- •Безопасность системы протоколов интернет
- •1.1 Безопасность сетей на базе tcpip
- •5. Протоколы семейства ip
- •5.1 Активные атаки на уровне tcp
- •5.2 Описание
- •5.3 Детектирование и защита
- •5.5 Ранняя десинхронизация
- •5.6 Десинхронизация нулевыми данными
- •5.7 Детектирование и защита
- •5.8 Пассивное сканирование
- •5.9 Затопление icmp-пакетами
- •5.10 Локальная буря
- •5.11 Затопление syn-пакетами
- •6.1 Что лучше?
- •6.2 Атаки на udp
- •6.3 Протокол tcp
- •Примеры соединения:
- •6.4 Атака Syn-Flood
- •6.4.1 Защита от атаки syn-Flood
- •6.5 Буря tcp ack
- •6.6 Организация сеанса (атаки)
- •6.7 Упреждающая десинхронизация
- •6.8 Десинхронизация бессмысленными данными
- •6.9 Детектирование атак и побочные эффекты
- •6.10 Атака Митника
- •6.10.1 Предотвращение атак
- •6.11 Сравнение с атакой Морриса
- •6.12 Заключение
- •7.1 Icmp-сообщение
- •7.2 Технические подробности
- •7.3 Использование icmp-протокола для атак
- •7.4 Использование icmp-сообщений
- •7.5 Список типов сообщений
- •7.6 Правила генерации icmp-пакетов
- •8 Список використаної літератури
7.3 Использование icmp-протокола для атак
Атака Smurf
Атака Tribe Flood Network
Атака WinFreeze
Программа Loki
Невызванные эхо-ответы
Атака smurf заключается в передаче в сеть широковещательных ICMP запросов от имени компьютера-жертвы. В результате компьютеры, принявшие такие широковещательные пакеты, отвечают компьютеру-жертве, что приводит к существенному снижению пропускной способности канала связи и, в ряде случаев, к полной изоляции атакуемой сети. Атака smurf исключительно эффективна и широко распространена.
Противодействие: для распознавания данной атаки необходимо анализировать загрузку канала и определять причины снижения пропускной способности.
Атака Tribe Flood Network (TFN) является еще одной атакой отказа в обслуживании, в которой используются ICMP-сообщения. В отличие от атаки Smurf, организуемой с одного компьютера с применением одной сети для ее распространения, атака TFN использует большое количество распределенных хостов. Эти хостты часто называютхостами-демонами.Поэтому терминраспределенная атака отказавобслуживании(DDoS) наиболее точно определяет использование нескольких рассредоточенных в Internet хостов для совместного осуществления атаки.
7.4 Использование icmp-сообщений
ICMP-сообщения (тип 12) генерируются при нахождении ошибок в заголовке IP-пакета (за исключением самих ICMP-пакетов, дабы не привести к бесконечно растущему потоку ICMP-сообщений об ICMP-сообщениях).
ICMP-сообщения (тип 3) генерируются маршрутизатором при отсутствии маршрута к адресату.
Утилита Ping, служащая для проверки возможности доставки IP-пакетов использует ICMP-сообщения с типом 8 (эхо-запрос) и 0 (эхо-ответ).
Утилита Traceroute, отображающая путь следования IP-пакетов, использует ICMP-сообщения с типом 11.
ICMP-сообщения с типом 5 используются маршрутизаторами для обновления записей в таблице маршрутизации отправителя.
ICMP-сообщения с типом 4 используются получателем (или маршрутизатором) для управления скоростью отправки сообщений отправителем.
7.5 Список типов сообщений
0 |
ответ на запрос эхо |
3 |
адресат недостижим |
4 |
приостановка отправителя |
5 |
переадресация |
8 |
эхо-запрос |
11 |
превышение контрольного времени |
12 |
проблемы с параметрами |
13 |
штамп времени |
14 |
ответ на запрос штампа времени |
15 |
запрос информации |
16 |
ответ на запрос информации |
|
|
7.6 Правила генерации icmp-пакетов
При потере ICMP-пакета никогда не генерируется новый.
ICMP-пакеты никогда не генерируются в ответ на IP-пакеты с широковещательным или групповым адресом, чтобы не вызывать перегрузку в сети (так называемый «широковещательный шторм»).
При повреждении фрагментированного IP-пакета ICMP-сообщение отправляется только после получения первого повреждённого фрагмента, поскольку отправитель всё равно повторит передачу всего IP-пакета целиком.
Злоумышленники пытаются использовать уязвимости этого протокола в своих целях. Протокол ICMP разработан как средство передачи данных в одном направлении без аутентификации. Это позволяет злоумышленникам организовывать атаки типа «отказ в обслуживании» (DoS – Denial of Service).
Типичными примерами атак ICMP является множество пакетов ping, множество пакетов ICMP_ECHO или атака smurf. Компьютеры, подвергающиеся атаке ICMP, значительно замедляют свою работу (особенно это касается сетевых приложений), и у них возникают проблемы при установлении сетевых соединений.