- •Безопасность системы протоколов интернет
- •1.1 Безопасность сетей на базе tcpip
- •5. Протоколы семейства ip
- •5.1 Активные атаки на уровне tcp
- •5.2 Описание
- •5.3 Детектирование и защита
- •5.5 Ранняя десинхронизация
- •5.6 Десинхронизация нулевыми данными
- •5.7 Детектирование и защита
- •5.8 Пассивное сканирование
- •5.9 Затопление icmp-пакетами
- •5.10 Локальная буря
- •5.11 Затопление syn-пакетами
- •6.1 Что лучше?
- •6.2 Атаки на udp
- •6.3 Протокол tcp
- •Примеры соединения:
- •6.4 Атака Syn-Flood
- •6.4.1 Защита от атаки syn-Flood
- •6.5 Буря tcp ack
- •6.6 Организация сеанса (атаки)
- •6.7 Упреждающая десинхронизация
- •6.8 Десинхронизация бессмысленными данными
- •6.9 Детектирование атак и побочные эффекты
- •6.10 Атака Митника
- •6.10.1 Предотвращение атак
- •6.11 Сравнение с атакой Морриса
- •6.12 Заключение
- •7.1 Icmp-сообщение
- •7.2 Технические подробности
- •7.3 Использование icmp-протокола для атак
- •7.4 Использование icmp-сообщений
- •7.5 Список типов сообщений
- •7.6 Правила генерации icmp-пакетов
- •8 Список використаної літератури
6.12 Заключение
Несмотря на простоту обнаружения описанной атаки в локальной сети, она может быть весьма эффективна при использовании через распределенную сеть с невысокой скоростью и большими задержками (WAN). Для организации такой атаки достаточно средств, используемых обычно при пассивных атаках в сети Internet.
Опасность описанной здесь атаки увеличивается в связи с тем, что она не заметна для пользователя. Взлом хостов Internet становится все более распространенным явлением, и скрытность атаки существенно затрудняет ее обнаружение.
Хотя всеобщее внимание занимает новый протокол IPv6, идущий на замену IPv4, рост числа атак и необходимость обеспечения безопасности систем требует разработки и использования безопасного протокола транспортного уровня для сети Internet. Должны быть обеспечены опции, позволяющие передавать подписанные и зашифрованные данные в целях обеспечения конфиденциальности. Поскольку цифровые подписи играют важную роль в обеспечении надежности доставки, такие сигнатуры можно использовать взамен принятых сегодня контрольных сумм TCP.
В этой статье не предпринималось попыток проанализировать все возможные варианты активных атак с использованием анализаторов. Важнее было предупредить пользователей ключей s/key или системы Kerberos об опасности прослушивания трафика Ethernet. В статье содержатся некоторые идеи, которые могут послужить отправной точкой для дальнейших исследований. Представленный здесь метод был успешно использован для организации атаки минимальными средствами.
7 ICMP
(англ. Internet Control Message Protocol — протокол межсетевых управляющих сообщений) — сетевой протокол, входящий в стек протоколов TCP/IP. В основном ICMP используется для передачи сообщений об ошибках и других исключительных ситуациях, возникших при передаче данных, например, запрашиваемая услуга недоступна, или хост, или маршрутизатор не отвечают. Также на ICMP возлагаются некоторые сервисные функции.
Два типа сообщений:
диагностические сообщения об ошибках;
информационные сообщения типа запрос\ответ.
7.1 Icmp-сообщение
Заголовок IP-пакета |
Тип сообщения |
Код ошибки |
Контрольная сумма |
Зависит от типа и кода |
Зависит от типа и кода |
Заголовок ICMP
Сообщение инкапсулируется в поле данных IP-пакета
7.2 Технические подробности
Протокол ICMP описан в RFC 792 (с дополнениями в RFC 950) и является стандартом Интернета (входит в стандарт STD 5 вместе с IP). Хотя формально ICMP использует IP (ICMP-пакеты инкапсулируются в IP пакеты), он является неотъемлемой частью IP и обязателен при реализации стека TCP/IP. Текущая версия ICMP для IPv4 называется ICMPv4. В IPv6существует аналогичный протокол ICMPv6.
ICMP-сообщение строится из IP-пакетов, сгенерировавших ICMP-ответ. IP инкапсулирует соответствующее ICMP-сообщение с новым заголовком IP (чтобы отправить ICMP-сообщение обратно отправителю) и передает полученные пакеты дальше.
Например, каждая машина (такая, как маршрутизатор), которая перенаправляет IP-пакеты, уменьшает Time to live (TTL) поля заголовка IP на единицу, если TTL достигает 0, ICMP-сообщение о превышении TTL отправляется на источник пакета.
Каждое ICMP-сообщение инкапсулируется непосредственно в пределах одного IP-пакета, и, таким образом, как и UDP, ICMP является ненадежным (надежным является TCP).
ICMP основан на протоколе IP. Его цели отличны от целей транспортных протоколов, таких как TCP и UDP: он, как правило, не используется для передачи и приема данных между конечными системами. ICMP не используется непосредственно в приложениях пользователей сети (исключение составляют инструменты Ping и Traceroute).