- •Введение
- •1 Анализ основных типов мэ и способов их применения
- •1.1 Типы межсетевых экранов
- •1.1.1 Фильтры пакетов
- •1.1.2 Фильтры пакетов с контекстной проверкой
- •1.1.3 Сервер уровня соединения
- •1.1.4 Серверы прикладного уровня
- •1.2 Способы применения межсетевых экранов
- •1.Стандартные схемы защиты отдельной локальной сети.
- •1.2.1 Стандартные схемы защиты отдельной локальной сети
- •1.2.2 Применение в составе средств коллективной защиты
- •1.3 Персональные межсетевые экраны
- •1.4 Обобщенная концепция применения межсетевых экранов
- •1.5 Обзор персональных межсетевых экранов, доступных на рынке
- •2 Классификация уязвимостей сетевых экранов, создающих предпосылки их компрометации
- •2.1 Уязвимости сетевых протоколов
- •2.1.1 Снифферы пакетов
- •2.1.2 Уязвимость маршрутизации от источника
- •2.1.4 Атаки типа “отказ в обслуживании”
- •2.1.5 Атаки syn flood
- •2.1.6 Атака Smurf
- •2.1.7 Атака Tribe Flood Network
- •2.1.8 Атака WinFreeze.
- •2.1.9 Атака Loki.
- •2.1.10 Arp атаки
- •2.1.11 Фрагментация
- •2.2 Уязвимости операционных систем
- •2.2.1 Получение прав другого пользователя
- •2.2.2 Нелегальное подключение к системе
- •2.2.3 Человеческий фактор
- •2.2.4 Совместимость с другими операционными системами
- •2.2.5 Парольные атаки
- •2.2.6 Вирусы и приложения типа "троянский конь"
- •2.3 Уязвимости программной реализации сетевых экранов
- •2.3.1 Атаки через туннели в межсетевом экране
- •2.3.2 Атаки вследствие неправильной конфигурации межсетевого экрана
- •2.3.3 Атаки осуществляемые в обход межсетевого экрана
- •2.3.4 Атаки осуществляемые из доверенных узлов и сетей
- •2.3.5 Атаки путем подмены адреса источника
- •2.3.6 Атаки на сам межсетевой экран
- •2.3.7 Атаки на подсистему аутентификации межсетевого экрана
- •2.4 Выводы
- •3 Исследование архитектуры и функционирования мэ на примере предложенного по
- •3.1 Исследование механизмов взаимодействия средств сетевой безопасности с операционной системой
- •3.1.1 Подходы к организации фильтрования трафика в ос Windows
- •3.3 Выводы
- •4 Разработка алгоритмов для проверки уязвимостей средств сетевой безопасности
- •4.1 Обобщённый алгоритм воздействия на средства сетевой безопасности
- •4.3.2.1 Инвентаризация Windows nt/2000/xp
- •4.3.2.3 Инвентаризация unix
- •4.3.3 Проникновение в сеть и захват контроля над хостом
- •4.3.3.1 Взлом хоста с ос Windows
- •4.3.3.2 Взлом хоста с ос Unix
- •4.4 Разработка алгоритмов воздействия на средства сетевой защиты изнутри защищенной сети
- •4.4.1 «Инъекции» кода
- •4.4.2 Использование виртуальной машины
- •4.4.3 Использование уязвимостей ActiveX
- •4.5 Разработка алгоритмов, основанных на уязвимостях механизма взаимодействия средств сетевой безопасности с операционной системой
- •4.6 Разработка алгоритмов установления соединения с компьютером, защищенным межсетевым экраном, персональным сетевым экраном и несколькими сетевыми экранами
- •4.6.1 Http-тунелирование
- •4.6.2 Icmp-тунелирование
- •4.6.4 Pcap-тунелирование
- •4.7 Выводы
2.1.4 Атаки типа “отказ в обслуживании”
Атаки типа “отказ в обслуживании” (denial-of-service, DOS) называются различные методы, расстраивающие работу всей сети целиком или отдельного его участка. При атаках данного типа ставятся следующие задачи:
- перегрузить какой-либо из ограниченных ресурсов;
- вызвать отказ какого-либо сетевого устройства или компьютера;
- изменить настройки ресурса, сделав его непригодным для использования.
Одним из самых простых методов заключается в переполнении жесткого диска, что помешает нормальной работе с ним других пользователей и программ. К другим ценным ресурсам относятся память, пропускная способность канала сети и процессорное время. Такие ресурсы не обязательно должны быть физическими компонентами компьютера.
С помощью протокола ICMP злоумышленник в состоянии изменить настройки сети, например таблицу маршрутизации. При этом может показаться, что какой либо узел недоступен, хотя на самом деле это не так. Если соответствующая запись в таблице маршрутизации неверна, сетевой трафик не дойдет до узла независимо от того, включен он или выключен.
Основная проблема DOS-атаки заключается в невозможности контролировать весь Internet.
2.1.5 Атаки syn flood
Перед началом обмена данными протокол TCP устанавливает соединение методом трехэтапного подтверждения. Для установки соединения и управления им служат несколько полей в заголовке TCP, а для контроля порядка пакетов при обмене - поле Sequence Number (Последовательный номер).
Флаг SYN обозначает начало запроса на установку соединения. Флагом ACK подтверждается получения пакета. Флаг FIN предназначен для разрыва соединения после завершения передачи.
События происходят в такой последовательности:
Узел А посылает пакет узлу В, установив в нем бит SYN равным 1. Полю Sequence Number присваивается начальное значение.
На узле В создаются структуры данных, предназначенные для управления соединением, после чего он отвечает на запрос соединения и направляет узлу А пакет с флагом ACK, равным 1, подтверждения прием пакета от узла А. Флаг SYN в этом втором пакете содержит начальное значение последовательности для узла В.
После подтверждения от узла В, узел А подтверждает прием начального значения последовательности от узла В.
При обычных условиях в результате устанавливается соединение, и два узла могут начать обмен данными. Но при неверно указанном IP адресе, указанном в первом пакете с запросом на установку соединения пришедшим от узла А, подтверждение которое узел В будет попытается послать, не вернется к узлу А. Узел В будет безуспешно ожидать установки соединения в течении заданного промежутка времени, после чего освободит память, выделенную для поддержки соединения.
Этот метод используется для атак типа SYN flood. Атакующий компьютер непрерывно посылает сообщения с запросами на установку соединения с несуществующим IP-адресом. При этом принимающий узел создает новые динамические структуры дынных и запускает таймеры при каждой новой попытке соединения, пока не исчерпает ресурсы, после чего он перестает реагировать на дальнейшие попытки подключения. Важно, чтобы фиктивный IP-адрес был не доступен для атакуемого компьютера. В противном случае реальный узел с таким адресом передаст пакет с установленным флагом сброса, и атакуемый компьютер сразу же разорвет соединение.