русс | укр

Языки программирования

ПаскальСиАссемблерJavaMatlabPhpHtmlJavaScriptCSSC#DelphiТурбо Пролог

Компьютерные сетиСистемное программное обеспечениеИнформационные технологииПрограммирование

Все о программировании


Linux Unix Алгоритмические языки Аналоговые и гибридные вычислительные устройства Архитектура микроконтроллеров Введение в разработку распределенных информационных систем Введение в численные методы Дискретная математика Информационное обслуживание пользователей Информация и моделирование в управлении производством Компьютерная графика Математическое и компьютерное моделирование Моделирование Нейрокомпьютеры Проектирование программ диагностики компьютерных систем и сетей Проектирование системных программ Системы счисления Теория статистики Теория оптимизации Уроки AutoCAD 3D Уроки базы данных Access Уроки Orcad Цифровые автоматы Шпаргалки по компьютеру Шпаргалки по программированию Экспертные системы Элементы теории информации

Подмена доверенного хоста


Дата добавления: 2013-12-23; просмотров: 1701; Нарушение авторских прав


Навязывание хосту ложного маршрута

 

Современные глобальные сети представляют собой совокупность сегментов сети, связанных между собой через сетевые узлы. При этом маршрутом называется последовательность узлов сети, по которой данные пересылаются от источника к приемнику, а маршрутизацией называется выбор маршрута. Узел, обеспечивающий маршрутизацию, называется маршрутизатором. Каждый маршрутизатор имеет специальную таблицу, называемую таблицей маршрутизации, в которой для каждого адресата указывается оптимальный маршрут. Таблицы маршрутизации существуют не только у маршрутизаторов, но и у любых хостов в глобальной сети. Для обеспечения эффективной и оптимальной маршрутизации в сетях ЭВМ существуют специальные управляющие протоколы, позволяющие маршрутизаторам обмениваться информацией друг с другом (RIP (Routing Internet Protocol), OSPF (Open Shortest Path First)), уведомлять хосты о новом маршруте (ICMP (Internet Control Message Protocol)), удаленно управлять маршрутизаторами (SNMP (Simple Network Management Protocol)). Все названные протоколы позволяют изменять маршрутизацию в сети, то есть являются протоколами управления сетью.

Основная цель атаки, связанной с навязыванием хосту ложного маршрута, – изменить исходную доверенную маршрутизацию хоста, так, чтобы новый маршрут проходил через хост или сеть злоумышленника.

Реализация данной типовой атаки состоит в несанкционированном использовании протоколов управления сетью для изменения исходной маршрутизации. То есть, для изменения маршрутизации атакующему требуется послать по сети определенные данными протоколами управления сетью специальные служебные сообщения от имени сетевых управляющих устройств (например, маршрутизаторов).

В результате успешного изменения маршрута атакующий хост получит полный контроль над потоком информации, которой обмениваются два доверенных хоста и атака перейдет во вторую стадию, связанную с приемом, анализом и передачей пакетов, получаемых от обманутых хостов. Данная стадия атаки полностью совпадает со второй стадией типовой атаки ложный сервер.



Навязывание хосту ложного маршрута – активное воздействие, совершаемое с целью перехвата и искажения информации безусловно, по отношению к цели атаки. Данная удаленная атака осуществляется внутри одного сегмента и на сетевом уровне модели OSI.

 

 

Проблема заключается в однозначной идентификации получаемых станцией пакетов обмена. Обычно в сетевых ОС эта проблема решается следующим образом: в процессе создания виртуального канала хосты обмениваются определенной информацией, уникально идентифицирующей данный канал. Такой обмен обычно называется "рукопожатием" (handshake). Однако не всегда для связи двух удаленных компонент в сети создается виртуальный канал. Часто, например, от маршрутизаторов используется посылка одиночных пакетов, не требующих подтверждения.

Для адресации пакетов в компьютерных сетях используется сетевой адрес, который уникален для каждой станции (на канальном уровне модели OSI – это аппаратный адрес сетевого адаптера, на сетевом уровне – адрес определяется в зависимости от используемого протокола сетевого уровня (например, IP-адрес)). Сетевой адрес может использоваться для идентификации пакетов обмена. Однако сетевой адрес довольно просто подделывается и поэтому использовать его в качестве единственного средства идентификации представляется неправильным.

Если в сетевой ОС используются слабые средства идентификации ее удаленных компонент, тогда возможна типовая удаленная атака, которая заключается в передачи по сети сообщений от имени любого хоста. Существуют две разновидности данной типовой удаленной атаки:

- атака при установленном виртуальном канале;

- атака без установленного виртуального канала.

В случае установленного виртуального соединения атака будет заключаться в присвоении прав доверенного хоста, легально подключившегося к серверу, что позволит злоумышленнику вести сеанс работы с сервером от имени доверенного хоста. Реализация данного типа атак состоит в посылке пакетов обмена с атакующей станции на сервер от имени доверенной станции и при этом посланные пакеты будут восприняты сервером как корректные. Для осуществления атаки данного типа необходимо преодолеть систему идентификации пакетов, которая может использовать контрольную сумму, вычисляемую с помощью открытого ключа, динамически выработанного при установлении канала, случайные многобитные счетчики пакетов и сетевые адреса станций. Однако в ОС Novell NetWare 3.12 для идентификации пакетов обмена используются два 8 – битных счетчика – номер канала и номер пакета; в протоколе TCP для идентификации используются два 32-битных счетчика. Для служебных сообщений используется посылка одиночных пакетов, не требующих подтверждения, то есть не требуется обязательного создания виртуального соединения.

Атака без установленного виртуального соединения заключается в посылке служебных сообщений от имени сетевых управляющих устройств, например, от имени маршрутизаторов. Для идентификации пакетов возможно использование статических ключей, определенных заранее, что не удобно и требует сложной системы управления ключами. Однако, в противном случае, идентификация таких пакетов без установленного виртуального канала будет возможна по сетевому адресу отправителя, который легко подделать. Посылка ложных управляющих сообщений может привести к серьезным нарушениям работы сети, например, к изменению ее конфигурации.

Подмена доверенного хоста является активным воздействием, совершаемое с целью перехвата и искажения информации по наступлению на атакуемом объекте определенного события. Данная удаленная атака является внутрисегментной и межсегментной и осуществляется на сетевом, транспортном и сеансовом уровнях модели OSI.

 



<== предыдущая лекция | следующая лекция ==>
Анализ сетевого трафика | Ложный сервер или использование недостатков алгоритма удаленного поиска


Карта сайта Карта сайта укр


Уроки php mysql Программирование

Онлайн система счисления Калькулятор онлайн обычный Инженерный калькулятор онлайн Замена русских букв на английские для вебмастеров Замена русских букв на английские

Аппаратное и программное обеспечение Графика и компьютерная сфера Интегрированная геоинформационная система Интернет Компьютер Комплектующие компьютера Лекции Методы и средства измерений неэлектрических величин Обслуживание компьютерных и периферийных устройств Операционные системы Параллельное программирование Проектирование электронных средств Периферийные устройства Полезные ресурсы для программистов Программы для программистов Статьи для программистов Cтруктура и организация данных


 


Не нашли то, что искали? Google вам в помощь!

 
 

© life-prog.ru При использовании материалов прямая ссылка на сайт обязательна.

Генерация страницы за: 0.007 сек.