В компьютерной сети часто оказывается, что удаленные компоненты сетевой ОС изначально не имеют достаточно информации, необходимой для адресации пакетов обмена. Обычно такой информацией являются аппаратные (адрес сетевого адаптера) и логические адреса (IP - адрес) сетевых компьютеров. Для получения подобной информации в сетевых ОС используются различные алгоритмы удаленного поиска, заключающиеся в передаче по сети специального вида запросов, и в ожидании ответов на полученный запрос с искомой информацией. Руководствуясь полученными из ответа сведениями о искомом хосте, запросивший хост начинает адресововаться к нему, то есть, после получения ответа на запрос он обладает всеми необходимыми данными для адресации. Примером подобных запросов, на которых базируются алгоритмы удаленного поиска могут служить SAP — запрос в ОС Novell NetWare, ARP и DNS – запрос в сети Internet.
В случае использования сетевой ОС механизмов удаленного поиска существует возможность на атакующей станции перехватить посланный хостом запрос и послать на него ложный ответ, в котором указать данные, использование которых приведет к адресации на атакующий хост – ложный сервер. То есть, в дальнейшем, весь поток обмена между хостом и настоящим сервером, информации о котором запрашивал хост в посланном запросе, будет проходить через ложный сервер.
Ложный сервер – активное воздействие совершаемое с целью перехвата и искажения информации, являющееся атакой по запросу от атакуемого объекта. Данная удаленная атака является внутрисегментной и межсегментной и осуществляется на канальном, сетевом, транспортном, сеансовом и представительном уровнях модели OSI.
Одной из атак, которую может осуществлять ложный сервер, является перехват передаваемой между сервером и хостом информации. Факт перехвата информации (файлов, например) возможен из-за того что при выполнении некоторых операций над файлами (чтение, копирование и т.д.) содержимое этих файлов передается по сети, а значит, поступает на ложный сервер. Простейший способ реализации перехвата – это сохранение в файле всех получаемых ложным сервером пакетов обмена. Данный способ перехвата информации оказывается недостаточно информативным. Это происходит вследствие того, что в пакетах обмена кроме полей данных существуют служебные поля, в данный момент не представляющие интереса. Следовательно, для того, чтобы получить непосредственно передаваемый файл, необходимо проводить на ложном сервере динамический семантический анализ потока информации для его селекции.