его ресурсы идут на поддержание множества соединений, процедуры установления которых остались незавершенными. В таком состоянии сервер уже не способен отвечать на запросы, посылаемые приложениями легальных пользователей, в результате злоумышленник достигает своей цели. взз Типы и примеры атак Компыстеры злоумышленника Атакуемый компьютер Тайм-аут юк ° Тайм-аут МК Б~ Тайм-аут Рис. 24.2. Проведение Юо8-атаки, е которой используются особенности протокола ТСР: а — нормальный порядок установления ТСР-соединения; б — 00о8-атака за счет создания множества незакрытых ТСР-соединений Подобный подход носит универсальный характер. Например, атака может быть осуществлена путем передачи уязвимому приложению потока запросов, синтаксически правильных, но специально сконструированных, так, чтобы вызвать перегрузку.
Так, для некоторых версий веб-сервера Араспе губительным оказывается поток запросов, каждый из которых содержит большое количество заголовков НТТР или символов «/». Перехват и перенаправление трафика Следующий тип атак имеет целью направить график атакуемого компьютера по ложному адресу, в качестве которого может выступать адрес либо злоумышленника, либо третьей стороны.
Потоком данных, который пользователь посылает, например, на свой корпоративный сервер или сервер банка, злоумышленник может распорядиться двумя способами. Первый состоит в том, что злоумышленник маскируется под сервера адресата, передавая клиенту ту «картинку» и те сообщения, которые тот ожидает.
Так, злоумышленник может имитировать для пользователя-жертвы процедуру логического входа, получая при этом идентификатор и пароль пользователя. Эти данные в дальнейшем могут применяться для несанкционированного доступа к серверу предприятия или банка, которые и являются главной целью атаки. Второй способ заключается в организации транзита графика. Каждый перехваченный пакет запоминается и/или анализируется на атакующем узле, а после этого переправляется на «настоящий» сервер.
Таким образом весь трафик между клиентом и сервером пропускается через компьютер злоумышленника. Рассмотрим некоторые приемы, используемые сейчас (или в недалеком прошлом) при проведении атак данного типа. Для болыпинства из них уже разработаны средства противодействия, и приводимые здесь описания атак носят в основном учебный характер. 834 Глава 24. Сетевая безопасность Простейший вариант перенаправления трафика в локальной сети может быть осуществлен путем отправки в сеть ложного АКР-отвевш.
(Оставим в стороне вопрос, насколько часто может возникнуть такая ситуация, когда злоумышленник заинтересован в перехвате графика собственной локальной сети.) В данном случае схема очевидна: получив широковещательный АКР-запрос относительно некоторого 1р-адреса, злоумышленник посылает ложный АКР-ответ, в котором сообщается, что данному 1Р-адресу соответствует его собственный МАС-адрес. Для перехвата и перенаправления графика в локальной сети теоретически может также использоваться протокол 1СМР В соответствии с данным протоколом ЗАСМР-сообшдвие о яевенаиравлении маршругла маршрутизатор по умолчанию посылает хосту непосредственно присоединенной локальной сети при отказе этого маршрута или в тех случаях, когда обнаруживает, что для некоторого адреса назначения хост использует нерациональный маршрут.
На рис. 24.3, а применяемый по умолчанию маршрутизатор К1, получив от хоста Н1 пакет, адресованный хосту Н2, определяет, что наилучший маршрут к хосту Н2 пролегает через другой маршрутизатор данной локальной сети, а именно через маршрутизатор К2. Маршрутизатор К1 отбрасывает полученный пакет и помещает его заголовок в 1СМР-сообщение о перенаправлении маршрута, которое посылает хосту Н1.
В сообщении содержится 1Р-адрес альтернативного маршрутизатора К2, который хост теперь должен использовать, посылая данные хосту Н2. Хост Н1 вносит изменения в свою таблицу маршрутизации и с этого момента отправляет пакеты хосту Н2 по новому скорректированному маршруту. Для перехвата графика, направляемого хостом Н1 хосту Н2, злоумышленник должен сформировать и послать хосту Н1 пакет, маскирующийся под 1СМР-сообщение о перенаправлении маршрута (рис.
24.3, б). В этом сообщении содержится запрос о корректировке таблицы маршрутизации хоста Н1, так чтобы во всех пакетах с адресом 1Рнз адресом следующего маршрутизатора стал адрес 1Рнм являющийся адресом хоста-злоумышленника НА. Для того чтобы хост «поверил» этому сообщению, в поле 1Р-адреса отправителя должен быть помещен адрес маршрутизатора К1, являющегося маршрутизатором по умолчанию. Когда пакеты, передаваемые введенным в заблуждение хостом, начнут поступать на узел злоумышленника, он может либо захватывать и не передавать эти пакеты дальше, имитируя для поддержания диалога приложение, которому эти пакеты предназначались, либо организовать транзитную передачу данных по указанному адресу назначения 1рнь Читая весь график между узлами Н1 и Н2, злоумышленник получает все необходимую информацию для несанкционированного доступа к серверу Н2. Еще одним способом перехвата графика является использование ложных 1)Х5-ответов (рис.
24.4). Задача злоумышленника состоит в получении доступа к корпоративному серверу. Для этого ему нужно завладеть именем и паролем авторизованного пользователя корпоративной сети. Эту информацию он решает получить путем ответвления потока данных, которые корпоративный клиент посылает корпоративному серверу.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
