2.3 Моделирование процессов реализации внедрения в сеть ложного объекта

2.3.1 Внедрение в сеть ложного объекта на основе недостатков алгоритмов удаленного поиска (arp-спуфинг)

Для реализации данной атаки злоумышленнику необходимо наличие доступа к компьютеру, подключенному к сети к сети и заранее приготовленное программное обеспечение для осуществления атаки.

Происходит настройка приложения для осуществления сканирования сети для выявления соответствия MAC-адресов с IP-адресами хостов. После следует настройка параметров программы для проведения перехвата трафика между двумя или более хостами. Далее происходит подмена таблиц MAC-адресов и ожидание подключения к удаленному компьютеру, для перехвата имени и пароля [28, 40].

Смоделируем данную атаку с помощью сети Петри-Маркова. Обозначения элементов этой сети приведены ниже, s_i — позиции, t_j — переходы.

s₁ — A формирует широковещательный ARP-запрос,

s₂ — C находится внутри сегмента сети хоста A,

t₁ — подготовка к проведению атаки (сканирование MAC-адресов хостов сети и настройка программы),

s₃ — С готов к проведению атаки,

t₂ — отправка ложного ARP-ответа,

s₄ — ложный ARP-ответ принят A,

t₃ — изменение ARP-таблицы A,

s₅ — ARP-таблицы A изменена,

t₄ — перехват и анализ трафика A,

s₆ — результат — трафик перехвачен и проанализирован.

Вид данной сети представлен на рисунке 2.8.

Рисунок 2.8 — Вид сети Петри-Маркова для атаки «ARP-спуфинг»

В этой сети позиции не имеют инцидентных дуг, поэтому вероятности перемещения из них в переходы равны единице.

Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:

		t1	t2	t3	t4
	s1	0	1	0	0
	s2	1	0	0	0
	s3	0	1	0	0
	s4	0	s1t2∩s3t2	1	0
	s5	0	0	1	1
	s6	0	0	0	1

Для данной сети Петри-Маркова имеет место следующая система интегро-дифференциальных уравнений [60, 62]:

(2.12)

Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:

где λ_ij=1/τ_ij, где τ_ij (i = 1..6, j = 1..4) — средние времена вышеперечисленных действий соответственно.

Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:

,

, (2.13)

,

.

Выберем следующие исходные параметры атаки:

Среднее время сканирования MAC-адресов хостов сети и настройки программы для проведения ARP-спуфинга τ₂₁ = 11 с.

Среднее время отправки ложного ARP-ответа хосту с учетом прохождения его по сети не превышает τ₃₂ = 0,5 с, а атакуемый хост в стандартном режиме обновления ARP-таблиц находится в постоянном ожидании ответов.

Среднее время обновления таблицы без проведения операции верификации адресов примем за τ₄₃ = 1 с.

После изменения таблиц трафик хоста A проходит через машину злоумышленника. Среднее время получения злоумышленником необходимой информации зависит от интенсивности трафика атакуемого хоста. Для достаточно активной сети с учетом проведения анализа пакетов τ₅₄ = 2 с.

Таким образом, среднее время перехода по всей сети τ = 15,5 с, и зависимость вероятности реализации атаки от времени приобретает вид, представленный на рисунке 2.9.

(2.14)

Рисунок 2.9 — Зависимость вероятности реализации атаки ARP-спуфинг от времени

Рассмотрим вероятностные характеристики реализации данной атаки с учетом применения мер противодействия.

1) Применение статических ARP-таблиц

При использовании статических ARP-таблиц в качестве меры противодействия данной атаке вероятность срабатывания перехода π₁₁ равна вероятности нахождения в сети узла с динамическими ARP-таблицами, что зависит от предназначения и реализации конкретной сети. Данный подход не распространяется на клиентские хосты, динамически присоединяющиеся к рассматриваемой сети [49].

2) Верификация адресов

В системах семейства UNIX возможна так называемая верификация адресов. При получении ARP-ответа хост опрашивает узлы с указанными IP-адресами на соответствие их MAC-адресов вносимым в таблицу. В этом случае, если несколько машин ответят на этот запрос, изменения в таблицу вноситься не будут [51].

3) Криптозащита (шифрование пакетов)

В случае шифрования трафика злоумышленнику не удастся за приемлемое время проанализировать содержимое перехваченных пакетов, а следовательно, применить перехваченную информацию в своих целях [54]. Для данной сети шифрование пакетов влечет стремление среднего времени перехода d₅₄ τ₅₄ а следовательно, и времени прохождения по всей сети к бесконечности.